Sistema de Gestión de Privacidad de Datos Personales

Resumen ejecutivo

la presente propuesta tiene como finalidad proveer  de una solución web que sirva para la gestión de la seguridad de datos personales.

En donde la solución propuesta cumple principalmente aspectos como:
●    Utilizar parte de la gestión basada en el ISO 27001.
●    Permitir configurar formularios sobre cumplimiento de normas sobre protección de datos personales desde la plataforma web.
●    Personalizar formularios sobre cumplimiento de normas sobre protección de datos personales por proyecto y/o área.
●    Contener el proceso de seguimiento sobre de los puntos faltantes de los formularios sobre protección de datos personales.
●    En la plataforma Web proporcionar un Dashboard que permite observar y dar seguimiento a los avances de la gestión.
●    En la plataforma Web, poder administrar los usuarios.
●    En la plataforma Web.
●    Gestionar el cumplimiento sobre todos los rubros de la ley de protección de datos personales.

objetivos del proyecto

los objetivos del presente proyecto son los siguientes:

●    contar con un sistema que gestione que una entidad cumpla con la ley referente a la protección de datos personales.
●    Realizar el registro/configuración de los rubros de la ley actual que se deben de cumplir una entidad. En otras palabras es el registro/configuración de los rubros de una encuesta.
●    Aplicación de una de las anteriores configuraciones a una entidad. Por cada una de los rubros de la configuración aplicada se debe poder adjuntar un documento (pdf,png,jpg) que demuestre el cumplimiento de este rubro.
●    Aprobación o desaprobación de cada uno de los rubros de la encuesta.
●    Seguimiento de los resultados de la encuesta sobre protección de datos personales.
●    Realizar un análisis de brecha sobre la encuesta realizada.
●    Revisiones de cumplimiento sobre cada uno de los rubros de la encuesta que estén pendientes de aprobar.
●    Diagnóstico final sobre la encuesta realizada.
●    Administrar los usuarios web.
●    Configuración de formularios sobre protección de datos personales asociada a un proyecto.
●    Configuración de un conjunto de formularios sobre protección de datos personales ya terminada.
●    Seguimiento de los resultados de la encuesta sobre protección de datos personales.
●    Contar con un Dashboard para ver el avance del proyecto de encuesta.
●    Implementar el flujo de un sistema de gestión de seguridad de la información en la plataforma web.

Gestión de Protección de Datos Personales. Este es el módulo principal del sistema, desde aquí se llevará a cabo el proceso de aprobación de los rubros y los distintos indicadores para completar la protección de datos personales de una entidad, mediante este módulo, cada usuario realizará las tareas de aprobación y rechazo de los rubros a cumplir de acuerdo al workflow y permisos asignados.


1.- Diagnóstico Inicial/Final:
●    Se aplicará un cuestionario basado completamente en la regulación aplicable, el cual nos permitirá tener una vista rápida y general del estado actual de los actores obligados con respecto al cumplimiento de la Ley.
●    El cuestionario contempla todos los puntos de la Ley con los que deben de cumplir todos los actores obligados que manejen Datos Personales.
●    Se cuentan con cédulas específicas para cada punto en las cuales se generará la evidencia que se requiera o plasmar cualquier acción. (Proceso o Documento)
●    Reporte General del diagnóstico.          

2.-
Análisis de Brecha:
●    Situación actual.
●    Situación ideal.
●    Controles existentes.
●    Controles necesarios.
●    Documento final con el resultado del análisis.

3.- Estrategia de Cumplimiento:
●    Documento final con el resultado del análisis.
●    Análisis y selección de los posibles controles a implementar.
●    Plan estratégico de implementación.

4.- Revisión de los controles implementados:
●    Revisión del % de cumplimiento en la implementación, en base al plan de implementación.
●     Cédulas del control de la implementación.

5.- Diagnóstico Inicial/Final:
●    Análisis y verificación del cumplimiento del plan de implementación y el reporte general de diagnóstico.
●    Documento con el diagnóstico final/inicial.



Requerimientos funcionales.

Administración de usuarios y sistema
● Usuarios - Login
● Recuperación de contraseña
● Catálogo de perfiles y permisos.
● Catálogo de responsables de validación de documentos.
● Catálogo de rubros de la ley de protección de datos personales.
● Configuración plantilla de encuesta a aplicar.
● Catálogo para editar texto de correo(posibilidad de aplicar un texto por perfil) Nota 1: Para los catálogos se debe implementar la funcionalidad de alta, baja, modificación y consulta. Nota 2: Se debe considerar una carga inicial de datos (nombre del usuario, perfil, cuenta de correo, etc.) Administración de flujos de trabajo (Workflow)
● Configuración de workflows de aprobación y rechazo.
● Configuración de plantillas de correo.


Gestión de Protección de datos Personales

1.- Identificación del Contexto de la Empresa.
1.1.- Entender el funcionamiento real de la empresa.
1.2.- Entendimiento de las necesidades y expectativas de las partes que interactúan con la empresa.
1.3.- Se determinar el alcance del Sistema de Gestión de Seguridad de la Información.
1.4.- Sistema de Gestión de Seguridad de la Información.

2.- Liderazgo.
2.1.- Liderazgo y Compromiso.
2.2.- Política.
2.3.- Roles, Responsabilidades y Autoridades de la Organización.

3.- Planeación
3.1.- Acciones para administrar los riesgos y oportunidades.
3.1.1.- General
3.1.2.- Evaluación de Riesgos de Seguridad de la Información.
3.1.3 Tratamiento de los riesgos de Seguridad de la Información.
3.2.- Objetivos y planeación para lograra la Seguridad de la Información

4.- Soporte para el SGSI.
4.1.- Recursos.
4.2.- Competencias.
4.3.- Concientización.
4.4.- Comunicación.
4.5.- Documentación.
4.5.1.- Generales.
4.5.2.- Creación y actualización.
4.5.3.- Control de la Documentación.

5.- Operación del SGSI.
5.1.- Planificación y Control Operativo.
5.2.- Evaluación de Riesgos de Seguridad de la Información.
5.3.- Tratamiento de los Riesgos de Seguridad de la Información.

6.- Evaluación del Desempeño del SGSI.
6.1.- Monitoreo, medición, análisis y evaluación.
6.2.- Auditoría Interna.
6.3.- Revisión por parte de la Dirección.

7.- Mejora del SGSI.
7.1.- Incumplimiento y acciones correctivas cuando se produce un incumplimiento.
7.2.- Mejora Continua.

Administración de Workflow.
● Consultar, validar, dar vobo, bloquear o rechazar documento, flujo de trabajo y cambio de estatus del documento
● Desarrollo de envío de correos, asociado al perfil del usuario y tomar en cuenta el estatus del documento.
● Funcionalidad para permitir cambiar el estatus del reporte completo.
● Funcionalidad para mostrar los documentos liberados.
● Funcionalidad para diferenciar entre documentos terminados y documentos pendientes.
● Funcionalidad para eliminar documentos pendientes.
● Funcionalidad para rechazar reporte, se debe eliminar toda la información de la base de datos.
● Funcionalidad para validar que los documentos adjuntados.
● Comunicación bidireccional.

Reportes y dashboards.
● Reportes e informes por perfiles, privilegios y nivel de cumplimiento.