PROCESO DE DESTRUCCION DE DISCOS DUROS Y SOPORTES MAGNETICOS DE INFORMACION

  1. El cliente deberá empaquetar y enviar por maleta los discos duros o soportes magnéticos a la empresa contratada.

  2. A la recepción del envío se diferenciará el contenido de la siguiente manera:
     a. Discos Duros
     b. Cintas de copias, DVD, CD, cintas vhs, mini dim. y demás soportes magnéticos.

  3. Una vez clasificado el material recibido, el proceso de destrucción se realizará de la siguiente manera:
     a. Discos duros:
        I. Identificación del soporte (número de serie)
        II. Apertura de elementos y extracción del soporte interior para posteriormente destruírlo en partículas.
        III. Destrucción en partículas de los componentes restantes y provisión de los mismos para su envío a la planta de reciclaje homologada.

     b. Soportes Magnéticos:
        I. Identificación y numeración de los soportes entregados.
        II. Destrucción en partículas, provisión de los restos, empaquetado y envío a la planta de reciclaje homologada.

  4. Una vez realizado todo este proceso se envían los datos e imágenes correspondentes a nuestro departamento de gestión, el cual se encargá de la emisión de los certificados correspondientes para a su posterior entrega a nuestro cliente.

  Destruccion hdd


  Desmontaje hdd Separación de elementos hdd Separación de elementos hdd
  Reciclado de metales hdd Disco inutilizado hdd Separación de elementos hdd
  Envío a destrucción hdd Envío a destrucción hdd  1. ELIMINACIÓN DE DOCUMENTOS

  1.1. Autorización da eliminación
  Os documentos da Administración do Estado só poden eliminarse con autorización do órgano competente e tras o correspondente proceso de valoración, regulado no Real decreto 1164/2002, do 8 de novembro. En ningún caso poderase autorizar a eliminación nin se poderá proceder á destrución de documentos da Administración Xeral do Estado ou dos seus Organismos públicos en tanto subsista o seu valor probatorio de dereitos e obrigas das persoas físicas ou xurídicas ou non transcorran os prazos que a lexislación vixente estableza para a súa conservación.

  1.2. Destrución física
  Unha vez autorizada, a destrución física de unidades ou series documentais levarase a cabo polo órgano responsable do arquivo ou oficina pública en que se encontren, empregando calquera método que garanta a imposibilidade de reconstrución dos mesmos e a súa posterior utilización.


  2. PROCESO DE DESTRUCIÓN

  A protección da intimidade das persoas e a defensa dos intereses da Administración esixen que, como recolle a normativa vixente, os documentos que se eliminan sexan destruídos de xeito que a súa reconstrución e a posterior utilización da información que conteñen sexa imposible. Para facero así, o proceso de destrución debe estar sometido a estritos controis que garantan a seguridade, eficacia e confidencialidade do mesmo.

  2.1. Almacenaxe
  Os documentos que van ser eliminados deben estar protexidos ata o momento da súa destrución física. O lugar ou os colectores onde se almacenan os documentos que se van a eliminar requiren medidas de seguridade eficaz fronte a posibles intromisións exteriores. Non deben permanecer ao descuberto no exterior dos edificios. Tampouco deben amontoarse en lugares de camiño, nin en locais abertos. Débense gardar en locais ou colectores que dispoñan de mecanismos de peche que garantan a súa seguridade.

  2.2. Transporte
  O transporte, se é o caso, ata o lugar onde vai levarse a cabo a destrución debe garantir igualmente que durante o traslado non se produzan subtraccións, perdas nin filtracións de información. Todas as operacións de recollida, carga e descarga dos documentos ou os seus colectores, así como a condución dos vehículos que os transportan, deben ser realizadas por persoal debidamente autorizado e facilmente identificable. Os documentos deben ser levados directamente ao lugar onde estea prevista a destrución, en vehículos pechados que percorran o traxecto sen desempregadas nin interrupcións.

  2.3. Destrución
  A destrución debe ser inmediata e facer imposible a reconstrución dos documentos e a recuperación de calquera información contida neles.

  Os documentos non deben depositarse en colectores, ao descuberto nin en paquetes, caixas ou atados, canda o resto dos refugallos. Seguen sendo perfectamente lexibles e permanecen na vía pública durante un tempo indeterminado, ao alcance de calquera persoa.

  Por outra banda, pode almacenar intacto, durante un tempo indeterminado e sen ningunha medida de seguridade, o material reciclable en espera de reunir unha cantidade suficiente de papel dun mesmo tipo ou cor.

  O enterramento dos documentos non supón a desaparición inmediata da información. Antes ao contrario, comprobouse que o papel consérvase máis tempo enterrado que se se deixase ao aire libre.

  A incineración acaba coa información, pero resulta perigoso para o medio, pode prexudicar ao medio ambiente e impide a reciclaxe.

  O método máis axeitado é a trituración mediante corte en tiras ou cruzado, previa á venda para reciclaxe. O papel faise tiras ou partículas, cuxo tamaño se elixirá en función do nivel de protección requirida pola información contida nos documentos que hai que destruír.

  Neste sentido, a norma DIN 32757 establece cinco graos de seguridade e determina o tamaño máximo das tiras ou partículas en función dese nivel:

  Nivel Tamaño

  1 Partícula dun máximo de 12 mm de largo Documentos xerais que deben facerse ilexibles

  2 Partículas dun máximo de 6 mm de largo Documentos internos que deben facerse ilexibles

  3 Partícula dun máximo de 2 mm. de largo Partículas dun máximo de 4×80 mm. Documentos confidenciais

  4 Partículas dun máximo de 2 x 15 mm. Documentos de importancia vital para a organización que deben manterse en segredo

  5 Partículas dun máximo de 0,8 x 12 mm. Documentos clasificados, para os que rexen esixencias de seguridades moi elevadas.

  A maior parte dos provedores de máquinas destrutoras de papel ou de servizos de destrución de documentos utilizan esta norma como refire para indicar os niveis de seguridade ofrecidos.

  2.4.Garantías en caso de contratación externa
  A contratación dunha empresa especializada en servizos de destrución de documentos pode resultar, en función do volume de documentación e dos medios técnicos esixidos, unha opción aconsellable.

  Ao contratar este servizo é importante asegurarse de que a empresa contratada cumpre os requisitos expostos e pode comprometerse a:

  • Garantir a destrución dos documentos nas súas instalacións e con medios propios, sen subcontratos que comporten o manexo dos documentos por parte doutras empresas sen coñecemento do responsable dos documentos.

  • Permitir que, sempre que o estime conveniente, un representante do responsable dos documentos presencie a destrución dos documentos e comprobe as condicións en que se realiza e os resultados.

  • Certificar a destrución dos documentos, deixando constancia do momento e da forma de destrución.


  Tamaño de partícula e tratamento confidencial, pezas clave na destrución documental

  O fomento da seguridade da información, as políticas de seguridade e as esixentes normativas no referente á destrución da información refugada cobran cada vez máis importancia, concienciando así ás organizacións a adoptar procesos que aseguren o cumprimento total de normas e incluso, da súa propia responsabilidade social corporativa.

  A información manexada por unha empresa é considerada como un dos seus activos fundamentais e en consecuencia debe ser protexida como tal, ata o mesmo instante da súa destrución. Esta información pódese encontrar en distintos soportes (papel, magnético, electrónico) e pode ser de diferente natureza: información estratéxica (facturas, balances), información protexida por LOPD ou por outras lexislacións (currículo, expedientes médicos) e información pública (catálogos, guías).

  Os devanditos activos son refugados a diario e son xestionados por servizos de limpeza de oficinas, por empresas de reciclaxe de papel, en pequenas destrutoras, ou ben se externaliza a súa destrución. En todos os casos hai que definir protocolos de actuación auditables, de tal xeito que garantan a xestión confidencial e a irrecuperabilidad e irrecomponibilidad dos documentos.

  Explicaremos unha solución baseada no outsourcing de destrución confidencial que descarga ás compañías dunha tarefa que non pertence a seu core business e que a un tempo se debe contratar cuns niveis de servizo que pola súa singularidade, pode que ao definiros queden sen matizar aspectos que logo non garantan normas esenciais como a LOPD ou os propios manifestos de responsabilidade social corporativa. Determinar por escrito o tamaño de partícula a que finalmente quedarían destruídos os documentos e a xestión confidencial que se realizaría ata que son destruídos, son pezas clave á hora de modelar unha externalización.

  En liñas xerais, un modelo de outsourcing que realmente aposte pola seguridade da información que se desecha, debe cumprir 4 premisas fundamentais:

  1. Custodiar de forma confidencial e en orixe a información que un empregado acaba de desechar, mediante colectores pechados dotados de medidas que realmente eviten os accesos non controlados de terceiros.
  2. Transportar de forma confidencial en vehículos pechados cara a plantas igualmente pechadas e con medidas perimetrais que aseguren a inviolabilidade dos activos documentais.
  3. Destruír os documentos de forma irrecuperable e irrecomponible. Iso implica trituraros en partículas asimétricas a un tamaño de diámetro determinado e esixir un certificado de destrución que indique expresamente
  4. Auditabilidad dos 3 procesos anteriores, tal que se verifique o cumprimento de normas como a Lei Orgánica de Protección de Datos (LOPD), Lei de Residuos, Lei RAEE e Medio ambiente, así como do cumprimento dos Plans de Seguridade e de continxencia que as organizacións deben detallar para calquera tipo de información (electrónica, magnética ou en soporte papel).

  Porén, a pesar das recomendacións ocorre que é habitual encontrarse con 3 erros esenciais nados na propia concepción que algunhas organizacións han ideado para dar o servizo de destrución:

  1 - Ás veces o proceso de destrución responde a directrices lexislativas, ou a directrices internas corporativas e noutros, como é o caso da información pública, non conta cunhas esixencias determinadas. A pesar disto, neste último caso recoméndase aplicar o mesmo tratamento de destrución que no resto de documentación refugada, tendo en conta que se demostrou que deixar en mans de cada empregado a responsabilidade de discriminar correctamente a natureza de cada documento para aplicarlle distinto tratamento, é máis complicado e custoso que o aplicar un tratamento homoxéneo a todos os documentos. Ademais representa unha ameaza de fuga ao exterior se por exemplo un documento estratéxico non recibe o tratamento de destrución polo cherna feito de habero depositado nun colector que só era para reciclaxe de papel.
  2 - Ocorre outra ameaza, esta vez de accesos non autorizados por parte de terceiros, se non se presta suficiente atención ao formato dos colectores onde depositar a documentación, ao traslado dos mesmos ás Plantas onde se realiza a destrución e ás propias medidas de seguridade nas Plantas. Neste sentido hai que ter en conta que, coa recente entrada en vigor do Regulamento de Desenvolvemento LOPD (RDLOPD), ampliouse o alcance aos ficheiros en soporte papel. E establécese que os colectores utilizados deben ser cerrados, con medidas reais que eviten subtracción, perda ou accesos indebidos. Así como a adopción dun transporte confidencial en vehículos pechados cara a plantas igualmente pechadas e con medidas perimetrais que aseguren a inviolabilidade dos activos. Utilizar caixas de cartón ou camións abertos cara a plantas de doado acceso representa un erro grave na concepción do servizo de destrución.
  3 - Seguindo a liña lexislada polo RDLOPD, estableceuse que sempre que se deseche información en calquera soporte, débese proceder á súa destrución de xeito que non se poida recompor posteriormente. O devandito doutra maneira, cando se externaliza un servizo de destrución irrecomponible débese esixir na súa concepción, que destrúan os documentos en partículas asimétricas a un tamaño de diámetro máximo entre os 20 e os 60 milímetros e o que é máis importante, esixir no certificado de destrución emitido, que indique expresamente a que tamaño de partícula quedou triturada a documentación e o lugar físico en onde levouse a cabo. Isto está plasmado nos últimos certificados que lle emitiron?

  Conformarse con externalizar o servizo non é suficiente, debe asegurarse de que a súa información non poida verse comprometida. Neste sentido, debe considerarse obrigatoria a visita in situ a unha das plantas de destrución dos partner seleccionados e comprobar os procedementos e as medidas dispostas nos colectores, o transporte, as plantas e a capacidade de auditabilidad de todo o proceso.

  Recapacitar sobre o que hoxe estamos facendo mal sérvenos para albiscar o que mañá serán as ameazas que causen as nosas preocupacións (incumprimentos normativos, perda reputacional, accesos non controlados). En definitiva, as empresas deben minimizar os seus riscos prestando unha especial atención ao proceso de destrución. Determinar os niveis de servizos axeitados supón algo máis que unha destrución segura de documentos, supón a garantía de manter a seguridade nas empresas.


  Obligaciones del nuevo reglamento

  - El nuevo reglamento obliga el tratamiento de información en cualquier soporte, pero esta vez, regula expresamente el soporte papel. (ART: 2.1)
  - A HACER UNA DESTRUCCIÓN (ART: 112.2) (ART: 92.4) (ART.87.2)
  - A que la destrucción SEA IRRECUPERABLE E IRRECOMPONIBLE (ART: 92.4) (ART: 112.2)
  - A VERIFICAR que el proveedor elegido para ello, reúna garantías suficientes (ART: 20.2)
  o Para evitar el acceso a la información (ART: 92.4)
  o Para evitar la recuperación posterior (ART: 92.4)

  Cómo debe hacerse la destrucción

  - Describiendo el proceso. Las medidas para la destrucción y el transporte de la documentación deben estar definidas y documentadas en el Documento de Seguridad de la empresa. (ART.82.2).
  - En el almacenamiento con contenedores cerrados, medidas reales que eviten sustracción, pérdida o el acceso indebido (ART 107) (ART 83)
  - El acceso a la información debe estar limitado en todo momento. No pueden utilizarse contenedores y/o camiones abiertos.

  ¿Quién es el responsable de hacerla?

  - La empresa que haya generado el Fichero, pudiendo delegarlo en el Encargado del Tratamiento (ART 5).
  - Ahora se equipara con la misma responsabilidad a la empresa contratante como al proveedor (ART: 20.2)
  - El responsable de Informática como último responsable de los ficheros no automatizados.

  ¿Cuáles son los riesgos si lo incumples?

  - Incumplimiento de normas (Lopd, etc.), con su correspondiente Sanción Administrativa desde los 600 € hasta los 600.000 € (ART 127)
  - Perdida de imagen Corporativa y REPUTACIONAL.
  - Accesos no autorizados a terceros.

  En lo que se refiere a la información confidencial o estratégica, para cuándo se decida desechar