TEXTO PAGINA: 41
NORMAS LEGALES El Peruano Lima, sábado 7 de febrero de 2009 390479 • Norma Técnica Peruana NTP-ISO/IEC 1779 2007 EDI. Tecnología de la Información. Código de buenas prácticas para la gestión de la seguridad de la información, emitido por la Comisión de Reglamentos Técnicos y Comerciales del Instituto Nacional de Defensa de la Competencia y Protección de la Propiedad Intelectual - INDECOPI. • Recomendación E.408 de la Unión Internacional de Telecomunicaciones, referida a los “Requisitos de seguridad para las redes de telecomunicaciones”. • Manual sobre “La Seguridad de las Telecomunicaciones y las Tecnologías de la Información” de la Unión Internacional de Telecomunicaciones, edición 2006 y versiones actualizadas. 9.3 Los Operadores de Telecomunicaciones tenderán a que sus redes estén en capacidad de permitir técnicas de cifrado de extremo a extremo, a fi n de atender la eventual demanda de los abonados o usuarios por estos servicios. El cifrado de datos de extremo a extremo, es la transformación de datos para que éstos sólo sean inteligibles a los usuarios o personal autorizado, efectuada en el interior o en el sistema extremo fuente, cuyo descifrado correspondiente se produce sólo en el interior o en el sistema extremo de destino. 10. DE LAS OBLIGACIONES DE LOS OPERADORES DE TELECOMUNICACIONES RELATIVAS A LA INVIOLABILIDAD Y AL SECRETO DE LAS TELECOMUNICACIONES Y LA PROTECCIÓN DE DATOS PERSONALES 10.1 Los Operadores de Telecomunicaciones tienen la obligación de brindar a la Dirección General de Control del Ministerio, todas las facilidades necesarias para el cumplimiento de sus funciones inspectoras y de verifi cación sobre el cumplimiento de la obligación de respetar y salvaguardar el secreto de las telecomunicaciones y la protección de datos personales de los abonados y/o usuarios, sin que para ello se requiera una notifi cación previa. 10.2 Los Operadores de Telecomunicaciones tienen la obligación de presentar a la Dirección General de Control del Ministerio, un informe anual sobre las medidas y procedimientos establecidos para salvaguardar el secreto de las telecomunicaciones y la protección de datos personales de sus abonados y/o usuarios. Dicha información será presentada a más tardar el 15 de febrero de cada año, observando las disposiciones previstas en el numeral 11. 10.3 Los Operadores de Telecomunicaciones tienen la obligación de respetar y salvaguardar el secreto de las telecomunicaciones y proteger los datos personales de sus abonados y/o usuarios, salvo las excepciones previstas en la legislación vigente. En ese sentido, las medidas mínimas que se detallan en los numerales siguientes, no deberán ser entendidas, como medidas únicas y/o excluyentes, encontrándose los Operadores de Telecomunicaciones obligados a implementar las medidas y procedimientos complementarios que resulten razonables para garantizar la inviolabilidad y el secreto de las telecomunicaciones y los datos personales de sus abonados y/o usuarios. Ello, en función a las redes y tecnologías que empleen y el personal propio o de terceros que tenga acceso a la red pública o a la información confi dencial de sus abonados y/o usuarios. 10.4. Los Operadores de Telecomunicaciones implementarán las medidas y procedimientos que resulten razonables para garantizar que sólo el personal debidamente autorizado, propio o de terceros, acceda a locales y sistemas con acceso restringido, los que serán previamente determinados por el Operador de Telecomunicaciones, en función a su red, tanto en planta interna como externa. Para dicho efecto, deberán: • Implementar adecuados mecanismos o sistemas de control de acceso para el personal autorizado, en puertas internas y externas. • Establecer medidas para la identifi cación del personal autorizado, así como sus niveles de acceso. En el caso de planta interna, se empleará tarjetas magnéticas y/o detectores de huella digital u otros identifi cadores cuyo nivel de seguridad y confi abilidad sea similar o superior. Los operadores que sólo presten el servicio público de distribución de radiodifusión por cable, y que no brinden servicios de valor añadido soportados en la red de cable, o servicios convergentes de telefonía fi ja y/o acceso a Internet, podrán emplear otros mecanismos a fi n de dar cumplimiento a esta obligación. • Contar con un Manual Interno de procedimientos de seguridad, que sea de conocimiento del personal. Asimismo, se deberán adoptar medidas para difundir sus alcances, a través de charlas de orientación, afi ches, recordatorios, entre otros. • Establecer medidas que incentiven al personal al cumplimiento del Manual Interno de procedimientos de seguridad. 10.5. Los Operadores de Telecomunicaciones implementarán las medidas que fueran necesarias para el resguardo de la planta externa e interna comprendiendo los componentes físicos y/o lógicos que pudieran facilitar la violación del secreto de las telecomunicaciones o el acceso a datos personales protegidos. Para el cumplimiento de la referida obligación, se deberá: 10.5.1 En la planta externa: - Los armarios, contarán con mecanismos de seguridad, tales como candados con clave, candados con llave, platinas de seguridad con cerradura, entre otros. - Las cajas de distribución contarán con mecanismos de seguridad, tales como cerraduras con llave, entre otros. - Las cámaras deberán contar con mecanismos de seguridad tales como soldadura de tapas, contratapas, seguridad neumática, tapas especiales con grava, entre otros. - Los Repartidores Principales (MDF), de ser el caso, y los recintos empleados para éstos, contarán con mecanismos de seguridad. - Las estaciones base contarán con mecanismos de seguridad. 10.5.2 En la planta interna: - Los sistemas de conmutación y transmisión, en función a la red, contarán con mecanismos de protección y seguridad. - Los equipos informáticos empleados para los procesos de facturación, tasación, bases de datos, entre otros, contarán con contraseñas de acceso, fi rewalls, software de detección y reparación de virus y software de protección contra códigos maliciosos, entre otros. 10.5.3 Respecto del personal: Celebrar acuerdos de confi dencialidad con su personal y con terceros que participen de la gestión comercial y/u operativa del servicio, y que tenga acceso a la planta externa o interna, previendo en dichos acuerdos, la obligación de no divulgar cualquier información que pudiera facilitar o coadyuvar a la vulneración del secreto de las telecomunicaciones, aún después de extinguido el vínculo laboral o contractual; así como las consecuencias civiles y penales derivadas de su incumplimiento. En la celebración de sus acuerdos con terceros, los Operadores de Telecomunicaciones les exigirán a su vez, la suscripción de acuerdos de confi dencialidad con el personal que éstos tuvieran a su cargo, que tenga acceso a la planta interna o externa del citado Operador; debiendo verifi car dicho cumplimiento. 10.6. Los Operadores de Telecomunicaciones establecerán las medidas de seguridad pertinentes para proteger la información contenida en los recibos de servicios telefónicos, requerimientos de pago y otros comprobantes de pago (boletas, facturas, notas de crédito y débito), así como la información referida a detalles de llamadas (no incluidas en recibos), historial de suspensiones, cortes y reconexiones y grabaciones por gestiones de deuda. Dicha información podrá ser cedida a terceros que participen en la gestión comercial del Operador de Telecomunicaciones, de conformidad con lo dispuesto