VDSS uses technology and information to serve individuals and families across Virginia. Some of this information is sensitive and personal.
This policy explains how to use VDSS systems safely and responsibly. Following these guidelines helps protect people, support daily work and keep services running.
If you ever feel unsure, help is available. Asking questions is encouraged.
Esta política se aplica a:
Todas las personas (empleados de VDSS, empleados LDSS, contratistas, subcontratistas, proveedores, voluntarios, estudiantes en prácticas, personal de prácticas laborales y otras personas y organizaciones, incluyendo el Departamento de Servicios de Asistencia Médica de Virginia (DMAS)) que necesiten emplear Internet, email y otras comunicaciones electrónicas patrocinadas por VDSS, sistemas de información o procesamiento de información relacionados con VDSS.
Todos los sistemas de información y procesamiento de información asociados con otras organizaciones que VDSS emplea, incluyendo pero no limitar a la Administración de la Seguridad Social (SSA), el Departamento de Fiscalidad de Virginia (TAX), el Servicio de Impuestos Internos (IRS), el Departamento de Vehículos a Motor (DMV), la Comisión de Empleo de Virginia (VEC) y el Departamento de Agricultura de los Estados Unidos (USDA).
1. Los usuarios del sistema de información VDSS no tendrán expectativa de privacidad respecto a ningún mensaje, archivo, email, imagen o dato creado, enviado, visto, recuperado o recibido al emplear VDSS o equipos o accesos proporcionados por la Commonwealth of Virginia (COV). VDSS se reserva el derecho de monitorizar redes informáticas, sistemas de comunicación electrónica, Internet y sistemas VDSS en cualquier momento, sin previo aviso y sin la licencia del usuario.
2. Todos los registros electrónicos pueden estar sujetos a la Ley de Libertad de Información (FOIA) y estar disponibles para su distribución pública.
3. Todas las personas y organizaciones que empleen Internet, email, otras comunicaciones electrónicas y sistemas de información VDSS patrocinados por VDSS cumplirán con las políticas y procedimientos del COV y del VDSS.
4. Los usuarios deben evitar comunicaciones personales rutinarias en los sistemas electrónicos proporcionados por el COV, incluyendo sistemas de información, Internet, email, teléfonos de oficina, dispositivos móviles, redes sociales y buzón de voz proporcionados para asuntos oficiales.
5. Se espera que los usuarios sean responsables y profesionales al emplear servicios de comunicación electrónica patrocinados por la COV, ya sea con fines personales o profesionales.
6. Los directores pueden complementar esta política con más restricciones. Si es así, primero deberán presentar sus restricciones previstas al Director de Seguridad de la Información (CISO) del VDSS para su revisión. Esta ampliación deberá comunicar claramente a los empleados, por escrito, sus expectativas sobre el uso permitido de Internet, el email y otras comunicaciones electrónicas para cerciorar una comprensión clara del uso inaceptable si es más restrictivo que esta política.
Nota: Esta política no intenta definir todo el uso personal aceptable o inaceptable. La información incluida en esta política se proporciona como una guía. Si el empleado no tiene claro cuál es el uso personal aceptable, deberá consultar a su supervisor o al Director de División.
1. El uso aceptable de Internet consiste en las actividades necesarias para apoyar el propósito, metas y misión de VDSS y las funciones laborales autorizadas de cada usuario expresadas en la descripción y responsabilidades del empleado.
2. VDSS implementó las siguientes capacidades de monitorización:
a. Registrar el acceso a Internet;
b. Monitorear el acceso y uso de Internet por parte de los individuos; y
c. Registro de Auditoría Empresarial (EAL) para acceso a ciertos sistemas sensibles.
3. El uso personal ocasional e incidental de los servicios de Internet proporcionados por VDSS está permitido durante los periodos establecido para comer (menos de 15 minutos en cualquier hora continua), los descansos (menos de 5 minutos), antes y luego de los horarios de trabajo establecido (menos de 15 minutos en cualquier hora continua), siempre que dicho uso no viole el LDSS, VDSS, o políticas, procedimientos o prácticas del COV. Este uso puede limitar aún más si se determina que es perjudicial para el uso empresarial de Internet.
4. Los usuarios de VDSS deben evitar el uso innecesario de recursos de Internet. Con la implementación de CommonHelp y VaCMS, VDSS se volvió mucho más dependiente de la infraestructura de red para gestionar las aplicaciones de los clientes de los servicios públicos principales. El uso excesivo de recursos de Internet se relacionó con ralentizaciones de red/sistema, bloqueos, bloqueos y otros problemas relacionados con diversas operaciones del sistema.
5. Los usuarios pueden acceder a emails personales, por ejemplo, Gmail, Outlook, iCloud, Hotmail, Yahoo!, etc.) a través de proveedores de servicios de Internet (similar a las llamadas personales en teléfonos de empresa). No se descargarán archivos adjuntos.
6. A los usuarios de VDSS se les prohíbe emplear redes sociales, incluyendo Facebook, Twitter, Instagram y LinkedIn, para realizar asuntos de agencias relacionados con información sensible de casos.
NOTA: Internet es una red de computadoras interconectadas sobre la que VDSS tiene poco control. El usuario debe reconocer esto al usar Internet y entender que es un dominio público; El usuario podría entrar en contacto con información, incluso de forma involuntaria, que pueda considerar ofensiva, maliciosa, sexualmente explícita o inapropiada. El usuario debe comprender este riesgo durante el uso de Internet.
1. Evita acceder a datos de red, archivos e información que no estén directamente relacionados con el trabajo del usuario. El acceso a estas capacidades o información no implica licencia para usar este acceso.
2. Las transmisiones inalámbricas de cualquier dato son extremadamente vulnerables a una recuperación inadecuada o acceso involuntario. Debido a la relativa facilidad para recuperar estas transmisiones, son necesarios requisitos de seguridad específicos. Cualquier acceso que no esté específicamente mencionado en la Política de Seguridad de la Información y la Guía de Programas del VDSS está prohibido salvo que se conceda licencia explícita de la Oficina ISRM del VDSS. Los usuarios de VDSS deben cerciorar, al acceder a conexiones inalámbricas externas, de que la sesión esté cifrada y debidamente segura.
1. Además de los usos inaceptables según la definición de la Política de DHRM 1.75, Uso de las comunicaciones electrónicas y las redes sociales, las siguientes declaraciones, aunque no inclusivas, definen usos inaceptables específicos. Los usuarios no pueden emplear redes o sistemas de información VDSS/LDSS para:
• Acceso para uso personal, información confidencial específica del cliente a través de SPIDeR o directamente a través de cualquier sistema de información de la agencia, incluyendo, pero no limitado a, OASIS, ADAPTRO, iAPECS, VEC y/o VaCMS.
• Acceder a deportes, televisión (TV)/videos y clips de audio/video relacionados con música, televisión y cine.
• Acceder, descargar, imprimir o almacenar material sexualmente explícito en violación del Código de Virginia, § 2.2-2827.
• Subir o descargar a sabiendas software comercial en violación de su acuerdo de derechos de autor y/o licencia. Envía conscientemente datos sensibles sin cifrar por email.
• Reenviar una cota de malla.
• Apuesta.
• Uso para publicidad de productos o servicios.
• Acceder a datos o programas para aplicar información, obtener copias o modificar archivos, otros datos o contraseñas pertenecientes a otros usuarios.
• Interferir o interrumpir a los usuarios, servicios o equipos de la red. Las interrupciones incluyen, pero no se limitan a: distribución de publicidad no aplicar; propagación intencionada de virus informáticos; y usar la red para obtener acceso no autorizado a cualquier otra máquina accesible a través de la red.
• Escuchar radio, televisión y otros tipos de emisiones (por ejemplo, retransmisiones sitio web, video en streaming) que no estén relacionadas con las funciones del empleado y que no tengan aprobación previa de supervisión. (Se requiere aprobación por escrito para ver video en streaming.)
• Descargar o instalar cualquiera de los siguientes dispositivos sin autorización escrita del CISO de VDSS:
° Materiales protegidos por derechos de autor (por ejemplo, archivos de música y películas);
° Juegos que incluyen jugar a través de Internet;
° Protectores de pantalla;
° Programas de intercambio de archivos Peer-to-Peer (P2P); y/o
° Software no suministrado por VDSS.
2. Si dicho uso interfiere con la conducción del VDSS y el desempeño laboral o laboral de la VDSS y LDSS (según el volumen o la frecuencia), implica solicitación o actividades ilegales, o afecta negativamente a las operaciones eficientes de los sistemas informáticos de la agencia, el acceso del empleado puede estar limitado.
3. En ningún momento el uso personal de los servicios de Internet proporcionados por la Commonwealth perjudicará a la agencia, a la Commonwealth ni implicará negocios personales con fines de lucro.
4. Se presentan los siguientes ejemplos de uso inaceptable: visitar rutinariamente redes sociales como sitios de citas y cuentas de Twitter durante los periodos laborales establecidos para uso personal. En ocasiones, sitios específicos son bloqueados por mal uso; por ejemplo, Facebook y los deportes como categoría. Por favor, ver B.3.
5. Esta política no intenta definir todo uso personal inaceptable. La información anterior se proporciona como una guía. Si el empleado no tiene claro cuál es el uso personal aceptable, deberá consultar a su supervisor, al Oficial de Seguridad Estatal/Local, al Director o contactar con el CISO de VDSS para aclaraciones.
Los usuarios no deben realizar conscientemente acciones que afecten negativamente a la red informática u otros recursos de COV/VDSS o que afecten negativamente el rendimiento laboral.
1. A los usuarios se les prohíbe emplear los sistemas informáticos y redes de la agencia para descargar, subir o manipular de cualquier otra forma contenido ilegal o no autorizado con derechos de autor.
2. Todas las siguientes actividades constituyen violaciones de esta política si se realizan sin la licencia del titular de los derechos de autor:
a. Copiar y compartir imágenes, música, películas u otro material protegido por derechos de autor empleando compartición de archivos P2P o CDs o DVDs no licenciados;
b. Publicar o plagiar material protegido por derechos de autor; y/o
c. Descarga de archivos protegidos por derechos de autor que no fueron adquiridos legalmente.
3. Esta lista no incluye todas las infracciones; La ley de derechos de autor se aplica a muchas más actividades que las mencionadas anteriormente.
Los empleados y socios comerciales de VDSS solo deben emplear procesos, dispositivos y procedimientos de acceso remoto aprobados al conectarse de forma remota.
• Todos los usuarios de VDSS emplearán una contraseña fuerte que:
• Tiene al menos catorce (14) personajes;
• A partir de 2022de mayo, según la Publicación del IRS 1075, se aplicará la longitud mínima de la contraseña de catorce (14) caracteres para los sistemas de información que contienen Información Fiscal Federal (FTI);
• No contiene el nombre de usuario, un nombre real ni VDSS;
• No contiene palabra de diccionario;
• Es significativamente diferente de las contraseñas anteriores;
• Contiene al menos un carácter numérico y un carácter especial;
• Contiene una mezcla de al menos una letra mayúscula y una minúscula; y
• No puede reutilizar salvo luego de 24 veces usando otras contraseñas.
NOTA:
a. La duración mínima de la contraseña debe fijar en un día;
b. Las contraseñas de las cuentas sin privilegio deben cambiar al menos cada 90 días; y
c. Las contraseñas de las cuentas privilegiadas deben cambiar al menos cada 42 días.
Usuarios de sistemas de información VDSS:
• No puede compartir contraseñas;
• Puede cambiar contraseñas a voluntad, pero no más de una vez cada 24 horas; y
• Debe cambiar las contraseñas comprometidas.
Nota: Los sistemas heredados (es decir, ADAPTRO e iAPECS) siguen cambiando las contraseñas cada 30 días.
Los usuarios de VDSS deben:
• Informar inmediatamente al Director de Seguridad de la Información (CISO) del VDSS sobre la pérdida, robo o compromiso de contraseñas; y
• Cambiar inmediatamente su contraseña si se ve comprometida.
Los usuarios de VDSS deben cambiar las contraseñas de las cuentas sin privilegio cada 90 días. Los usuarios de VDSS deben cambiar las contraseñas de las cuentas privilegiadas cada 42 días. Los sistemas heredados (es decir, ADAPTRO e iAPECS) siguen cambiando las contraseñas cada 30 días. Todas las cuentas sin actividad luego de 90 días están bloqueadas y requerirán un email del supervisor indicando que la cuenta es necesaria para restablecer la contraseña. Todas las cuentas sin actividad luego de 180 días se desactivan y requieren nuevas solicitudes de acceso para establecer acceso.
La función de seguridad de "3-strikes" para cuentas bloquea la cuenta de un trabajador tras tres (3) intentos consecutivos de contraseña incorrecta. La función de "3-strikes" se aplica al ID de usuario de un trabajador y controla el acceso a muchos sistemas de información VDSS, incluyendo SAMS, VaCMS, SPIDeR, ASAPS y MWS. Habrá que contactar con los agentes de seguridad estatales o locales para restablecer las contraseñas de las cuentas bloqueadas.
Los usuarios de VDSS deben cambiar la contraseña de restablecimiento temporal en el primer uso.
Contacta con el Servicio de Ayuda de ITS para restablecer contraseñas de OASIS.
Las contraseñas pueden ser restablecidas por los Oficiales de Seguridad Estatales/Locales designados, el Centro de Soporte ITS o enviando una solicitud por email a security@dss.virginia.gov.
1. Cualquier correo enviado desde el punto de vista de una cuenta de email VDSS o LDSS debe considerar equivalente a un mensaje enviado con membrete de la agencia. Por lo tanto:
a. El contenido y el tono de cualquier mensaje de este tipo deben reflejar las responsabilidades oficiales del autor; y
b. Cualquier comentario falso, prejuicioso, engañoso, obsceno, racista, sexista u otro poco profesional que pueda hacer que la organización sea responsable de acciones legales o denuncias por acoso o discriminación será considerado una infracción de esta política.
2. Está prohibido:
a. Enviar información sensible por email sin tomar medidas para cifrar la información sensible;
b. Indique una dirección de email estatal para fines personales o de negocio personal;
c. Enviar un email usando la identidad de otra persona, un nombre supuesto o de forma anónima;
d. Emplear el email para propagar virus, gusanos informáticos, caballos de Troya y otro software malicioso; y
e. Emplea cualquier cuenta de email externa para llevar a cabo asuntos oficiales de la agencia.
3. Si se recibe un correo sospechoso, bórralo sin abrirlo y luego vacía la carpeta de correo eliminado.
4. Los usuarios pueden acceder a su email proporcionado por el COV desde cualquier computadora personal, smartphone, tableta u otros dispositivos, empleando Internet.
5. Si se recibe un email abusivo, acosador o amenazante, no respondas y reporta el incidente a la Oficina del ISRM en security@dss.virginia.gov.
Para proteger los dispositivos electrónicos:
1. Protege con contraseña todas las computadoras personales (PCs), portátiles, dispositivos portátiles y estaciones de trabajo, con la función de activación automática configurada para un máximo de 15 minutos.
2. Emplear cifrado proporcionado por COV u otras medidas de seguridad para proteger la información almacenada en portátiles y dispositivos informáticos portátiles y para proteger dichos dispositivos contra robos.
3. Cerciórate de que todos los PCs, portátiles y estaciones de trabajo cuenten con software aprobado para escanear virus y una base de datos de virus actualizada.
4. Si un dispositivo portátil soporta software de escaneo de virus, cerciorar de que el software esté activo y que los parches antivirus disponibles para el software instalado estén actualizados.
5. Los Servicios de Tecnología de la Información (ITS) e ISRM desactivarán las cuentas y dispositivos afectados si una computadora o cuenta remota tiene un virus, es parte de un ciberataque o pone en peligro de alguna manera la seguridad de la red VDSS/LDSS. El acceso se restablecerá una vez que ITS determine que la computadora, la cuenta o el dispositivo es seguro.
6. Cerciórate de que los dispositivos informáticos portátiles sin supervisión estén protegidos contra accesos no autorizados. Por ejemplo, cerciórate de que estos dispositivos estén cerrados con llave en una oficina, en un cajón o archivador, o fijados a un escritorio o clóset mediante un sistema de cierre por cable. Las opciones lógicas de seguridad incluyen contraseñas de protector de pantalla y tiempos automáticos de sesión.
7. Siempre bloquea tu computadora cuando te alejes de tu escritorio.
(Ctrl + Alt + Supr o tecla Windows + "L")
8. El almacenamiento, visualización y procesamiento de información sensible solo pueden realizar en equipos ** o medios de almacenamiento ** que sean emitidos por la Commonwealth (gestionados por VITA), bajo la Gestión de Dispositivos Móviles por VITA o VDSS, o gestionados por agencias locales de apoyo compartido en cumplimiento de las directrices especificadas por VITA.
**Incluye escáneres, memorias USB, discos ópticos, discos duros portátiles, smartphones, tabletas, dispositivos multifunción (MFDs), impresoras y computadoras.
La conexión de cualquier dispositivo que no fue emitido por la Commonwealth o VDSS a la red COV o a un dispositivo conectado a la red COV está estrictamente prohibida.
A los usuarios se les prohíbe expresamente emplear servicios conectados a Internet como Siri para realizar negocios de agencias relacionados con información sensible. Si los usuarios no están seguros de la sensibilidad o del servicio, no deben realizar ninguna función empresarial empleando servicios conectados a Internet. Este requisito puede ser eximido por VDSS durante situaciones de emergencia o en excepción por el CISO.
Cualquier dispositivo empleado en violaciones de esta política puede ser borrado de todos los datos y software. Las personas que realicen actividades no autorizadas mencionadas anteriormente incumplirán la Política de Uso Aceptable de Recursos de Información VDSS y pueden estar sujetas a sanciones o medidas disciplinarias que impliquen la pérdida de privilegios y/o acciones de personal.
9. Para ello, los dispositivos que no pertenecen a COV no pueden conectarse directamente a una red COV o a un dispositivo COV, como una computadora de escritorio o portátil. Además, los dispositivos propiedad de localidades que no están gestionados por VITA no pueden usar para acceder directamente a una red COV o a un sistema de información VDSS registrado, incluidos aquellos sistemas que contienen información sensible.
1. La información crítica no sensible para el negocio debe almacenar en un recurso compartido de red, como las unidades "W:\", "H:\" o "R:\". Estos discos se hacen copias de seguridad cada noche y las copias de seguridad se envían fuera del sitio para fines de recuperación ante desastres. No se almacenarán datos sensibles en unidades de red ni en un escritorio o portátil a menos que estén cifrados y aprobados por el CISO del VDSS y el Comisionado.
2. Almacena los medios (disquetes, cintas, USB y CD-ROMs) en un lugar seguro, lejos de temperaturas extremas y luz solar.
3. Dispositivos multifunción (MFD) e impresoras de alto volumen (HVP): No impriman FTI. Si la FTI se imprime accidentalmente, se deben seguir los procedimientos adecuados de destrucción y eliminación de la TI.
4. Seguridad de la documentación y los elementos confidenciales
Los empleados deben proteger información sensible y confidencial en formato impreso o electrónico al final del día.
Toda la documentación sensible y confidencial debe retirar de los escritorios y colocar en un cajón o archivador. (Por favor, siga las políticas y procedimientos establecido para proteger los objetos confidenciales).
Todos los empleados deben realizar una breve comprobación antes de abandonar su puesto de trabajo, cerciorando todos los objetos apropiados y cerciorar de que el puesto esté limpio y libre de objetos innecesarios.
Los empleados deberán archivar o deshacer de los documentos en papel según lo requiera la política de conservación de documentos aplicable.
La red P2P no está permitida en la red VDSS bajo ninguna circunstancia.
No se permite el uso excesivo del ancho de banda VDSS ni de otros recursos informáticos. Realizar descargas de archivos grandes y otras tareas que consumen mucho ancho de banda y que solo pueden degradar la capacidad o el rendimiento de la red en tiempos de bajo uso.
1. Se permite el uso personal ocasional e incidental de los recursos de información VDSS proporcionados por la agencia, siempre que dicho uso no viole ninguna política y procedimiento de la agencia o COV, interfiera con la conducción de los asuntos estatales o el desempeño laboral (basado en volumen o frecuencia), implique solicitaciones o actividades ilegales, o afecte negativamente al funcionamiento eficiente de los sistemas informáticos de la agencia, perjudicar a la agencia o al Commonwealth o involucrar a negocios personales con ánimo de lucro.
2. El uso personal incidental de email, acceso a Internet, máquinas de fax, impresoras, fotocopiadoras, etc., está restringido a usuarios aprobados y no se extiende a familiares u otros conocidos.
Los usuarios no deben emplear conscientemente sistemas informáticos propiedad o proporcionados por VDSS para actividades consideradas ilegales según la legislación local, estatal, federal o internacional.
Estas acciones incluyen, pero no se limitan a:
1. Escaneo no autorizado de puerto;
2. Hackeo no autorizado de red;
3. Olfateo de paquetes no autorizado;
4. Suplantación no autorizada de paquetes;
5. Denegación de servicio no autorizada;
6. Hackeo inalámbrico no autorizado;
7. Cualquier acto que pueda considerar un intento de obtener acceso no autorizado o escalar privilegios en una computadora u otro sistema electrónico;
8. Actos de terrorismo;
9. Robo de identidad;
10. Espionaje;
11. Descargar, almacenar o distribuir material violento, perverso, obsceno, obsceno, obsceno u ofensivo según lo consideren los estatutos aplicables; y
12. Descargar, almacenar o distribuir material protegido por derechos de autor.
Los dispositivos de almacenamiento personal representan una amenaza seria para la seguridad de los datos y están prohibidos en la red VDSS. Ejemplos: memorias USB, almacenamiento personal en la nube o discos duros externos.
Una memoria USB comprada por COV puede usar para conectarse tanto a un dispositivo que no es COV como a un dispositivo COV.
Esta práctica sería adecuada con los siguientes requisitos:
• Ninguno de los trabajos realizados en la computadora no COV implica el uso de datos sensibles de manera no cifrada. Los datos sensibles, estén cifrados o no, no pueden almacenar en el disco duro de la computadora local. El trabajo realizado debe acceder y almacenar en la memoria USB COV. Cualquier trabajo que emplee una computadora no COV que implique datos sensibles debe tener la memoria caché de la computadora borrada tras completar cada sesión de trabajo en esa computadora.
• Los datos sensibles en la memoria USB deben estar cifrados.
• Los datos no sensibles en la memoria flash no necesitan ser cifrados.
• Los datos relacionados con el trabajo almacenados en una memoria USB comprada por COV pueden almacenar o migrarse a un dispositivo COV, como una computadora de escritorio o portátil.
Las memorias USB perdidas deben ser reportadas a la Oficina Central de Seguridad. Incluye una descripción de la información sobre el disco.
Todas las aplicaciones, ya sean instaladas localmente o en la nube (Internet), deben ser revisadas y aprobadas por ISRM.
Las computadoras VDSS se configuran con un paquete de software estándar que responde a las necesidades de los usuarios VDSS/LDSS. Si es necesario instalar software adicional o aplicaciones en la nube (Internet) para realizar el trabajo de la agencia, debe cumplir con los siguientes requisitos:
• El software debe estar en la lista de Software Aprobado por VDSS, mantenida por la Oficina ISRM;
• El software debe emplear conforme a las leyes de derechos de autor y al acuerdo de licencia;
• Debe haber pruebas suficientes de propiedad del software instalado;
• El software no debe afectar al rendimiento del software aprobado por VDSS ni del hardware VDSS; y
• El software debe cumplir con el cifrado de datos sensibles en tránsito y en reposo.
Esta política se aplica a software producido comercialmente, shareware, software de dominio público, freeware y aplicaciones en la nube (Internet). La instalación o modificación de cualquier software en los sistemas de la agencia está prohibida salvo que esté autorizada por escrito por el CISO o el representante del VDSS. Cualquier modificación o cambio en la configuración estándar del dispositivo o sistema promulgada por VITA / Proveedor de Servicios Tercero está prohibida, salvo que esté autorizada por escrito por el CISO o el representante del VDSS. El software puede ser analizado por VITA / proveedor de servicios externo para garantizar que se mantenga la integridad de la red.
1. Las compras de hardware IT (computadoras de escritorio, portátiles, tabletas, servidores, impresoras, etc.) para VDSS y agencias locales de soporte completo deben hacerlas por VITA. Emplea la plantilla de solicitud de hardware en el manual de Políticas y Procedimientos de Gestión de Activos de IT de Sistemas de Información VDSS. Abre un ticket con el VCCC y solicita que el ticket sea asignado al Gerente de Servicios de IT de VDSS para aprobación. Las agencias locales de apoyo compartido pueden adquirir y mantener su propio hardware y software IT en cumplimiento con los requisitos COV y VDSS. VITA revisará las solicitudes de las agencias y coordinará los activos de compra y/o ubicación o gestión de asientos para garantizar la compatibilidad con los estándares establecido de configuración de dispositivos y sistemas LAN.
2. Los medios como CDs, DVDs, memorias USB y discos duros portátiles, si se compran con fondos de COV/VDSS, son, por definición, propiedad de COV; por lo tanto, estos elementos pueden conectarse y emplear en equipos y redes de COV/agencia para almacenar y/o transportar datos de COV/agencia.
El uso inapropiado de los sistemas de información para acceder a información sensible que no es necesaria para desempeñar tu trabajo puede resultar en la suspensión indefinida del acceso al sistema de información y la posible derivación penal al Commonwealth Attorney local si la información sensible pertenece a otra persona. La suspensión sigue vigente independientemente de dónde trabajes dentro de la DSS. El acceso solo podrá restaurar a discreción del CISO del VDSS.
Lo siguiente se consideraría un uso inapropiado:
• Emplear un sistema de información DSS/federal/estatal para consultar información sobre un familiar;
• Emplear un sistema de información del DSS/Federal/Estatal para consultar tu propia información;
• Emplear un sistema de información del DSS/Federal/Estatal para buscar a cualquier persona que no forme parte de un caso del DSS;
• Emplear un sistema de información DSS/federal/estatal para realizar cualquiera de las tareas anteriores para otro colega o supervisor; y
• Compartir datos del DSS con otra persona o agencia fuera de un Memorándum de Acuerdo establecido.
• Solo las personas autorizadas deberán acceder y/o intentar acceder a un Área Restringida del DSS ubicada en las oficinas del DSS donde se reciba, procesa, transmite o almacena Información Identificable Personal (PII) y/o Información Fiscal Federal (FTI). Debido a que estas áreas contienen PII y/o FTI, deben tratar como áreas restringidas.
• Las sanciones por acceso no autorizado y/o divulgación indebida de FTI están definidas en el Código de Rentas Internas (IRC) 7213, IRC 7231A e IRC 7431. La violación de estas leyes puede conllevar acciones disciplinarias o sanciones de cualquier cantidad que no exceda5$,000 y/o 5 años de prisión. Además, se pueden imponer sanciones civiles de no más de1$,000 y/o 1 año de prisión.
• Los sistemas de información VDSS y la información contenida en cada sistema, incluida la información proporcionada por la Administración de la Seguridad Social (SSA), se consideran activos y deben proteger contra accesos y/o divulgaciones no autorizadas.
• Las sanciones por acceso no autorizado y/o divulgación indebida de información proporcionada por la SSA están definidas en la SSA 453 (I) (2). La violación de estas leyes puede conllevar acciones disciplinarias o sanciones de cualquier importe que no exceda1$,000 y acciones civiles contra los contribuyentes.
• La información confidencial divulgada mediante el Sistema de Consulta de Registros de la Comisión de Empleo de Virginia (VEC) solo se empleará para fines autorizados por el VEC. La pena se especifica en §§ 60.2-114 y 18.2-186.6 del Código de Virginia, por el cual el acceso o uso indebido de la información obtenida constituye un delito menor de clase 2 y puede estar sujeto a sanciones civiles.
• Se aplican restricciones y sanciones a la divulgación incluso después de que finalizó el empleo o el contrato con la agencia.
• Al descubrir una posible inspección o divulgación inadecuada de FTI, incluyendo brechas e incidentes de seguridad, debo cumplir los requisitos adecuados de notificación de incidentes para cerciorar que la Oficina de Salvaguardas y el Inspector General del Tesoro para la Administración Tributaria sean notificados de un posible problema relacionado con FTI en un plazo de 24 horas.
• Los incidentes sospechosos de acceso no autorizado y/o divulgación indebida de información proporcionada por FTI o SSA deberán ser comunicados al CISO del VDSS Barry Davis, 804-726-7153, Barry.Davis@dss.virginia.gov, y la Oficina Central de Seguridad (CSO), security@dss.virginia.gov, Inmediatamente.
1. Todos los usuarios deben reconocer la aceptación y el cumplimiento continuo de esta política, incluido el Código de Virginia, § 2.2-2827 (Restricciones al acceso de los empleados estatales a la infraestructura de información). Los empleados reconocerán además que esta política puede cambiar de vez en cuando y aceptarán cumplir con las revisiones actuales y posteriores de la misma.
2. Los casos conocidos de incumplimiento de esta política deberán ser reportados al supervisor/gerente del empleado, al Departamento de Desarrollo Organizacional (OD) y a la Oficina VDSS ISRM.
3. Las infracciones de esta política se gestionarán de acuerdo con los procedimientos disciplinarios establecido. La acción disciplinaria se determinará caso por caso por la dirección adecuada del VDSS o LDSS, con sanciones hasta o incluyendo la terminación según la gravedad de la infracción.
4. El uso inapropiado de los sistemas de información para acceder a información que no es necesaria para desempeñar tu trabajo puede resultar en la suspensión indefinida del acceso al sistema de información. La suspensión sigue vigente independientemente de dónde trabajes. El acceso solo podrá restaurar a discreción del CISO del VDSS.
5. No se puede conceder acceso a los sistemas de información VDSS, Internet, email u otras comunicaciones electrónicas antes de firmar el Acuerdo de Acuse de Reconocimiento de Política y Confidencialidad de Seguridad de la Información VDSS.
Seguridad de la Información VDSS - Acuerdo de Reconocimiento de Política y Confidencialidad (.pdf)
Política DHRM nº 1.75, Uso de las comunicaciones electrónicas y las redes sociales (.pdf)
Guía de Política y Programa de Seguridad de la Información VDSS (.pdf)
Política y Procedimientos de Gestión de Activos de TI de VDSS (.pdf)
Las políticas descritas se basan en los requisitos que se encuentran en los siguientes códigos, normativas, leyes, normas y directrices:
Código de Virginia, § 2.2-2005, etc. Siguiente.
Poderes y funciones del Director de Información "CIO" de la Virginia Information Technologies Agency, "VITA"
Código de Virginia, § 2.2-2009, etc. Siguiente.
Funciones adicionales del CIO relacionadas con la seguridad de bases de datos gubernamentales
Código de Virginia, § 2.2-2827
Restricciones al acceso de los empleados estatales a la infraestructura de información
Código de Virginia, §2.2, 12del capítulo
Gestión de Recursos Humanos del Departamento, DHRM