BANCO BBVA

REGLAMENTO SOBRE EL USO Y MANEJO DE LOS SISTEMAS DE

INFORMACION

DATA CENTER

Ref. DE-3023-2017

Coatepeque, 05 de Mayo 2017.

Licenciado
Oscar Yovani Samayoa
Director Gestin y Control
Banco BBVA
Presente

Licenciado Samayoa:

Adjunto al presente se remite el Reglamento sobre el uso y manejo de los

Sistemas de informacin , el cual se traslada debidamente firmado por las
reas correspondientes y aprobadas por este Despacho para que continu con
la divulgacin e implementacin del mismo.

Atentamente,

Lic. Reynaldo Gallo

Director Ejecutivo
I. Introduccin

El Centro de Datos (Data Center) es el lugar donde se concentran los

recursos necesarios para el resguardo, procesamiento y disponibilidad de la
informacin de la institucin por lo que debe ubicarse en un rea segura,
protegida por permetros de seguridad los cuales estn definidos y controles
de acceso para evitar el ingreso a personas que no estn autorizadas.

Todo con el fin de resguardar la integridad de los equipos almacenadas, la

informacin almacenada entre ellos y controlar el acceso fsico autorizado,
as como la interferencia a las instalaciones especficamente donde se
encuentra ubicado el Centro de Datos del Banco BBVA , se crea esta
normativa y procedimientos que establece los lineamientos para el cuidado,
resguardo de los equipos y la informacin almacenada en ellos, y todo lo
encontrado en el Centro de Datos.

II. Objetivo de la Normativa.

Proveer un documento tcnico-administrativo que norme los procedimientos

que deben seguir los empleados para minimizar los riesgos en el manejo de
la informacin y el cuidado apropiado de los equipos en el Centro de Datos,
mediante controles que garanticen el resguardo de la Informacin
almacenada y procesada del Banco BBVA.

III. Campo de Aplicacin.

La presente normativa ser de aplicacin y observancia obligatoria para la

Direccin de Informtica, adems trabajadores y visitas, que por sus
funciones requieran ingresar al Centro de Datos.

IV. Base Legal .

Se promulga este Reglamento en virtud del uso de ISO 27001.

Este Reglamento esta formulado segn la ISO 27001 y est en armonas

con las leyes y reglamentaciones internacionales, federales y estatales.

V. Monitoreo y Seguimiento del Manual

Para garantizar la vigencia y efectividad del manual, El encargado de

Informtica, debern mantener un proceso constante de revisin y solicitar
la actualizacin oportuna para realizar inclusin de ajustes y modificaciones
que se consideren pertinentes, debiendo efectuarse cada vez que
cualquiera de las normas y procedimientos establecidos lo requieran.
Normas Generales de Seguridad del Centro de Datos.

Artculo 1.El Jefe de Informtica debe garantizar la seguridad de cada

dispositivo que se encuentra en el Banco BBVA.

Artculo 2. El Jefe de Informtica , debe garantizar que el Centro de Datos

cuente con el suministro de UPS adecuado, luces de emergencia en caso de
falla del suministro principal, para el soporte continuo de las operaciones del
BANCO BBVA.

Artculo 3. El Director de Informtica deber gestionar el suministro de una

planta de energa alterna para la continuidad de las operaciones en caso de
fallas de energas, al cual debe contar con un suministro adecuado de
combustible(mnimo 10 horas), as como considerar el abastecimiento de la
misma.

Artculo 4. El Jefe de Informtica debe velar que el Centro de Datos cuente con
un sistema de energa elctrica redundante, preferiblemente con un panel de
control independiente al resto de oficinas de la Institucin de acuerdo al grado
de certificacin del Centro de Datos.

Artculo 5. El Jefe de Informtica debe velar por la proteccin de los equipos

contra los fallos en el suministro de energa u otras anomalas elctricas y de
funcionamiento.

Artculo 6. Cada Jefe de los distintos departamentos ser responsable de la

administracin del equipo instalado en el Centro de Datos, el cual debe definir
los tiempos estimados de vida til para programar con anticipacin el cambio
oportuno del mismo.

Artculo 7. El Jefe de Informtica debe elaborar y mantener el diseo del

sistema de cableado de telecomunicaciones, de acuerdo a las necesidades del
equipo y al grado de certificacin que tiene el Centro de Datos.

Artculo 8. El Jefe de Infraestructura deber gestionar el suministro de

extintores y dems equipos adecuados para mitigar cualquier dao al
suministro electrnico del Data center.

SEGURIDAD FSICA DEL CENTRO DE DATOS.

Artculo 9. Director de Informtica deben contar con un mecanismo de control

de aire acondicionado que garantice un entorno operativo adecuado al equipo
instalado en el Centro de Datos.

Artculo 10. El Jefe de Infraestructura debe gestionar que el Data-Center

cuente con alertas tempranas (deteccin de humo, temperatura, humedad)
activadas mediante sensores, que permitan dar una respuesta oportuna ante
cualquier eventualidad y sea monitoreado a travs del centro de monitoreo.

Artculo 11. El Director de Informtica debe velar que la puerta de ingreso al

Centro de Datos tenga una estructura de metal, blindada, y que sea seguro el
cierre y una chapa de acceso biomtrico.

Artculo 12. El Jefe de Infraestructura garantiza que el Centro de Datos tenga la

infraestructura adecuada, para el buen funcionamiento del equipo instalado.

Artculo 13. Jefe de Infraestructura informtica debe velar que el Centro de

Datos mantenga las medidas necesarias de seguridad, lejos de fuentes de
interferencia de acuerdo al grado de certificacin de Datos.

Artculo 14. El Jefe de Informtica deber gestionar la proteccin y

mantenimiento del cableado de energa y de telecomunicaciones que
transporten datos o soporten servicios de informacin para prevenir posibles
interceptaciones o daos.

Artculo 15. El Director de Informtica deber gestionar ante la Direccin

Administrativa, el abastecimiento de cmaras de seguridad para la instalacin y
uso exclusivo del Centro de Datos.

Artculo 16. El Jefe de infraestructura informtica deber programar el

mantenimiento preventivo y correctivo de las instalaciones elctricas, sistemas
de tierra fsica y dems sistemas de proteccin por lo menos una vez al ao o
la periodicidad que indique el grado de certificacin del Centro de Datos.

Artculo 17.Todo incidente de seguridad, deber ser reportado por el Jefe de

Infraestructura Informtica, quien a su vez deber dar respuesta en un plazo no
mayor de tres horas, para determinar la causa del incidente mediante la
grabacin de video.

ACCESO FSICO AL CENTRO DE DATOS.

Acceso por medios biomtricos.

Artculo 18. El Jefe de Infraestructura ser quien designe al administrador

biomtrico para que gestione el acceso al Centro de Datos.

Artculo 19. El biomtrico deber de soportar el ingreso del trabajador y visita

autorizados en horarios permitidos y autorizados.

Responsabilidad de acceso.

Artculo 20. El Jefe de Informtica debe verificar que todo trabajador visita que
solicite el ingreso al Centro de Datos debe estar designado y autorizado por el
Centro de Datos del Banco BBVA.
Artculo 21. El Empleado que tenga autorizado ingresar al Centro de Datos,
deber tener un rol biomtrico, el cual est a cargo de administrador de
Informtica.

Artculo 22. Los trabajadores del Banco BBVA que estn autorizados en el
Centro de Datos, el uso de gafete, as como la identificacin en el biomtrico es
de carcter obligatorio.

Artculo 23. El trabajador que solicite acceso al Centro de Datos, deber

completar un formulario , con firmas y sellos del Jefe Inmediato, del Director del
rea solicitante.

Artculo 24. Toda persona ajena a la institucin que no est incluida en el

listado autorizado de acceso permanente a la Direccin de Informtica o que no
tenga autorizacin, no podr ingresar al Centro de Datos.

Artculo 25. Toda persona externa que solicite el ingreso al Centro de Datos,
deber hacerse acompaar por uno o dos trabajadores de la Direccin de
Informtica con autorizacin de acceso por parte del departamento de
Informtica.

CONTROL DE VISITAS.

Artculo 26. Toda persona que ingrese al Data-Center sea trabajador interno,
visitas, servicio de limpieza, proveedores, y otros deben anotarse en la
Bitcora control de Acceso y debe ser grabado.

Artculo 27. El jefe de informtica deber gestionar con el personal bajo su

cargo, que toda persona que ingrese al Data Center, complete el formulario con
los datos: Fecha, hora de entrada y salida, nombre completo, CUI, nombre de
la empresa. Motivo de la visita.

Artculo 28. El Jefe de informtica deber delegar a su personal el monitoreo de

la bitcora de control de acceso fsico.

INGRESO O EGRESO DE EQUIPO

Artculo 29.Las personas externas que requieran ingresar equipo al Data-

Center debern solicitar autorizacin por escrito y completar el formulario.

Artculo 30. El jefe de Seguridad deber entregar al agente de seguridad una

copia de la carta de solicitud de la persona o empresa externa, para que se
autorice a los visitantes la entrada o salida de los equipos del data center.

Artculo 31. El equipo que se encuentre en el Centro de Datos, que sea

propiedad de personas ajenas de la Institucin , deber tener autorizacin
escrita por parte del Director de la Direccin de Informtica y Estadstica.
Artculo 32. La Direccin de informtica debe tener presente que todo equipo
que sea retirado por insolencia, deterioro o cambio definitivo, debe asegurar
que la informacin contenida en el mismo sea eliminada en su totalidad,
garantizando que no sea posible su recuperacin.

LIMPIEZA EN AREAS RESTRINGIDAS.

Artculo 33. El Data Center debe tener un calendario con fechas y horarios de
limpieza dentro del mismo, el cual deber estar coordinado por el jefe de la
infraestructura informtica.

Artculo 34. El jefe de Informtica velar que la persona delegada, cumpla con
los procedimientos de limpieza, utilizando equipos y limpiadores que no daen
o perjudiquen la infraestructura del lugar y debe grabar todo lo que el personal
de limpieza realiza dentro del Centro de Datos.

PROHIBICIONES Y SANCIONES.

Las siguientes prohibiciones sern de aplicacin obligatoria para todo

trabajador interno o persona externa que ingrese al Data-Center.

- Los visitantes o personas externas debern tener presente que cualquier

incumplimiento a referidos en este manual, significar la expulsin
inmediata de las instalaciones del Centro de Datos.
- Prohbe el ingreso de armas de fuego, cuillos o similares.
- Prohibido el ingreso de estado de embriaguez, oh consumiendo bebidas
alcohlicas.
- Prohibido el ingreso con vestimenta inapropiada (pantalones cortos,
camisas sin mangas, chancletas.)
- Prohibido el consumo de cigarrillos.
- No debe utilizarse el Centro de Datos para almacenar cajas,
documentos y equipo no instalado.
- No se debe hacer uso de circuitos destinados a la alimentacin de racks
para conectar otros equipos como cargadores de celulares, aspiradores,
ventiladores, etc.
- No est permitido retirar equipo o accesorios sin autorizacin expresa
por escrito del Director del informtico.
- No est permitido, copiar, alterar o destruir informacin resguardada en
los equipos en el Centro de Datos.
- No se deben bloquear puertas de accesos, bloquear o daar cmaras de
seguridad, sensores de humo, temperaturas y humedad.

Todo empleado del Banco BBVA que infrinja lo estipulado en el presente

documento, ser sujeto de acciones disciplinarias de acuerdo al
Reglamento Interior.
GLOSARIO:

A. Aplicacin: Es un programa completo y autnomo que realiza una

funcin especfica directamente para el usuario.
B. Base de Datos. Es una coleccin de tablas que organizan los datos y la
informacin por lo que fcilmente se pueden acceder, gestionando y
actualizado.
C. Backup. Es el procedimiento que permite a un usuario o empresa, hacer
una copia de los datos que pueden ser recuperados en u n momento
posterior, en caso de que los datos que se vuelvan inutilizables, o se
pierdan como resultado de un desastre, daado o eliminacin accidental.
D. Data Center: Es un espacio fsico o instalacin utilizada para los
sistemas informticos internos y componentes asociados tales como los
sistemas de almacenamiento y telecomunicaciones.
E. Internet: recurso de investigacin ms abarcador, nos permite acceder
a bases de datos internacionales, bibliotecas y centros de investigacin.
Nos comunicamos a travs de la red. Tambin se administra este portal
y sus servicios.
F. Server: Distribuye la informacin a los equipos que se conectan a l.
Cuando los usuarios se conectan a un servidor, se puede acceder a
programas, archivos y otra informacin que administra el equipo.
G. Servicio: Aquellos servicios de Sistema de Informacin que
incluyen, pero no se limitan a programas de oficina, correo
electrnico, impresoras, computadoras, internet, entre otros.
H. Sistema de Informacin. Todo lo que envuelva medios digitales y
equipo, desde la gestin de datos, redes , cables, infraestructura,
informtica, diseo de programas, administracin de base de datos y
administracin de sistemas, se entiende incluye en el trmino de
Sistemas de Informacin.
I. Usuario: Funcionario, empleado, contratista y Miembro a quienes se les
ha concedido acceso a los Sistemas de Informacin contemplado en el
Data Center.
 for
Formulario de Acceso Biomtrico del Centro de Datos

Correlativo No.

Llenar todos los campos con letra clara .

Fecha: Usuario de Red: CUI:

Nombre completo
Nombre de Oficina
Departamento:
Motivo por el cual
necesita acceso al
Data Center.

El presente documento es de su conocimiento sobre la responsabilidad que adquiere para ingresar al Centro
de Datos del banco BBVA , por medio de un sistema biomtrico.

Los siguientes trminos y condiciones deben ser ledos y aceptados.

1. El usuario no deber por ningn motivo violar la seguridad de acceso al Centro de Datos, sino est
autorizado su ingreso.
2. Toda persona que ingrese al Centro de Datos(usuarios, visitantes, proveedores, terceras partes,
personal de limpieza).
3. No est permitido el ingreso de bebidas y alimentos de ningn tipo dentro de las instalaciones del
Centro de Datos.
4. No est permitido realizar en el Centro de Datos las siguientes actividades, sin la autorizacin de la
Direccin de Informtica y Estadstica.
a) El ingreso de personas no autorizadas.
b) La instalacin de cualquier tipo de cableado sin la supervisin de la Jefatura de Informtica.
c) El ingreso de telfonos celulares, equipo de grabacin fotogrfica, de video, audio y ningn tipo de
dispositivos mviles.
d) La conexin de equipos de cmputo sin la supervisin de la Jefatura de infraestructura.
5. Cualquier interrupcin que se presente por error humano, voluntario o involuntario a los sistemas
dando una baja. En la tercera llamada de atencin ser considerada una falta grave y ser sancionado
segn el reglamento. Si el usuario no obedece a lo anteriormente descrito, y provocar una
interrupcin en los servicios ser considerada una falta grave y ser sancionado con despido.

El usuario declara haber ledo y aceptado ntegramente los trminos y condiciones.

F

Firma Usuario Autorizacin Jefe Director rea Director Informtica

DIA MES AO HORA