Universitat Jaume I - UJI - Castello

Estructura i organització

Informació institucional i normativa

Resum normatiu en matèria de seguretat dels sistemes d’informació

Introducció
Normes d’ús dels mitjans informàtics de la Universitat Jaume I de Castelló
Normativa del portal de la Universitat i dels espais web
Obligació de notificar els incidents de seguretat
Relació amb el Sistema de Gestió de la Seguretat de la Informació

1. Introducció

Aquest resum normatiu recull el que s’establia en les “Normes d’ús de la xarxa informàtica de l’UJI” i les “Normes d’ús dels mitjans informàtics de la Universitat Jaume I” així com el que es disposava en els “Criteris de cessió dels espais WWW a l’UJI”. Se completa a més amb algunes qüestions derivades de la implantació del Sistema de gestió de la seguretat de la informació de la UJI i incorpora els trets més significatius de les normes que formen part del mateix.

2. Normes d’ús dels mitjans informàtics de la Universitat Jaume I de Castelló.

En favor de les llibertats públiques

Les normes de funcionament dels mitjans informàticspretenen fer possible la utilització i optimització d'aquest mitjà amb el respecte dels drets i llibertats que recull la Constitució.

Els principis rectors de l'UJI

Tal i com estableix el títol preliminar dels Estatuts de la Universitat Jaume I de Castelló, la comunitat de la Universitat Jaume I es basa en els principis rectors de llibertat, democràcia, justícia, independència, pluralitat, pau i solidaritat. A més, la Universitat ha de procurar la formació integral dels seus membres per a la participació en el progrés de la societat contribuint a assolir una convivència pacífica, justa, solidària, no discriminatòria i amb respecte al medi ambient

Els mitjans informàtics de la Universitat no podran ser emprats per a emetre missatges o imatges contraris als principis recollits als Estatuts d'aquesta.

Seguint les finalitats de la Universitat Jaume I, s'afavorirà l'ús de la llengua pròpia, amb l'objectiu de facilitar la consolidació i la plena normalització d'aquesta.

Finalitats de la xarxa de la Universitat

Els recursos informàtics i la informació que contenen han de ser utilitzats únicament per activitats científiques, educatives, de comunicació i de gestió, relacionades amb aquesta Universitat.

La Universitat no pot utilitzar ni permetre a uns altres l'ús dels seus mitjans per a activitats comercials, publicitàries, ni qualssevol altres amb ànim de lucre.

Titularitat dels equips

Tot l'equipament tècnic a la disposició dels membres de la comunitat universitària per al desenvolupament de les seves activitats acadèmiques o laborals és titularitat de l'UJI. De la mateixa forma, totes les utilitats instal·lades en aquest equipament es posen a la disposició dels usuaris amb la finalitat que aquests puguin portar a terme correctament i eficientment les seves activitats acadèmiques, investigadores o de gestió.

Ús d’Internet

Els recursos de l’UJI, no han de connectar-se a cap servei "on-line" via "connexió telefònica a xarxes" o qualsevol altra utilitat sense autorització prèvia i expressa de la UJI. La connexió a pàgines denominades de “navegació anònima” solament podrà realitzar-se en el marc d'activitats investigadores , acadèmiques o de desenvolupament.

Els recursos de la xarxa tenen una capacitat finita i unes limitacions, per tant aquests mitjans hauran de ser utilitzats de manera que no interferisquen l'activitat dels altres membres de la Universitat per a poder desenvolupar el seu treball i estudi.

L'ús de l’accés remot a les aplicacions de gestió compromet els usuaris autoritzats a notificar la pèrdua, compromís, accés indegut, alteració o qualsevol altra incidència relacionada amb la seguretat de les credencials d’accés o de la informació a la qual té accés, a través del procediment SPI “Notificació d’incidències de seguretat”.

Confidencialitat de les dades i intimitat

En relació amb les dades, els administradors del sistema de la Universitat Jaume I poden determinar categories de les dades a ser tractades com a confidencials o d'ús exclusiu dels administradors. Els usuaris hauran de respectar allò disposat a la normativa vigent en matèria de protecció de dades de caràcter personal, així com la intimitat dels altres usuaris. Mai obtindran intencionadament informació sobre arxius, o obtindran còpies d'arxius, o els modificaran sense comptar amb els permisos adequats per a fer-ho.

No utilitzaran mai la contrasenya d'altres usuaris o suplantaran la seua identitat. Només en casos molt concrets i amb l'autorització expressa del titular aquest comportament pot ser tolerable.

Obtenció de fons i publicitat

Serà preceptiva l'autorització del Consell Editorial per a qualsevol constància de patrocinis en la xarxa de la Universitat.

Aquesta autorització només es concedirà en el marc d’acords de patrocini, beques o ajudes a la docència i la investigació que signe la Universitat.

Cessió de serveis de xarxa

Tret del que preveu aquesta mateixa normativa en matèria d’espais cedits, la cessió de serveis de xarxa de la Universitat a individus o organitzacions externes només es farà de manera excepcional, justificada i en cap cas amb ànim de lucre.

Ús del nom de la Universitat

El nom de la Universitat no es pot fer servir sense autorització de manera que suggerisca o done a entendre que aquesta dóna suport a altres organitzacions, als seus productes, serveis, etc.

Qualsevol utilització general o específica de la imatge o nom de la Universitat Jaume I, en els seus diversos aspectes, que tinga com a finalitat la difusió general de la institució o d'algun estudi, centre, servei, activitat o altres, fora de la Universitat, ha de ser aprovada i gestionada pel Servei de Comunicació i Publicacions, o d'acord amb aquest, independentment que siga gratuïta o no i de la presentació i del suport utilitzats.

Propietat intel·lectual

S'ha d'assumir que la major part dels materials publicats a la xarxa tenen drets d'autor si no es declara explícitament el contrari. Es poden utilitzar citacions breus si s'identifica l'autor i l'obra d'on s'han pres.

No es poden publicar a la xarxa materials que siguen propietat d'altres, és a dir, obres protegides pels drets d'autor, sense l'autorització explícita del seu titular.

Materials llicenciats

Els materials llicenciats a la Universitat pels seus titulars (articles de premsa,entrades d'enciclopèdies, etc.) està restringit a l’àmbit de la Universitat. No ningú té dret a incloure'ls en documents per publicar-los a la xarxa i/o redistribuir-los.

Dret a la intimitat i a la pròpia imatge

No es pot publicar a la xarxa informació, imatges o vídeos sense l'autorització de les persones que hi apareixen. Tothom té dret a restringir l'ús de la seua pròpia imatge.

Protecció dels drets i llibertats

Les situacions conflictives que es puguen produir respecte a la vulneració dels drets seran remeses al Síndic de Greuges i a la Comissió Deontològica, respectivament.

Cap membre de la Comunitat Universitària no podrà llogar a tercers els mitjans programari, maquinari o d’accés a internet que obté en la seua condició de membre de l'UJI.

La Universitat Jaume I es reserva el dret de sancionar amb mesures acadèmiques i administratives a aquells membres de la comunitat que, fent un ús inadequat dels mitjans informàtics, contravinguen les normes d'ús abans esmentades.

La Universitat Jaume I quan algun dels seus membres, fent servir els mitjans informàtics que la mateixa Universitat posa al seu abast, ocasione perjudicis greus a aquesta mateixa institució o a terceres persones o entitats, es reserva el dret d'acudir als tribunals de justícia.

Condicions d'ús de les aplicacions d'intercanvi entre iguals (P2P)

Les aplicacions d'intercanvi d'informació entre iguals només podran utilitzar-se en la Universitat Jaume I per a la transmissió o recepció de material relacionat amb l activitat de la Universitat i amb respecte a la legislació vigent.

El Servei d informàtica adoptarà mesures tècniques que, per defecte, tallaran el tràfic amb l'exterior que es genere mitjançant la utilització d'aplicacions d'intercanvi d'informació entre iguals.

No obstant això, qualsevol usuari que necessite fer un ús d'aquestes aplicacions conforme al que es disposa en el primer paràgraf, podrà demanar que se li habilite la seua utilització mitjançant el SPI Sol·licitud d'ús de la xarxa P2P. Aquesta sol·licitud ha d'incloure la identificació de l'equip des del qual se farà ús del servei, el nom de l'aplicació que s'utilitzarà i la finalitat per a la qual se necessita, i ha d'anar adreçada al Servei d informàtica i comptar, si escau, amb l'autorització del cap d'unitat del sol·licitant.

Serà responsabilitat de l'usuari habilitat establir mesures de protecció del seu equip per a evitar usos inadequats d'aquestes aplicacions.

El Servei d’informàtica vetllarà pel bon ús d’aquestes eines i suspendrà cautelarment l’habilitació d’aquells equips sobre els quals es detecten activitats què puguen resultar il·lícites, en el moment en que es reba la corresponent denúncia.

Requeriments i procediments per a la connexió d'equips a la xarxa UJInet.

La connexió d'equips a les rosetes existents en zones d'ús compartit (marcades com FREEnet) i l'accés via Wi-Fi, requereix l'autenticació de l'usuari mitjançant un software de connexió.

Els dispositius que es connecten a rosetes ubicades en despatxos, laboratoris y la resta d'ubicacions d'ús no compartit, hauran de tindre l'adreça IP, el nom i adreça Ethernet, registrades a la base de dades corporativa de la Universitat. El Servei d'Informàtica (SI) manté una relació de rosetes, equips i adreces físiques dels equips connectats a la xarxa. La sol·licitud d'alta es gestiona mitjançant un comunicat d'intervenció al SI (http://cau.uji.es).

Com a excepció, en laboratoris, es poden fer xarxes privades connectades a la UJInet a través d'un router que faça NAT (traducció d'adreces IP). En aquestos casos el suport del Servei d'Informàtica acabarà en la interfície pública d'aquest router.

El personal del SI (Àrees d'Operació, Comunicacions i Sistemes), davant d'un problema de seguretat o pèrdua de servei que afecte altres equips de la xarxa procedirà a la desconnexió de l'equip o equips causants, fins que el problema estiga solucionat. Abans de procedir a la desconnexió, intentarà posar-se en contacte amb l'administrador de la màquina via correu electrònic i/o telèfon. Si l'impacte es considera greu i l'administrador no està localitzable procedirà igualment a la desconnexió. A l'administrador se l'informarà sobre les mesures preses i els motius que les van provocar.

Gestió de les polítiques de seguritat en els accessos als ordinadors connectats a la xarxa.

Els administradors de la xarxa UJInet del Servei d'Informàtica gestionen la relació de polítiques d'accés als distints ordinadors connectats Aquestes polítiques són més o menys restrictives en funció de del grau de privacitat de les dades que es gestionen o el nivell de disponibilitat requerit en els diferents dispositius.

Els administradors de les màquines, mitjançant les polítiques del firewall local, poden restringir més els accessos a les maquines que administren; però no alterar les regles definides a nivell general.

Si, per a l'exercici de la labor docent o administrativa, es necessiten alterar les polítiques definides pels administradors de la xarxa, aquesta modificació es deurà sol·licitar al Servei d'Informàtica mitjançant el procediment SPI “Sol·licitud d'alta, baixa o modificació d'un servidor en la xarxa”. Els tècnics d'aquest servei avaluaran si aquest fet suposa o no una amenaça per a la seguretat i actuarà en conseqüència, incloent l'accés demanat o bé, oferint alternatives que donen la mateixa funcionalitat. Les màquines per a les que s'ha concedit la modificació en els accessos es registrarán a la base de dades amb informació del seu administrador i el tipus d'accés.

Normativa sobre instal·lació de xarxes de transmissió de dades sense fils en el campus.

Les instal·lacions d'equipament d'emissió radioelèctrica a realitzar s'executaran seguint las directrius marcades per l'Oficina Tècnica d'Obres i Projectes i deurà complir amb el “Reglament Electrotècnic de Baixa Tensió així com amb les instruccions Tècniques Complementaries.

L'energia d'eixida emesa per qualsevol dispositiu ha d'estar per baix dels nivells de referència per a emissions radioelèctriques.

Es podran instal·lar xarxes sense fils privades en laboratoris d'investigació i locals d'associacions o entitats externes. En aquest últim cas s'aplicaran les mateixes normes a les que es fa referència en l'apartat “Requeriments i procediments per a la connexió d'equips a la xarxa UJInet” i s’observarà el següent:

El SSID de la xarxa no podrà ser uji/UJI ni eduroam/EDUROAM.
Els punts d'accés deuran disposar de mecanismes de control d'accés y seguretat tipus WEP, WPA, filtrat per MAC, 802.11. o qualsevol altre adient a l’ús que se li done a la xarxa d’accés.

En qualsevol cas, la petició d'instal·lació d'infraestructura sense fils es deurà notificar al SI, que mantindrà un registre de les mateixes.

Permisos d’administració d’equips microinformàtics

El personal de la UJI, en casos excepcionals o justificats pel seu vincle amb la Universitat, podrà demanar, a través del formulari SPI “Alta de permisos d'administració de l'equip microinformàtic”, que se li habiliten permisos d’administració sobre l’equip del qual és usuari.

L’usuari administrador només instal·larà programari no estàndard quan siga absolutament necessari per a les seues tasques professionals i sempre que dispose de la corresponent llicència.

Tampoc podrà desactivar els mecanismes preventius d'actualització automàtica del sistema operatiu i de la protecció antivirus, i si utilitza algun mitjà de protecció antivirus diferent a l’institucional se compromet a mantenir-lo actualitzat. En cap cas cedirà a tercers el permís d'administració.

El SI donarà manteniment i suport limitat a les màquines de les quals l’usuari és administrador, fent-se aquest

responsable del manteniment i suport de la màquina i de la gestió de les llicències.

Programari maliciós

El Servei d'Informàtica de la UJI pren les màximes precaucions per a evitar qualsevol contagi implantant mesures tècniques que eviten l'entrada a la xarxa corporativa de virus. No obstant això, davant qualsevol sospita d'una entrada d'un virus informàtic, l'usuari haurà de seguir el següent protocol:

Comunicar immediatament al CAU qualsevol sospita d'atac per virus informàtics, pesca (phishing) o suplantació de llocs web amb la finalitat d'obtenir credencials d'accés dels usuaris, programari maliciós, etc.
No executar mai un programa adjunt a un correu electrònic i en el cas d'adjunts no executables, assegurar-se primer que no contenen cap codi maliciós mitjançant l'ús d'el programari adequat.

Correu electrònic

Per motius de seguretat, el correu electrònic no podrà ser utilitzat per a enviar ni per a contestar missatges o cadenes de missatges susceptibles de provocar congestions en els sistemes de la UJI o que puguin introduir virus o implicar qualssevol riscos o problemes en els sistemes i eines informàtiques i tecnològiques de la Universitat.

Els continguts dels correus electrònics són conservats durant un període màxim de 7 dies, que és el període màxim en el qual l'aplicació lliura un esdeveniment “fallida d'enviament” i elimina el correu de la seva cua.

Els continguts dels missatges de correu no s'emmagatzemen en el servidor. Es troben en aquest, de manera transitòria i per motius tècnics, durant un període màxim d'una setmana. Incidentalment, per tant, alguns missatges de correu electrònic poden ser objecte d'una còpia de seguretat diària o setmanal, en el cas que no puguen ser lliurats immediatament. L’usuari ha de ser coneixedor d’aquesta circumstància que accepta en fer ús del sistema corporatiu de missatgeria de la Universitat.

Control de incidències en la xarxa

La navegació per Internet i l'ús del correu electrònic per part dels membres de la comunitat no són objecte de revisió sistemàtica per la UJI per a respectar la llibertat en l'exercici de les funcions de cada treballador, el seu dret a la intimitat i el secret de les comunicacions. No obstant això, es realitzarà un mínim control que tindrà per finalitat la detecció de possibles conductes abusives, la prevenció de conductes delictives, seguretat, protecció de béns i persones, detecció de virus i atacs de seguretat.

Ús de sistemes de xifrat

S'utilitzaran, d'acord amb la llei, sistemes de xifrat per a la transmissió de dades de caràcter personal relatius a la salut, origen racial, afiliació sindical, sexe, religió, ideologia i creences.

Firma electrònica e identificació

L'UJI podrà establir la necessitat d'accedir a determinada informació continguda en els seus sistemes d'informació mitjançant l'ús de certificats digitals per a autenticar a cadascun dels usuaris.

La UJI publicarà en la seu electrònica la relació de certificats de signatura electrònica avançada admesos i els prestadors que els expedeixen.

La Universitat ha de garantir que l'accés als seus serveis de tramitació electrònica pot fer-se únicament amb plenes garanties de la identitat de l'usuari, ja siga intern o extern. Amb eixa finalitat establirà els corresponents mecanismes d'autenticació basats en mitjans d'accés com usuari/contrasenya, certificat per a signatura electrònica o qualssevol altres que acrediten suficientment la identitat.

En el cas d'accés mitjançant usuari/contrasenya la mateixa haurà de ser comunicada, per mitjans segurs, exclusivament al titular de la mateixa i ha de forçar-se la modificació d'aquesta pel propi usuari en el primer inici de sessió. Les contrasenyes han de renovar-se periòdicament.

Normativa d’ús dels equips portàtils

Els equips portàtils de l’UJI són utilitzats pel personal de la Universitat a fi de facilitar el correcte compliment de les seues tasques.

No es permet la manipulació de components o de programari instal·lat en els equips portàtils administrats pel SI.

És responsabilitat de l'usuari realitzar còpies de seguretat sobre les dades gestionades en un equip portàtil al seu càrrec així com mantindre l'equip en bones condicions.

Davant una connexió no fiable, en la mesura del possible, l'usuari haurà d'associar-se a la VPN de la UJI establint així un canal xifrat.

Els portàtils oferts per la biblioteca en règim de préstec posseeixen una normativa específica disponible en http://www.uji.es/CA/cd/portatils.

Normativa del programari

L’UJI fomentarà l'ús de formats informàtics oberts en la comunicació interna i externa, promourà el desenvolupament i l'ús de programari lliure i afavorirà la lliure difusió del coneixement creat per la comunitat universitària, no obstant això, podran utilitzar-se productes desenvolupats per tercers proveïdors que llicenciïn el producte a l’UJI, mitjançant el corresponent contracte de llicència d'ús i sempre dintre dels termes de la mateixa.

Es mantindrà un inventari o registre permanent i actualitzat del programari utilitzat en l’UJI mitjançant les aplicacions:

e-ujier@CPA, que mantindrà les aplicacions desenvolupades per l’UJI, com per exemple l'i-ujier.
e-ujier@GEI, que mantindrà l'inventari de les adquisicions programari realitzades a tercers.

Es realitzaran comprovacions periòdiques sobre les llicències i ús del programari. Qualsevol producte programari que no compleixi els requisits de legalitat i autorització establerts en les presents polítiques i que contravingui la normativa vigent en matèria de propietat intel·lectual haurà de ser eliminat dels sistemes de la UJI.

Normativa d’ús de telèfons

Els telèfons seran posats a la disposició del personal de l’UJI com una eina per a l'acompliment de les seves funcions.

Els usuaris de telèfons mòbils es comprometen a la seva custòdia de forma segura així com a comunicar immediatament a la Universitat, a través del SPI “Notificació d’Incidències de Seguretat” la pèrdua i/o robatori del terminal així com un detall de les circumstàncies d'aquests esdeveniments, perquè es procedeixi a realitzar les accions oportunes.

L'ús de telèfon mòbil és personal i intransferible per part de l'usuari al que se li ha concedit.

3. Normativa del portal de la Universitat i dels espais web.

Portal www.uji.es

Només a la informació que aparega a les pàgines de la seu electrònica de la Universitat, se li reconeixerà validesa administrativa.

La Universitat, a través dels seus òrgans i serveis, també pot oferir noticies i informació institucional oficial en el seu domini que no tinga efectes administratius. En aquest cas, les pàgines en les quals aparega no s’identificaran com a integrants de la seu electrònica L’ús del portal UJI www.uji.es es regeix per la normativa publicada en el portal titulada com a “Normes d’ús del portal”.

La informació oferida pel personal docent i investigador, en l’exercici de les seues funcions i a l’empara de la llibertat de càtedra, és responsabilitat exclusiva d’eixes persones i en cap cas se’ls pot atorgar la consideració d’informació oficial de la Universitat.

Per resolució del rector es podrà interrompre la publicació o retirar les dades de les pàgines web del domini “uji.es” que pogueren ser constitutives de delicte o que atenten contra els principis recollits en l’article 8 de la Llei 34/2002, de 11 de juliol, de serveis i societat de la informació i de comerç electrònic.

Normativa relativa a la tenda UJI

Dintre del portal corporatiu, existeix una zona denominada tenda.uji.es la finalitat de la qual és la distribució comercial de publicacions i materials de l’UJI, aquesta zona desenvoluparà la seva comesa de conformitat amb la Llei 34/2002, de 11 de juliol de serveis de la societat de la informació i de comerç electrònic.

Espais web cedits

Les unitats administratives o acadèmiques de la Universitat, les organitzacions estudiantils autoritzades pel Consell d'Estudiantat amb la seua inscripció en el registre d'associacions, i les organitzacions sindicals de la Universitat, així com entitats culturals universitàries i altres amb conveni amb la Universitat Jaume I, podran sol·licitar, a la direcció del Servei de Comunicació i Publicacions, espai cedit web en els servidors de l'UJI administrats pel Servei d'Informàtica. L'espai es concedirà quan els sol·licitants acrediten el compliment dels requisits establerts en els apartats següents i es comprometen a respectar les normes d'ús dels mitjans informàtics de la Universitat.

En el cas que se cedisquen espais dins d’aquest domini a terceres persones, entitats o institucions alienes, la Universitat no serà titular d’aquests i la seua resposablilitat es llimitarà a la que la Llei 34/2002, d’11 de juliol, de serveis de la societat de la informació i de comerç electrònic atribueix als prestadors de serveis de societat de la informació. Els titulars d’espais cedits de l’UJI estan obligats a incloure un apartat d’informació legal, en la pàgina principal dels mateixos, en el que aparega el nom del responsable i la indicació que la informació que hi apareix és proporcionada per aquest i no guarda cap relació amb la Universitat Jaume I.

El tractament, l'elaboració i la inserció dels continguts informatius, és responsabilitat exclusiva dels cessionaris d'aquests espais.

Cada secció cedida ha de tenir una persona de contacte responsable del seu manteniment, la qual es fa quotidianament responsable de mantenir les dades actualitzades al dia.

El contingut de l'espai serà el propi de l'organització que el demana.

No es pot demanar un espai web per a una assignatura en concret.

El nom de l'espai web no pot tindre punts.

Si es violen aquestes normes, o les d'ús dels mitjans informàtics de l'UJI podrà anul·lar-se l'autorització per a utilitzar l'espai cedit, sense menyscapte de les eventuals responsabilitats penals o civils que se'n puguen derivar.

4. Obligació de notificar els incidents de seguretat

L'ús dels mitjans informàtics de la Universitat compromet als usuaris autoritzats a notificar la pèrdua, compromís, accés indegut, alteració o qualsevol altra incidència de la qual en tinguen coneixement i que estiga relacionada amb la seguretat de les credencials d’accés, dels sistemes físics o de les dades, a través del procediment SPI “Notificació d’Incidències de Seguretat”.

5. Relació amb el Sistema de Gestió de la Seguretat de la Informació

La present normativa és un resum de les normes completes que regulen l'ús dels recursos informàtics de l’UJI. La normativa completa pot consultar-se en: