I. Física. Se refiere a toda medida orientada a la protección de instalaciones, equipos, soportes o sistemas de datos para la prevención de riesgos por caso fortuito o causas de fuerza mayor;

 

II. Lógica. Se refiere a las medidas de protección que permiten la identificación y autentificación de las personas o usuarios autorizados para el tratamiento de los datos personales de acuerdo con su función;

 

III. De desarrollo y aplicaciones. Corresponde a las autorizaciones con las que deberá contar la creación o tratamiento de sistemas de datos personales, según su importancia, para garantizar el adecuado desarrollo y uso de los datos, previendo la participación de usuarios, la separación de entornos, la metodología a seguir, ciclos de vida y gestión, así como las consideraciones especiales respecto de aplicaciones y pruebas;

 

IV. De cifrado. Consiste en la implementación de algoritmos, claves, contraseñas, así como dispositivos concretos de protección que garanticen la integridad y confidencialidad de la información; y

 

V. De comunicaciones y redes. Se refiere a las restricciones preventivas o de riesgos que deberán observar los usuarios de datos o sistemas de datos personales para acceder a dominios o cargar programas autorizados.

 

I. Básico. Se entenderá como tal, el relativo a las medidas generales de seguridad cuya aplicación es obligatoria para todos los sistemas de datos personales. Dichas medidas corresponden a los siguientes aspectos:

 

a) Documento de seguridad;

 

b) Funciones y obligaciones del personal que intervenga en el tratamiento de los sistemas de datos personales;

 

c) Registro de incidencias;

 

d) Identificación y autentificación;

 

e) Control de acceso;

 

f) Gestión de soportes; y

 

g) Copias de respaldo y recuperación.

 

II. Medio. Se refiere a la adopción de medidas de seguridad cuya aplicación corresponde a aquellos sistemas de datos relativos a la comisión de infracciones administrativas o penales, hacienda pública, servicios financieros, datos patrimoniales, así como a los sistemas que contengan datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo. Este nivel de seguridad, de manera adicional a las medidas calificadas como básicas, considera los siguientes aspectos:

 

a) Responsable de seguridad;

 

b) Auditoría;

 

c) Control de acceso físico, y

 

d) Pruebas con datos reales.

 

III. Alto. Corresponde a las medidas de seguridad aplicables a sistemas de datos concernientes al nombre, domicilio particular, CURP, RFC, ideología, religión, creencias, afiliación política, origen racial o étnico, salud, biométricos, genéticos o vida sexual, así como los que contengan datos recabados para fines policiales, de seguridad, prevención, investigación y persecución de delitos. Los sistemas de datos a los que corresponde adoptar el nivel de seguridad alto, además de incorporar las medidas de nivel básico y medio, deberán completar las que se detallan a continuación:

 

a) Distribución de soportes, y

 

b) Registro de acceso;

 

Los diferentes niveles de seguridad serán establecidos atendiendo a las características propias de la información.