Cargando...
logo Encriptia logo Encriptia logo svc

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN


La presente Política establece las directrices y líneas de actuación en materia de Seguridad de la Información que rigen el modo en que ENCRIPTIA gestiona y protege su información y sus servicios, así como la comunicación con sus clientes y otros grupos de interés.


1. Misión y marco regulatorio

La seguridad de la información forma parte del ADN de ENCRIPTIA, siendo ésta su actividad de servicios principal, por lo que debe formar parte de todas las actividades que se desarrollen tanto a nivel interno como, muy especialmente, en aquellas operaciones que formen parte del servicio al cliente, teniendo en cuenta que la información es el activo más crítico de la compañía.

ENCRIPTIA se asegura de la implementación de la presente política de la seguridad de la información que sirve de bastidor y permite el desarrollo de los objetivos del Sistema de Gestión de la seguridad de la información de acuerdo con la ISO/IEC 27001 y el Esquema Nacional de Seguridad. La implementación de estas normas son un factor estratégico para la continuidad y mejora del negocio, de modo que ENCRIPTIA requiere seriedad y rigurosidad en los procedimientos con el objetivo de obtener una madurez suficiente en el Sistema de Gestión de la Seguridad de la Información. Además, considera que la seguridad de su información es un valor básico para la continuidad del negocio.

Por otro lado, ENCRIPTIA trata datos personales que deberán mantenerse inventariados por tratamiento, con el objeto de facilitar el control, la gestión y la protección de los mismos, aplicando medidas para cumplir con el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Por último, el SGSI/ENS de ENCRIPTIA se mantendrá cumpliendo y respetando la Ley de Propiedad Intelectual en lo que se refiere al uso del software, obteniendo las licencias correspondientes y llevando un registro y control de estas para el empleo adecuado de éstas en el desarrollo de las actividades.

ENCRIPTIA se asegura de que todas las personas que la integran conozcan y apliquen el SGSI. Para ello, se encuentra a disposición de todos los/las trabajadores/as un documento llamado “Buenas prácticas en SI” y la presente política SSI.

Se establecen las siguientes propiedades en el intercambio de información en todas aquellas situaciones y relaciones con clientes y entre los trabajadores, en las que ENCRIPTIA forma parte activamente, donde se almacena, procesa o transmite la información para su intercambio:

  • Confidencialidad: ENCRIPTIA asegura que sólo quienes estén autorizados puedan acceder a la información.

  • Integridad: ENCRIPTIA asegura que la información y sus métodos de proceso sean exactos y completos, evitando modificaciones no autorizadas.

  • Disponibilidad: ENCRIPTIA asegura que únicamente los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran.

  • Autenticidad: ENCRIPTIA asegura que la información provenga de una fuente de origen fidedigna, es decir, que el origen sea realmente quien envía la información.

  • Trazabilidad: ENCRIPTIA asegura que las acciones de una entidad se puedan rastrear únicamente hasta dicha entidad.


2. Principios fundamentales

Con el propósito de propiciar y mantener las propiedades descritas, ENCRIPTIA realiza sus actividades y alienta su negocio mediante los siguientes principios fundamentales:

  • Compromiso con el cumplimiento de los requisitos del marco legal y regulatorio en el que se desarrollarán sus actividades, así como las indicaciones de seguridad de la información que el INCIBE y el CCN recomiendan.

  • Establecer los roles o funciones de seguridad, definiendo para cada uno los deberes y responsabilidades del cargo, así como el procedimiento para su designación y renovación.

  • Priorizar la gobernanza de la gestión del riesgo y la seguridad de la información como elemento fundamental para la continuidad de los servicios, estableciendo la estructura del comité o los comités para la gestión y coordinación de la seguridad, detallando su ámbito de responsabilidad, las personas integrantes y la relación con otros elementos de la organización.

  • Proteger el activo de la información frente a amenazas de acuerdo con los criterios internos de aceptación del riesgo, conforme a las directrices para la estructuración de la documentación de seguridad del sistema, su gestión y acceso.

  • Aplicar el concepto de mejora continua, involucrando a toda la organización, a sus aliados y a los grupos de interés, para la consecución de los objetivos.


3. Objetivos

  • Tratar los datos personales con licitud, lealtad y transparencia, persiguiendo la limitación de la finalidad, minimización de datos, exactitud, integridad, confidencialidad, limitación del plazo de conservación, y responsabilidad proactiva.

  • Tratar y custodiar la información propia y la de los clientes preservando su confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad en todos los momentos de su proceso.

  • Adaptar sus sistemas a entornos cambiantes, gestionando los nuevos riesgos, adecuando las capacidades de la infraestructura, y fomentando el trabajo en equipo y su cohesión dentro de la organización.


4. Compromiso y liderazgo

Todas las personas que integran ENCRIPTIA comprenden y son responsables de cumplir estos principios, así como todas las sistemáticas de seguridad de la información aprobadas que los desarrollan.

La Dirección de ENCRITPIA se compromete a facilitar y proporcionar los recursos necesarios para el establecimiento, implantación, mantenimiento y mejora del SGSI/ENS de la entidad, así como a demostrar liderazgo y compromiso respecto a este, a través de la constitución del Comité de Seguridad de la Información que tendrá la responsabilidad de:

  • Asegurar el establecimiento de la presente política y los objetivos de la seguridad de la información, y que estos sean compatibles con la estrategia de ENCRIPTIA.

  • Asegurar la integración y el cumplimiento de los requisitos aplicables del SGSI/ENS en los servicios y procesos de la entidad.

  • Asegurar que los recursos necesarios para el SGSI/ENS estén disponibles.

  • Comunicar la importancia de una gestión de la seguridad eficaz y conforme con los requisitos del SGSI/ENS.

  • Asegurar que el SGSI/ENS consigue los resultados previstos.

  • Dirigir y apoyar a las personas para contribuir a la eficacia del SGSI/ENS.

  • Promover la mejora continua.

  • Apoyar otros roles pertinentes de la Dirección, liderando a sus áreas de responsabilidad en seguridad de la información. El detalle de las funciones específicas del Comité de Seguridad de la Información, se describen en su acta de constitución.


5. Funciones y responsabilidades de seguridad de la información

El Comité de Seguridad de la Información procederá a revisar y a proponer la aprobación de la presente Política de Seguridad de la Información a la Dirección General de ENCRIPTIA y será el Responsable de la Información y de los Servicios.

Además, el Comité de Seguridad de la Información centralizará los mecanismos de coordinación y resolución de conflictos entre los responsables que se indican a continuación, que se tratarán mediante debate durante las reuniones de los miembros de dicho comité y que serán moderados por la Dirección General:

  • El Comité de Seguridad de la Información, en representación de la Dirección General de ENCRITPIA, será el órgano encargado de aprobar la política y será la responsable de la autorización de sus modificaciones, así como de toda la información documentada del SGSI/ENS de la entidad.

  • El Responsable de Seguridad de la Información será el encargado de notificar la presente política al personal de la entidad y de los cambios que en ella se produzcan, así como de coordinar las acciones de implantación, mantenimiento y mejora del SGSI/ENS de la entidad (incluyendo la firma de la Declaración de Aplicabilidad que formaliza la relación de medidas de seguridad aplicables derivadas del Análisis de Riesgos), y de sus auditorías, junto con el Responsable de IT que se encargará de gestionar los requisitos técnicos de seguridad de los sistemas de información.

  • El Responsable de cada información y/o del servicio afectado por el análisis y gestión de riesgos se indicará en el Mapa de Riesgos del SGSI/ENS de ENCRIPTIA que recogerá los criterios que determinarán el nivel de seguridad requerido, dentro del marco establecido en el artículo 40 y los criterios generales prescritos en el Anexo I del Real Decreto del ENS.

  • El Responsable de Protección de Datos será el encargado de garantizar que los datos personales se tratan y se protegen conforme al Reglamento General de Protección de Datos (RGPD UE 2016/679), por lo que trabajará en coordinación con el Responsable de Seguridad de la Información y con el Responsable de IT.

  • Todo el personal de la organización, tanto interno como externo, será responsable de cumplir con la presente Política de Seguridad de la Información dentro de su área de trabajo, así como de aplicar toda la información documentada de los controles y medidas de seguridad del SGSI/ENS de ENCRIPTIA en sus actividades laborales que afecta a su desempeño en seguridad de la información.


6. Uso y clasificación de la información

Se comunicará la información documentada de los controles de seguridad al personal que trabaja en la entidad (personal interno y externo) que tendrá la obligación de aplicarla en la realización de sus actividades laborales.

La información documentada será clasificada en: pública, interna, restringida y confidencial, dando el uso adecuado de acuerdo con dicha clasificación y según el criterio que se establezca en el Procedimiento de Clasificación y Etiquetado de la Información.


7. Auditorías del sistema

Se realizarán auditorías que revisen y verifiquen el cumplimiento del SGSI/ENS de ENCRIPTIA con los requisitos de la Norma ISO/IEC 27001 para el SGSI y con el Real Decreto 311/2022, que regula el Esquema Nacional de Seguridad por lo que el personal afectado por el alcance de dichas auditorías deberá ser colaborativo para la eficacia de las mismas, así como en la aplicación de las acciones correctivas que se deriven para el mejoramiento continuo.


8. Revisión de la Política de Seguridad de la información

La presente Política de Seguridad de la Información será examinada en las revisiones del sistema por la Dirección, a través del Comité de Seguridad de la Información, siempre que se produzcan cambios significativos, como mínimo, una vez al año.


9. Aprobación, difusión y aplicación de la Política de Seguridad de la Información

La presente Política de Seguridad de la Información será aprobada por la Dirección General de ENCRIPTIA mediante firma y difundida a las partes interesadas de ENCRIPTIA.

Así mismo, la Dirección General de ENCRIPTIA dotará de los recursos necesarios para la aplicación efectiva de esta política, y para su buen desarrollo, tanto en las actividades de implantación como en su posterior mantenimiento y mejora de todo el SGSI/ENS de la entidad.



Misión y marco legal y regulatorio

El Real Decreto 3/2010, de 8 de enero que regula el Esquema Nacional de Seguridad (ENS) y su modificación por el Real Decreto 951/2015, de 23 de octubre, nos obliga a proteger los servicios que prestamos a nuestras partes interesadas. Con la implantación de un SGSI bajo la Norma UNE ISO/IEC 27001 integrado con el ENS, se fortalece la seguridad de nuestros servicios, así como de la información y datos que incluyen y que son necesarios para su correcta y adecuada prestación.

ENCRIPTIA trata datos personales que deberán mantenerse inventariados por tratamiento, con el objeto de facilitar el control, la gestión y la protección de los mismos, aplicando medidas para cumplir con el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos), equivalente a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales, que se creó para facilitar la aplicación y cumplimiento en España.

El SGSI/ENS de ENCRIPTIA se mantendrá cumpliendo y respetando la Ley de Propiedad Intelectual en lo que se refiere al uso del software, obteniendo las licencias correspondientes y llevando un registro y control de estas para el empleo adecuado de éstas en el desarrollo de las actividades. Por lo tanto, el marco legal antes indicado estará en consonancia con el SGSI/ENS de ENCRIPTIA, ya que uno de los grupos de controles de seguridad de este, es el Cumplimiento de la Legislación Aplicable.


Sede central
Albert Einstein 46,
Oficina 003
Parque Tecnológico de Álava
C.P. 01510 Miñano (Araba/Álava)
Teléfono:
+34 945 067 000
Email: info@encriptia.com
Sede Bizkaia
Colón de Larreategui 26, 4ºC
C.P. 48009 Bilbao (Bizkaia)
Teléfono:
+34 944 666 000
Email: info@encriptia.com
Sede Gipuzkoa
Paseo Bera-Bera 19,
C.P. 20009 Donostia (Gipuzkoa)
Teléfono:
+34 943 218 293
Email: info@encriptia.com
Sede Araba/Álava
Barratxi 8,
C.P. 01013 Vitoria-Gasteiz (Araba/Álava)
Teléfono:
+34 945 278 100
Email: info@encriptia.com
Sede Navarra
Luis Morondo, 5, Entreplanta
Oficina 2A
C.P. 31006 Pamplona (Navarra)
Teléfono:
+34 945 067 000
Email: info@encriptia.com

2023 © Todos los derechos reservados.