POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
La presente Política establece las directrices y líneas de actuación en materia de Seguridad de la Información que rigen el modo en que ENCRIPTIA gestiona y protege su información y sus servicios, así como la comunicación con sus clientes y otros grupos de interés.
1. Misión
La seguridad de la información forma parte del ADN de ENCRIPTIA, siendo ésta su actividad de servicios principal, por lo que debe formar parte de todas las actividades que se desarrollen tanto a nivel interno como, muy especialmente, en aquellas operaciones que formen parte del servicio al cliente, teniendo en cuenta que la información es el activo más crítico de la compañía.
ENCRIPTIA se asegura de la implementación de la presente política de la seguridad de la información que sirve de bastidor y permite el desarrollo de los objetivos del Sistema de Gestión de la seguridad de la información de acuerdo con la ISO/IEC 27001 y el Esquema Nacional de Seguridad. La implementación de estas normas son un factor estratégico para la continuidad y mejora del negocio, de modo que ENCRIPTIA requiere seriedad y rigurosidad en los procedimientos con el objetivo de obtener una madurez suficiente en el Sistema de Gestión de la Seguridad de la Información. Además, considera que la seguridad de su información es un valor básico para la continuidad del negocio.
ENCRIPTIA se asegura de que todas las personas que la integran conozcan y apliquen el SGSI. Para ello, se encuentra a disposición de todos los/las trabajadores/as un documento llamado “Buenas prácticas en SI” y la presente política SSI.
Se establecen las siguientes propiedades en el intercambio de información en todas aquellas situaciones y relaciones con clientes y entre los trabajadores, en las que ENCRIPTIA forma parte activamente, donde se almacena, procesa o transmite la información para su intercambio:
- Confidencialidad: ENCRIPTIA asegura que sólo quienes estén autorizados puedan acceder a la información.
- Integridad: ENCRIPTIA asegura que la información y sus métodos de proceso sean exactos y completos, evitando modificaciones no autorizadas.
- Disponibilidad: ENCRIPTIA asegura que únicamente los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran.
- Autenticidad: ENCRIPTIA asegura que la información provenga de una fuente de origen fidedigna, es decir, que el origen sea realmente quien envía la información.
- Trazabilidad: ENCRIPTIA asegura que las acciones de una entidad se puedan rastrear únicamente hasta dicha entidad.
2. Principios fundamentales
Con el propósito de propiciar y mantener las propiedades descritas, ENCRIPTIA realiza sus actividades y alienta su negocio mediante los siguientes principios fundamentales:
- Compromiso con el cumplimiento de los requisitos del marco legal y regulatorio en el que se desarrollarán sus actividades, así como las indicaciones de seguridad de la información que el INCIBE y el CCN recomiendan.
- Establecer los roles o funciones de seguridad, definiendo para cada uno los deberes y responsabilidades del cargo, así como el procedimiento para su designación y renovación.
- Priorizar la gobernanza de la gestión del riesgo y la seguridad de la información como elemento fundamental para la continuidad de los servicios, estableciendo la estructura del comité o los comités para la gestión y coordinación de la seguridad, detallando su ámbito de responsabilidad, las personas integrantes y la relación con otros elementos de la organización.
- Proteger el activo de la información frente a amenazas de acuerdo con los criterios internos de aceptación del riesgo, conforme a las directrices para la estructuración de la documentación de seguridad del sistema, su gestión y acceso.
- Aplicar el concepto de mejora continua, involucrando a toda la organización, a sus aliados y a los grupos de interés, para la consecución de los objetivos.
3. Objetivos
- Tratar los datos personales con licitud, lealtad y transparencia, persiguiendo la limitación de la finalidad, minimización de datos, exactitud, integridad, confidencialidad, limitación del plazo de conservación, y responsabilidad proactiva.
- Custodiar la información propia y la de los clientes preservando su confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad en todos los momentos de su proceso.
- Adaptar sus sistemas a entornos cambiantes, gestionando los nuevos riesgos, adecuando las capacidades de la infraestructura, y fomentando el trabajo en equipo y su cohesión dentro de la organización.
4. Compromiso
Todas las personas que integran ENCRIPTIA comprenden y son responsables de cumplir estos principios, así como todas las sistemáticas de seguridad de la información aprobadas que los desarrollan.
La Dirección de ENCRIPTIA se compromete a liderar el cumplimiento de esta Política de Seguridad de la Información y a proporcionar los recursos necesarios para favorecer su cumplimiento.
Misión y marco legal y regulatorio
El Real Decreto 3/2010, de 8 de enero que regula el Esquema Nacional de Seguridad (ENS) y su modificación por el Real Decreto 951/2015, de 23 de octubre, nos obliga a proteger los servicios que prestamos a nuestras partes interesadas. Con la implantación de un SGSI bajo la Norma UNE ISO/IEC 27001 integrado con el ENS, se fortalece la seguridad de nuestros servicios, así como de la información y datos que incluyen y que son necesarios para su correcta y adecuada prestación.
ENCRIPTIA trata datos personales que deberán mantenerse inventariados por tratamiento, con el objeto de facilitar el control, la gestión y la protección de los mismos, aplicando medidas para cumplir con el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos), equivalente a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales, que se creó para facilitar la aplicación y cumplimiento en España.
El SGSI/ENS de ENCRIPTIA se mantendrá cumpliendo y respetando la Ley de Propiedad Intelectual en lo que se refiere al uso del software, obteniendo las licencias correspondientes y llevando un registro y control de estas para el empleo adecuado de éstas en el desarrollo de las actividades. Por lo tanto, el marco legal antes indicado estará en consonancia con el SGSI/ENS de ENCRIPTIA, ya que uno de los grupos de controles de seguridad de este, es el Cumplimiento de la Legislación Aplicable.