Ofreciendo soluciones y servicios a la comunidad.

Soluciones y servicios que hablan por nosotros.

CERTIFICACIONES EN CALIDAD, MEDIO AMBIENTE, SEGURIDAD DE LA INFORMACION, SEGURIDAD Y SALUD EN EL TRABAJO, CONTACT CENTER Y ESQUEMA NACIONAL DE SEGURIDAD


Demostrando nuestro compromiso con la calidad, FACTUDATA ha obtenido las certificaciones ISO 9001, ISO 14001, ISO 18295, ISO 27001, ISO 45001 y ESQUEMA NACIONAL DE SEGURIDAD en su Sistemas Integrados de Calidad, Medio Ambiente, Atención Telefónica en Contact Center, Seguridad de la Información, Seguridad y Salud en el Trabajo permitiéndonos de este modo medir nuestros progresos en mejora continua.

Paralelamente realizamos supervisión constante de los procesos de gestión y servicios atendidos a nuestros clientes y empresas colaboradoras, con el fin de cumplir los estándares de calidad de la marca.
Este reconocimiento de madurez profesional y eficacia de nuestro sistema de calidad confirma nuestra voluntad de desarrollarnos en una línea de progreso continuo para ofrecer en todo momento una respuesta eficaz y ajustada a las expectativas de nuestros clientes.









POLITICA DE CALIDAD, MEDIO AMBIENTE, SEGURIDAD DE LA INFORMACION Y SEGURIDAD Y SALUD EN EL TRABAJO.

Fecha de publicación y aprobación: 20 de diciembre de 2022.

La Dirección de FACTUDATA, consciente de la importancia de ofrecer un servicio de calidad respetando el medio ambiente y garantizando al mismo tiempo la seguridad de la información tratada y seguridad y salud en el trabajo, ha decidido implantar un Sistema Integrado de Gestión de Calidad, Medio Ambiente, Seguridad de la Información y Seguridad y Salud en el Trabajo, comprometiéndose a introducir de forma progresiva en sus actividades criterios crecientes de calidad, mejora ambiental, de seguridad de la información y de seguridad y salud en el trabajo, de manera que se pueda garantizar que los servicios prestados que se desarrollan en las distintas áreas de la empresa tengan en cuenta la seguridad de la información, la prevención de la contaminación, el cumplimiento de los requisitos legales y la adaptación al contexto de nuestra organización.

A partir de esto, los compromisos adquiridos son:


FACTUDATA es consciente de que sus clientes son el primer objetivo al que debe ir dirigido el esfuerzo de calidad de la empresa y de sus servicios, la seguridad de la información en cuando a la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la misma y todo ello dentro del respeto al Medio Ambiente. Por ello se compromete a poner todos los medios a su alcance para garantizar que sus expectativas se cumplen, con el fin de conseguir su satisfacción y llegar a un equilibrio para ambas partes. Para ello la empresa revisará periódicamente su estrategia y el cumplimiento de los objetivos, que han de ser medibles y coherentes con la presente Política de Calidad, Medio Ambiente, Seguridad de la Información y Seguridad y Salud en el Trabajo.
Determinar y proporcionar los recursos necesarios, tanto materiales como humanos, con el objeto de implementar y mantener el Sistema de Calidad, Medio Ambiente, Seguridad de la Información y Seguridad y Salud en el Trabajo y mejorar continuamente su eficacia y prevenir la contaminación.
Cumplir con todos los requisitos legales y reglamentarios que le son de aplicación por su actividad, incluyendo los de carácter ambiental, de seguridad de la información, seguridad y salud en el trabajo y otros requisitos que la empresa suscriba.
Cumplir con los requisitos establecidos en las normas UNE-EN ISO 9001, UNE-EN ISO 14001, ISO 45001, ISO/IEC 27001 Y ESQUEMA NACIONAL DE SEGURIDAD (ENS), mejorar continuamente la eficacia del Sistema Integrado de Gestión, el desempeño ambiental de la organización, la gestión de la seguridad de la información y la seguridad y salud en el trabajo.
Considerar la protección del medio ambiente en el desarrollo de nuestras actividades como una responsabilidad asumida de forma consciente por la organización.
Utilizar de modo racional los recursos materiales para minimizar el consumo de materias primas, fomentar el uso adecuado y el ahorro de la energía durante el desarrollo de las actividades, así como reducir la producción de residuos y gestionarlos conforme a las reglamentaciones en vigor.
Establecer los cauces necesarios para garantizar la comunicación, sensibilización, consulta, participación y formación en materia de calidad, medio ambiente, seguridad de la información y seguridad y salud en el trabajo del personal de la empresa.
Proporcionar las condiciones de trabajo seguras y saludables para prevenir lesiones y deterioro de la salud relacionadas con el trabajo, así como eliminar los peligros y reducir los riesgos que garanticen la seguridad y salud en el trabajo.


La dirección de FACTUDATA  asume personalmente los compromisos aquí expresados y se compromete a asegurar que esta política es conocida, entendida y aplicada por todas las personas que forman parte de la organización, así como por las partes interesadas pertinentes.


POLITICA DE SEGURIDAD – ESQUEMA NACIONAL DE SEGURIDAD. 

1. APROBACIÓN Y ENTRADA EN VIGOR

Este documento ha sido aprobado el día 20 de diciembre de 2022 por la Dirección de FACTUDATA XXI, S.L. 

Esta Política de Seguridad de la Información es efectiva desde dicha fecha y hasta que sea reemplazada por una nueva Política.
Este texto sigue las indicaciones del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.


El sistema de gestión de la seguridad de la información preserva la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información mediante la aplicación de un proceso de gestión de riesgos y otorga a las partes interesadas confianza sobre la adecuada gestión de los riesgos. Es importante que el sistema de gestión de la seguridad de la información forme parte y esté integrado con los procesos de la organización y con la estructura de gestión global, y que la seguridad de la información se considere durante el diseño de procesos, de los sistemas de información y de los controles. Es de esperar que la implementación del sistema de gestión de la seguridad de la información se ajuste a las necesidades de la organización. Esta norma internacional puede ser utilizada por partes internas y externas para evaluar la capacidad de la organización para cumplir con sus propios requisitos de seguridad.


2. INTRODUCCIÓN

FACTUDATA XXI, S.L. (en adelante FACTUDATA) está especializada en la prestación de servicio de atención telefónica, administrativos y de control de acceso para Administraciones Públicas. 

Su operativa depende fundamente de los sistemas TIC (Tecnologías de Información y Comunicaciones) y de que sean administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o los servicios prestados.

El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes. Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, la estrategia debe adaptarse a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que toda la empresa debe aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

Los diferentes departamentos deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida de las aplicaciones que desarrollan, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación.

Los requisitos de seguridad y las necesidades de financiación deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC.
El personal debe estar preparado para prevenir, detectar, reaccionar y recuperarse de incidentes, de acuerdo con el Artículo 8 del ENS.


2.1. Prevención
El personal debe evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello debe implementar las medidas mínimas de seguridad determinadas por el ENS y los controles adicionales identificados a través de la evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados.

Asimismo, el personal se compromete a hacer un uso responsable de los datos incluyendo la confidencialidad de ellos. De igual manera, se obliga a título meramente enunciativo a no realizar comentarios o acciones:

Difamatorios, inexactos, falsos, abusivos, injuriosos, obscenos, irreverentes, ofensivos, insultantes, tácita o expresamente sexuales, amenazantes, acosadores, racistas, sexistas, discriminatorios por cualquier motivo, que atenten contra la moral, el orden público, los derechos fundamentales, las libertades públicas, el honor, la intimidad o la imagen de terceros y en general la normativa vigente, y/o ilegales o infractores de derechos de terceros, p.e., derechos de propiedad industrial e intelectual; derechos de privacidad o publicidad).

Para garantizar el cumplimiento de la política de seguridad, el personal debe:

  • Autorizar los sistemas antes de entrar en operación.
  • Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
  • Solicitar la revisión periódica por parte del responsable de seguridad de la empresa, con el fin de obtener una evaluación independiente.


2.2. Detección
Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una simple desaceleración hasta su detención, los servicios deben monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo establecido en el Artículo 10 del ENS.

La monitorización es especialmente relevante cuando se establecen líneas de defensa de acuerdo con el Artículo 9 del ENS, porque las líneas de defensa (organizativas, físicas y lógicas) están organizadas en capas de seguridad de forma que cuando una capa falle los responsables puedan reaccionar adecuadamente. Se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales. 


2.3. Respuesta
El personal de la empresa debe:

  • Conocer y saber usar los mecanismos establecidos por la organización para responder eficazmente a los incidentes de seguridad.
  • Comunicar al responsable del Sistema de Seguridad los incidentes detectados en un sistema TIC.
  • Usar los protocolos establecidos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT). 

 


2.4. Recuperación
Para garantizar la disponibilidad de los servicios críticos, el personal de la empresa debe saber usar los Planes de Continuidad de los sistemas TIC, que tienen por cometido garantizar la continuidad de negocio y la correcta ejecución de las actividades de recuperación. Con la recuperación de datos también se evalúa la redundancia y validez de éstos y por ende se hacen periódicamente pruebas de catástrofe con fin de asegurar la funcionalidad de la recuperación de dichos datos.


3. ALCANCE Y FINALIDAD

Esta política se aplica a todos los sistemas TIC de FACTUDATA que se utilizan para prestar servicios a las Administraciones públicas y a los miembros de la organización que participan en el servicio.

Todo el personal de FACTUDATA que esté afectado por el alcance del ENS, tiene la obligación de conocer y cumplir esta “Política de Seguridad de la Información” y la normativa de seguridad correspondiente, siendo responsabilidad del Responsable de Seguridad disponer de los medios necesarios para que la información llegue al personal afectado.


4. MISIÓN

Prestar un servicio a las Administraciones Públicas cumpliendo con los requisitos de negocio y de seguridad establecidas por las mismas. Así la organización debe mostrar su compromiso de desarrollar, implantar, mantener y mejorar de manera continua el ENS, esto motiva a que la política incluya:

  • Preservación de la confidencialidad de la información, evitar su divulgación y acceso a personas no autorizadas.
  • Evitar el deterioro de la información, manteniendo su integridad.
  • Garantizar la disponibilidad de la información en cualquier soporte
  • Cumplimiento con los requisitos del negocio, legales y reglamentarios y otras obligaciones contractuales.
  • Establecimiento anual de objetivos relacionados con la Seguridad de la Información.
  • Establecimiento de los medios necesarios para asegurar la continuidad del negocio de la organización.
  • Despliegue de un proceso de análisis de riesgos para los activos de información.
  • Respeto hacia las políticas y procedimientos ligados a la seguridad de la información según el ENS.
  • Creación de los objetivos de control y controles correspondientes para paliar los riesgos detectados.
  • Instauración de la responsabilidad de los empleados con relación a seguridad, confidencialidad, integridad y disponibilidad de los activos.


Esta política aplica al uso de los sistemas de información y de comunicaciones de la empresa, así como a los datos y la información que se almacenen u originen de estos sistemas.


5. MARCO NORMATIVO

El marco normativo en materia de seguridad de la información en el que FACTUDATA desarrolla su actividad, esencialmente, es el siguiente:

  • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD-GDD)
  • Reglamento Europeo de Protección de Datos, de 27 de abril de 2016 (RGPD) • Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico.
  • Ley 11/2022, de 28 de junio, General de Telecomunicaciones.
  • Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el Texto Refundido de la Ley de Propiedad Intelectual.
  • Reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE.
  • Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza.
  • Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
  • Ley 40 2015, de 1 de octubre, del Régimen Jurídico del Sector Público.
  • El Sistema de Gestión de Calidad de FACTUDATA, basado en la Norma ISO 9001.
  • El Sistema de Gestión Medioambiental de FACTUDATA, basado en la norma ISO 14001
  • El Sistema de Gestión de Seguridad de la Información de FACTUDATA, basado en la Norma ISO/IEC 27001.
  • El sistema de Gestión de la seguridad y salud en el trabajo de FACTUDATA, basado en la norma ISO 45001.
  • El sistema de gestión para centros de contacto con clientes (CCC) de FACTUDATA, basado en la norma ISO 18295-1.

 


6. ORGANIZACIÓN DE LA SEGURIDAD

6.1. Comité de Seguridad TIC

La Dirección de FACTUDATA ha creado el Comité de Seguridad TIC, en el cual delega la responsabilidad, supervisión y operatividad de la seguridad TIC de la compañía:

  • Elaborar la estrategia de seguridad de la información y la Política de Seguridad, que serán aprobadas por el Comité de Dirección.
  • Dirigir las operaciones de seguridad de la información.
  • Monitorizar la gestión de incidentes de seguridad y recomendar actuaciones respecto de ellos.
  • Promover la realización de las auditorías periódicas.
  • Aprobar planes de mejora, incluyendo la actualización anual de la Política de Seguridad.
  • Velar porque la seguridad de la información se tenga en cuenta en todos los proyectos TIC que realiza la empresa.


El Comité de Seguridad TIC ha sido designado por la Dirección y es el siguiente:

  • Directora de FACTUDATA, Responsable de la Información y del Servicio, actúa como vocal.
  • El Responsable del Servicio de Contact Center y de Control de Acceso, Responsable del Sistema de Seguridad, que actúa como vocal.
  • El Asesor externo en seguridad de la información y protección de datos, actúa como asesor del Responsable del Sistema de Seguridad, actúa como secretario.
  • La Supervisora del Contact Center y responsable del SGSI, que actúa como vocal.

6.2. Roles, funciones y responsabilidades

Se diferencian tres grandes bloques de responsabilidad:

  1. La responsabilidad legal y la especificación de las necesidades o requisitos, que corresponde a la Dirección de FACTUDATA y a los responsables del tratamiento, de la información y del servicio.
  2. La supervisión, que corresponde al Responsable de la Seguridad y al Responsable de Protección de Datos, en sus respectivos ámbitos.
  3. La operación del sistema de información, que corresponde al Responsable del Sistema.


Los roles, sus funciones y responsabilidades son las siguientes:

NIVEL DE GOBIERNO Y SUPERVISIÓN

  • Responsable de la Información: es la Dirección de FACTUDATA y tiene la responsabilidad última del uso que se haga de una cierta información, de su protección, cualquier error o negligencia que lleve a un incidente de confidencialidad o de integridad.
  • Responsable del Servicio: es la Dirección de FACTUDATA y tiene la potestad de establecer los requisitos del servicio en materia de seguridad. O lo que es lo mismo, la potestad de determinar los niveles de seguridad de los servicios.
  • • Responsable de Seguridad: es el Responsable del Servicio de Contact Center de FACTUDATA, asesorado por el Consultor externo en materia de seguridad de la información. Su función es la de mantener la seguridad de la información y de los servicios prestados por los sistemas informáticos, de acuerdo con lo establecido en la Política de Seguridad de la empresa, además de promover la formación y concienciación.


NIVEL OPERATIVO

Responsable del Sistema de Seguridad: es el Supervisor de los servicios de FACTUDATA y debe desarrollar, operar y mantener el Sistema de Información durante todo su ciclo de vida, sus especificaciones, instalación y verificación de su correcto funcionamiento. Debe definir la topología y sistema de gestión del Sistema de Información estableciendo los criterios de uso y los servicios disponibles en el mismo. Cerciorarse de que las medidas específicas de seguridad se integren adecuadamente dentro del marco general de seguridad. Puede acordar la suspensión del manejo de una cierta información o la prestación de un cierto servicio si es informado de deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos. Esta decisión debe ser acordada con los responsables afectados y con el Responsable de la Seguridad, antes de ser ejecutada.

Los conflictos entre distintos elementos de la organización serán resueltos por el superior jerárquico, y en última instancia por el Responsable de Seguridad y la Dirección de FACTUDATA.

6.3. Procedimientos de designación

El Responsable de Seguridad de la Información será nombrado por la Dirección a propuesta del Comité de Seguridad TIC. El nombramiento se revisará cada 2 años o cuando el puesto quede vacante.

La Dirección designará al Responsable del Sistema, precisando sus funciones y responsabilidades dentro del marco establecido por esta Política.

6.4. Política de Seguridad de la Información del ENS

Será misión del Comité de Seguridad TIC la revisión anual de esta Política de Seguridad de la Información y la propuesta de revisión o mantenimiento de esta. La Política será aprobada por la Dirección y difundida para que la conozcan todas las partes afectadas..


7. DATOS PERSONALES 

FACTUDATA trata datos personales. El Manual del RGPD, al que tendrán acceso sólo las personas autorizadas, recoge los Registros de Actividades de Tratamientos afectados y los responsables correspondientes. Todos los sistemas de información de la empresa se ajustarán a los niveles de seguridad requeridos por la normativa para la naturaleza y finalidad de los datos personales recogidos en el mencionado Manual del RGPD.

Las actividades de tratamiento de datos de carácter personal no se integrarán en la categorización del ENS. 

Así, mientras que para el RGPD los niveles de seguridad se determinan en función del riesgos del tratamiento, para el ENS la categoría del sistema se sustenta en el impacto que un incidente de seguridad podría tener en relación con la capacidad de la organización para el logro de sus objetivos, la protección de sus activos, el cumplimiento de sus obligaciones de servicio y el respeto a la legalidad y a los derechos de los ciudadanos (y en sus dimensiones: integridad, confidencialidad, trazabilidad, disponibilidad y autenticidad).

Por tanto, puesto que su determinación obedece a procedimientos distintos, cada sistema/servicio/tratamiento debe cualificarse independientemente. Para su conformidad con la normativa de Protección de Datos Personales y para con lo dispuesto en el ENS.


8. GESTIÓN DE RIESGOS

Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las
amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:

  • Regularmente, al menos una vez al año.
  • Cuando cambie la información manejada.
  • Cuando cambien los servicios prestados.
  • Cuando ocurra un incidente grave de seguridad.
  • Cuando se reporten vulnerabilidades graves.

Para la armonización de los análisis de riesgos, el Comité de Seguridad TIC establece una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. Para ello, se establecen criterios que son de aplicación a todas las dimensiones de seguridad (seleccionando un nivel BAJO, MEDIO o ALTO, de acuerdo al ENS), tanto de tipos de información como de servicios, considerando las consecuencias de un impacto negativo sobre la seguridad de la información y de los servicios, atendiendo, conforme al artículo 40 del Real Decreto 311/2022, a su repercusión en la capacidad de la organización para el logro de sus objetivos, la protección de sus activos, el cumplimiento de sus obligaciones de servicio, el respeto de la legalidad y los derechos de los ciudadanos.

Los criterios de impacto considerados son los siguientes (CCN-STIC-803):

  • Disposición legal: Existencia de una disposición legal o administrativa que condicione el nivel de la dimensión.
  • Perjuicio directo: Existencia de un perjuicio directo para el ciudadano, entendido como persona física, jurídica o profesional, y de cualquier índole.
  • Incumplimiento de una norma: Implica el incumplimiento de una norma (legal o administrativa, regulatoria, contractual o interna).
  • Pérdidas económicas: Implica pérdidas económicas para la entidad.
  • Reputación: Implica daño reputacional para la entidad.
  • Protestas: Previsión de que pueda desembocar en protestas.
  • Delitos: Facilitaría la comisión de delitos o dificultaría su investigación.

Para el tratamiento de datos personales será de aplicación lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), además de lo preceptuado en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de datos y garantía de los derechos digitales (LOPDGDD) y, especialmente, lo dispuesto en su Disposición Adicional primera: medidas de seguridad en el ámbito del sector público. Por tanto, las medidas a aplicar, además de contemplar los principios de protección de datos desde el diseño y por defecto y el resto de los preceptos legales de aplicación, se dirigen a la protección de los derechos fundamentales de los titulares de los datos personales. 

En cuanto a la valoración de la Disponibilidad de los servicios, el criterio utilizado es el tiempo de recuperación objetivo o tiempo de interrupción de referencia, (RTO) que indica el tiempo máximo que el servicio puede permanecer interrumpido. La disponibilidad se valora en base a las consecuencias en caso de que ese tiempo se supere; es decir, que se quede por debajo del nivel mínimo de servicio por un periodo superior al RTO establecido.

El Comité de Seguridad TIC dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.


9. DESARROLLO DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN.

Esta Política se desarrollará por medio de Normativa de Seguridad que afrontan los requisitos establecidos en el artículo 13 del RD 311/2022. Esta normativa de seguridad estará a disposición de todos los miembros de la organización que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones.

La normativa de seguridad estará disponible en la carpeta de SharePoint de los Sistemas de Gestión en la siguiente URL: https://te952301637r1.sharepoint.com/sites/SGI, cuyo contenido cubre los requisitos mínimos de seguridad establecidos en el artículo 13 del ENS, ellos son:

  • Organización e implantación del proceso de seguridad.
  • Análisis y gestión de los riesgos de seguridad de los sistemas de información
  • Gestión de personal.
  • Profesionalidad.
  • Autorización y control de los accesos.
  • Protección de las instalaciones.
  • Adquisición de productos de seguridad y contratación de servicios de seguridad.
  • Mínimo privilegio.
  • Integridad y actualización del sistema.
  • Protección de la información almacenada y en tránsito.
  • Prevención ante otros sistemas de información interconectados.
  • Registro de actividad y detección de código dañino.
  • Incidentes de seguridad.
  • Continuidad de la actividad.
  • Mejora continua del proceso de seguridad.


10. OBLIGACIONES DEL PERSONAL

Todo el personal de FACTUDATA tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad, siendo responsabilidad del Comité de Seguridad TIC disponer los medios necesarios para que la información llegue a los afectados.

Todo el personal de FACTUDATA atenderán a una sesión de concienciación en materia de seguridad TIC al menos una vez al año. Se establecerá un programa de concienciación continua para atender a todos los miembros de la empresa, en particular a los de nueva incorporación.

Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.

Conforme las políticas expuestas anteriormente, los empleados tienen la obligación de leer las Políticas de Seguridad (documento POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN) y firmar un documento en el cual el empleado asiente explícitamente un uso responsable de la información y confidencialidad de los datos.


11.TERCERAS PARTES

Cuando FACTUDATA preste servicios a otros organismos o maneje información de otros organismos, se les hará partícipes de esta Política de Seguridad de la Información, se establecerán canales para reporte y coordinación de los respectivos Comités de Seguridad TIC y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

Cuando FACTUDATA utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política.

Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.


 *Para comprobar la veracidad de los certificados dar clic en la imagen inferior: