Política de privacidad para el WEBSITE

Versión vigente desde 25/05/2018

La presente Política de Privacidad (en adelante, la “POLÍTICA DE PRIVACIDAD”) regula, con carácter general, la recogida y tratamiento por parte de SABICO SEGURIDAD, S.A. (en adelante, “SABICO SEGURIDAD”) de los datos personales que usted nos facilita como usuario de la página web accesible a través del nombre de dominio www.sabico.com (en adelante, el “WEBSITE”), incluidos los servicios de blog, de información “Newsletter” o cualquiera otras funcionalidades que en cada momento se encuentren disponibles a través del WEBSITE. Todo ello sin perjuicio de las previsiones específicas establecidas en determinadas secciones, formularios o servicios disponibles en el WEBSITE al objeto de facilitarle la información pertinente y, en su caso, recabar su consentimiento.

SABICO SEGURIDAD se reserva el derecho a modificar la POLÍTICA DE PRIVACIDAD para adaptarla a novedades legislativas, jurisprudenciales y/o administrativas, así como a las prácticas que desarrolle en cada momento a través del WEBSITE, teniendo en todo momento en cuenta sus derechos e intereses.

En todo caso SABICO SEGURIDAD le proporcionará los recursos técnicos adecuados para que pueda acceder a la POLÍTICA DE PRIVACIDAD en aras a dar debido cumplimiento a las obligaciones de información que nos corresponde observar de conformidad con la normativa aplicable en materia de protección de datos.

1. ¿Quién es el Responsable del Tratamiento de sus datos?

El Responsable del Tratamiento de sus datos es SABICO SEGURIDAD, S.A. (en adelante, “SABICO SEGURIDAD”), sociedad con domicilio social sito en Donostia-San Sebastián (Guipúzcoa), Parque Empresarial Zuatzu, Edificio Bidasoa, Planta 2 – Local 3, inscrita en el Registro Mercantil de Guipúzcoa al tomo 2.616, folio 112, hoja SS-4.097 y con C.I.F. nº A-20202487.

En cumplimiento de lo establecido en la normativa aplicable en materia de protección de datos, tenemos designado un Delegado de Protección de Datos (DPO), encargado de la gestión y control de la privacidad en SABICO SEGURIDAD y con el cual puede contactar con a través de la dirección de correo electrónico dpd@sabico.com.

2. ¿Cómo hemos obtenido sus datos?

Los datos que tratamos en SABICO SEGURIDAD han sido obtenidos de usted mismo, a través de (i) los distintos formularios que cumplimente durante la navegación a través del WEBSITE (e.g. formularios de contacto, de suscripción al blog o al servicio de Newsletter, formularios referentes a ofertas de empleo y/o procesos de selección, etc.); o (ii) mediante la remisión de un correo electrónico de consulta.
Adicionalmente le informamos del posible tratamiento de sus datos de redes sociales a través de los perfiles corporativos que SABICO SEGURIDAD mantiene disponible en cada red social en la que se encuentra presente, todo ello en los términos y condiciones establecidos en cada red social.

3. ¿Qué tipo de datos tratamos?

Los datos que tratamos en SABICO SEGURIDAD son aquellos que usted nos ha proporcionado a través de los oportunos formularios que empleamos para formalizar nuestro contacto con usted y/o a través de correo electrónico, así como aquéllos otros que, en su caso, obtengamos a través de los perfiles corporativos de SABICO SEGURIDAD en las redes sociales en las que estamos presentes.

En particular en SABICO SEGURIDAD tratamos las siguientes categorías de datos, en función del uso que haga del WEBSITE:

• • Datos identificativos y de contacto (e.g. nombre, apellidos, D.N.I., dirección postal y electrónica, teléfono, etc.).
  • Códigos y claves de identificación como usuario registrado del WEBSITE.
  • Datos de navegación en Internet (e.g. dirección IP, visitas a páginas web, conexiones a redes wifi, etc.).
  • Datos de características personales, formación, empleo, etc. (en el caso de solicitudes/ofertas de empleo y/o procesos de selección de SABICO SEGURIDAD en los que usted participe de manera voluntaria).

4. ¿Con qué finalidad tratamos sus datos y bajo qué legitimación?

El tratamiento de sus datos personales persigue las siguientes finalidades:

• Tramitar y gestionar la solicitud de información, sugerencias quejas o reclamaciones que realice a través del WEBSITE o del correo electrónico.
• Tramitar y gestionar la contratación y prestación de servicios que, en su caso, formalice con SABICO SEGURIDAD a través del WEBSITE.
• Remitirle por diferentes medios, incluido electrónicos, comunicaciones comerciales y publicitarias de SABICO SEGURIDAD y de otras empresas del grupo empresarial en el que se integra SABICO SEGURIDAD, respecto de productos, servicios, ofertas, promociones y cualesquiera otras informaciones relevantes referentes a dichas entidades, siempre que usted lo hubiera consentido.
• Gestionar su suscripción a nuestro servicio “Newsletter” y el envío de las correspondientes comunicaciones electrónicas, siempre que usted lo hubiera consentido.
• Gestionar su solicitud de empleo o su inscripción en una oferta de empleo y su participación en el correspondiente proceso de selección.

El tratamiento de sus datos personales por parte de SABICO SEGURIDAD, conforme a la normativa aplicable, se basa en su consentimiento, otorgado en el momento de la captación de sus datos personales que usted nos facilita voluntariamente bien a través de los mecanismos habilitados al efecto en el WEBSITE o mediante el envío de un correo electrónico.

Le recordamos que, en cualquier momento, puede revocar su consentimiento libremente y de forma gratuita, en los términos que se indican en el Apartado 7 siguiente.

5. ¿A quién comunicamos sus datos?

Le informamos de que sus datos personales podrán ser comunicados a los siguientes terceros:

• Organismos y Administraciones Públicas a las que, en su caso, SABICO SEGURIDAD tenga obligación legal de comunicar sus datos.
• Cuando usted lo hubiera consentido, a las entidades del grupo empresarial en el que se integra SABICO SEGURIDAD (debidamente identificadas en el siguiente enlace con las finalidades de atender sus solicitudes y consultas y/o remitirle comunicaciones comerciales referentes a dichas entidades y sus respectivas actividades o productos.

No está previsto que se realicen transferencias internacionales de sus Datos.

6. ¿Por cuánto tiempo conservaremos sus datos?

Con carácter general, los datos personales serán conservados en tanto usted no revoque su consentimiento al tratamiento o solicite su supresión, así como el tiempo necesario para cumplir las obligaciones legales que SABICO SEGURIDAD debe observar.

En todo caso, le informamos de que SABICO SEGURIDAD tiene establecidas políticas internas de depuración de datos destinadas a controlar los plazos de conservación de los datos personales que obren en su poder, por lo que éstos podrán ser cancelados cuando dejen de ser necesarios y/o adecuados para la finalidad para la que hubieran sido recabados.

7. ¿Cuáles son sus derechos?

La normativa aplicable en materia de protección de datos le otorga una serie de derechos relativos a sus datos personales que usted podrá ejercitar durante el tratamiento de los mismos. Dichos derechos son los que se le indican a continuación:

• Acceso a sus datos: tiene derecho a acceder a sus datos para conocer qué datos personales que le conciernen estamos tratando.
• Solicitar la rectificación o supresión de sus datos: en determinadas circunstancias, tiene derecho a rectificar aquellos datos personales inexactos que le conciernen que sean objeto de tratamiento por nuestra parte o, incluso, a solicitarnos su supresión cuando, entre otros motivos, los datos ya no fueran necesarios para los fines que fueron recogidos.
• Solicitar la limitación del tratamiento de sus datos: en determinadas circunstancias, tiene derecho a solicitarnos la limitación del tratamiento de sus datos, en cuyo caso le informamos que únicamente los conservaremos para el ejercicio o defensa de reclamaciones tal y como prevé la normativa aplicable en materia de protección de datos.
• A la portabilidad de sus datos: en determinadas circunstancias, tiene derecho a recibir los datos personales que le incumban, y que nos haya facilitado, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento.
• Oponerse al tratamiento de sus datos: en determinadas circunstancias y por motivos relacionados con su situación particular, tiene derecho a oponerse al tratamiento de sus datos en cuyo caso, dejaríamos de tratarlos salvo que, por motivos legítimos imperiosos, o el ejercicio o la defensa de posibles reclamaciones, éstos deban ser conservados.
• Asimismo, tiene derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.
• Podrá ejercer dichos derechos mediante solicitud escrita dirigida a SABICO SEGURIDAD, en la dirección postal indicada en el Apartado 1 o bien remitiendo un correo electrónico dirigido a la dirección dpd@sabico.com.
• Finalmente indicarle que puede interponer una reclamación ante la Autoridad de Control competente (en España, la Agencia Española de Protección de Datos), especialmente cuando no haya obtenido satisfacción en el ejercicio de sus derechos. Puede ponerse en contacto con dicha Autoridad a través de su página web: www.agpd.es.

Medidas de seguridad

SABICO SEGURIDAD tratará sus datos en todo momento de forma absolutamente confidencial y guardando el preceptivo deber de secreto respecto de los mismos, de conformidad con lo previsto en la normativa de aplicación en materia de protección de datos, adoptando al efecto las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de sus datos y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos.

Política de cookies

Adicionalmente, le indicamos que SABICO SEGURIDAD tiene establecida una Política e Cookies que se encuentra accesible a través del siguiente enlace.

 

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE SABICO

La información constituye un activo de primer orden para el grupo SABICO, ya que resulta imprescindible para la prestación de los servicios que ofrece a terceras partes. Por su parte, las tecnologías de la información y las comunicaciones (TIC) se han hecho imprescindibles para las organizaciones, ya que contribuyen de forma muy eficaz al tratamiento de esa información. Sin embargo, las mejoras que aportan las TIC al tratamiento de la información vienen acompañadas de nuevos riesgos. Por esa razón es necesario introducir medidas específicas para proteger tanto la información como los servicios que dependen de ella.

La seguridad de la información tiene como objetivo proteger la información y los servicios, reduciendo los riesgos a los que están sometidos hasta un nivel que resulte aceptable. El presente documento establece la Política de Seguridad de la Información de SABICO para asegurar que todo el personal a su servicio tanto directa como indirectamente, conoce, dirige y da soporte a la seguridad de la información.

Con ello se pretende lograr el alineamiento estratégico de la gestión de la seguridad de la información con las normas internacionales y las regulaciones legislativas existentes en la materia.

 

1. Misión y objetivos de la política de seguridad de la información

SABICO ha establecido un alineamiento con la gestión de la seguridad de la información según lo establecido en el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, y en el estándar de mercados ISO27001, reconociendo como activos estratégicos la información, y los sistemas que la soportan.

Uno de los objetivos fundamentales de la implantación de esta Política de Seguridad es establecer las bases sobre las que tanto empleados internos, como terceras partes, puedan acceder a los servicios ofrecidos por SABICO en un entorno seguro y de confianza.

La Política de Seguridad de la Información define el marco global para la gestión de la seguridad de la información protegiendo todos los activos de información y garantizando la continuidad en el funcionamiento de los sistemas. Se pretende de esta forma minimizar los riesgos derivados de una posible falla en la seguridad y asegurar el cumplimiento de los objetivos de SABICO ante un hipotético incidente de seguridad de la información.

Para ello, se establecen los siguientes objetivos generales en materia de seguridad de la información:

1. Contribuir desde la gestión de la seguridad al cumplimiento de la misión y objetivos establecidos por SABICO.
2. Disponer de las medidas de control necesarias para garantizar el cumplimiento de los requisitos legales que sean de aplicación como consecuencia de la actividad desarrollada, especialmente en lo relativo a la protección de datos de carácter personal y a la prestación de servicios a través de medios electrónicos o telemáticos.
3. Asegurar la accesibilidad, confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información.
4. Asegurar la prestación continuada de los servicios, tanto de forma preventiva como de forma reactiva ante los incidentes de seguridad.
5. Proteger los activos de información de SABICO y la tecnología que los soporta frente a cualquier amenaza, intencionada o accidental, interna o externa, con el fin de asegurar la confidencialidad, integridad y disponibilidad de estos.

 

Esta Política de Seguridad asegura un compromiso continuo y manifiesto de SABICO y todas sus instituciones, para la difusión y consolidación de la cultura de la seguridad.

 

2. Alcance

Esta Política de seguridad se aplicará a toda la información de SABICO. A estos efectos, se entiende por SABICO:

• La sede central de la organización, ubicada en San Sebastián.
• Las diferentes sedes provinciales.

Esta Política no se limita a los datos de carácter personal y es independiente de que el tratamiento sea manual o automatizado.

 

3. Marco normativo

Sin carácter exhaustivo, la legislación en materia de seguridad de la información que debe servir de referencia es la siguiente:

• Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
• Ley 9/2014, de 9 de mayo, General de Telecomunicaciones.
• Ley 59/2003, de 19 de diciembre, de firma electrónica.
• Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
• Reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE.
• Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad.
• Resolución de 7 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de Informe del Estado de la Seguridad.
• Resolución de 27 de marzo de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas de Información.
• Resolución de 13 de abril de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Notificación de Incidentes de Seguridad.
• Norma UNE-EN ISO/IEC 27001:2022.
• Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual, regularizando, aclarando y armonizando las disposiciones legales vigentes sobre la materia.
• Ley 2/2019, de 1 de marzo, por la que se modifica el texto refundido de la Ley de Propiedad Intelectual, aprobado por el Real Decreto Legislativo 1/1996, de 12 de abril, y por el que se incorporan al ordenamiento jurídico español la Directiva 2014/26/UE del Parlamento Europeo y del Consejo, de 26 de febrero de 2014, y la Directiva (UE) 2017/1564 del Parlamento Europeo y del Consejo, de 13 de septiembre de 2017.
• Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante RGPD).
• Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos de carácter personal y sus normas de desarrollo
• Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana.

 

4. Revisión de la política

En relación con las revisiones que puedan realizarse sobre la redacción del texto que constituye la política de seguridad de la información, se distinguirán dos tipos de actividades:

• Revisiones periódicas sistemáticas: Deberán realizarse cuando se detecten incidencias o cambios en el marco legal que puedan cuestionar la validez de dicha Política. La revisión de la Política de Seguridad de la Información deberá garantizar que ésta se encuentra alineada con la estrategia, la misión y visión de SABICO en materia de seguridad de la información y que asegura el cumplimiento de los objetivos de control establecidos.

Las revisiones periódicas se realizarán al menos con una periodicidad anual.

• Revisiones no planificadas: Estas revisiones deberán realizarse en respuesta a cualquier evento o incidente de seguridad que pudiera suponer un incremento significativo del nivel de riesgo actual o haya causado un impacto en la seguridad de la información de SABICO.

5. Organización interna de la seguridad

La seguridad de la información corresponde, con las funciones que se señalan para cada uno en este apartado, a los siguientes órganos: Comité de Seguridad de la Información de SABICO, Responsables de la Información, Responsables del Servicio, Responsables de Seguridad, y Responsables de Sistemas.

• Comité de Seguridad de la Información de SABICO:
  • El Comité de Seguridad de la Información es el organismo que centraliza la gestión de la seguridad de la información en la organización.
  • Cuando lo justifique la complejidad, la separación física de sus elementos o el número de usuarios de la información en soporte electrónico, o de los sistemas que la manejen, podrán crearse Comités de Seguridad delegados, dependientes funcionalmente del Comité de Seguridad de la Información principal, que serán responsables en su ámbito de las actuaciones que se les deleguen.
• El Responsable de la Información será la persona con competencia suficiente para decidir sobre la finalidad, contenido y uso de dicha información y determinará dentro del marco establecido en el Anexo I del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad los requisitos de seguridad de la información tratada. A tal efecto:
  • Determinará los niveles de seguridad de la información tratada, valorando los impactos de los incidentes que afecten a la seguridad de la información, conforme con lo establecido en el artículo 44 del Real Decreto citado.
  • Realizará, junto a los Responsables del Servicio y del Responsable de Seguridad, los preceptivos análisis de riesgos, y seleccionarán las salvaguardas que se han de implantar.
  • Aceptará los riesgos residuales respecto de la información calculados en el análisis de riesgos.
  • Realizará el seguimiento y control de los riesgos, con la participación del Responsable de Seguridad.
• El Responsable del Servicio será la persona con competencia suficiente para decidir sobre la finalidad y prestación de dicho servicio y determinará dentro del marco establecido en el Anexo I del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad los requisitos de seguridad de los servicios prestados. A tal efecto:
  • Realizará, junto a los Responsables de la Información y de Seguridad, los preceptivos análisis de riesgos, y seleccionarán las salvaguardas que se han de implantar.
  • Aceptará los riesgos residuales respecto de la información calculados en el análisis de riesgos.
  • Realizará el seguimiento y control de los riesgos, con la participación del Responsable de Seguridad.
  • Suspender, de acuerdo con el Responsable de la Información y el Responsable de Seguridad, la prestación de un servicio electrónico o el manejo de una determinada información, si es informado de deficiencias graves de seguridad.
• El Responsable de Seguridad será la persona determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios. Tendrá las siguientes funciones:
  • Asunción de las funciones incluidas en los artículos 10, 27.3, 34.6, Anexo (apartado 2.3) y Anexo III (apartados 2.1.b. y 2.2.b.) del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
  • Proponer al Responsable del Servicio la determinación de los niveles de seguridad en cada dimensión de seguridad siempre que se le solicite.
  • Realizar o promover auditorías periódicas para verificar el cumplimiento de las obligaciones en materia de seguridad de la información.
  • Realizar el seguimiento y control del estado de seguridad de los sistemas de información.
  • Proponer al Comité de Seguridad las normas de seguridad y los procedimientos de seguridad.
  • Cuando lo justifique la complejidad, la separación física de sus elementos o el número de usuarios de la información en soporte electrónico, o de los sistemas que la manejen, podrán designarse «responsables de seguridad delegados», dependientes funcionalmente del responsable principal, que serán responsables en su ámbito de las actuaciones que se les deleguen.
• El Responsable del Sistema tendrá las siguientes funciones:
  •  
  • Desarrollar, operar y mantener el sistema de información durante todo su ciclo de vida, incluyendo sus especificaciones, instalación y verificación de su correcto funcionamiento.
  • Definir la topología y la gestión del sistema de información, estableciendo los criterios de uso y los servicios disponibles en el mismo.
  • Cerciorarse de que las medidas de seguridad se integren adecuadamente en el marco general de seguridad.
  • El Responsable del Sistema puede proponer la suspensión del tratamiento de una cierta información o la prestación de un determinado servicio si aprecia deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos. La decisión final, que será tomada por la dirección de la entidad, debe ser acordada con los responsables de la información y los servicios afectados y el Responsable de la Seguridad.

6. Resolución de conflictos

En caso de conflicto entre los diferentes responsables que componen la estructura organizativa de la Política de Seguridad de la Información, éste será resuelto por la Dirección de SABICO, y prevalecerán las mayores exigencias derivadas de la protección de datos de carácter personal.

7. Clasificación de la información

SABICO clasificará e inventariará los activos de la información en virtud de su naturaleza.

El nivel de protección y las medidas a aplicar se basarán en el resultado de dicha clasificación.

8. Datos de carácter personal

Cuando un sistema al que afecte el Esquema Nacional de Seguridad maneje datos de carácter personal, le será de aplicación lo dispuesto en la Ley Orgánica 3/2018, del 5 de diciembre, de Protección de Datos de Carácter Personal y sus normas de desarrollo, sin perjuicio de los requisitos establecidos en el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, y la norma UNE-EN ISO/IEC 27001:2022.

Todos los sistemas de información se ajustarán a los niveles de seguridad requeridos por la normativa de protección de datos de carácter personal.

9. Gestión de riesgos

Todos los sistemas sujetos a esta Política deberán ser sometidos a un análisis y gestión de riesgos, evaluando los activos, amenazas y vulnerabilidades a los que están expuestos y proponiendo las contramedidas adecuadas para mitigar los riesgos. Aunque se precisa un control continuo de los cambios realizados en los sistemas, este análisis se repetirá:

• al menos una vez al año (mediante revisión y aprobación formal).
• cuando cambie la información manejada
• cuando cambien los servicios prestados
• cuando ocurra un incidente grave de seguridad
• cuando se reporten vulnerabilidades graves

Para la armonización de los análisis de riesgos, se establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados.

10. Instrumentos de desarrollo

Se establece un marco normativo en materia de seguridad de la información estructurado por diferentes niveles de forma que los objetivos marcados por el presente documento tengan un desarrollo específico.

La política de seguridad estructurará su marco normativo en los siguientes niveles:

1. La presente Política de Seguridad de la Información establece los requisitos y criterios de protección de carácter global.
2. Las normas de seguridad definen qué hay que proteger y los requisitos de seguridad deseados. El conjunto de todas las normas de seguridad debe cubrir la protección de todos los entornos de los sistemas de información de la organización. Establecen un conjunto de expectativas y requisitos que deben ser alcanzados para poder satisfacer y cumplir cada uno de los objetivos de seguridad establecidos en la política.
   • Las propone el Responsable de Seguridad y las aprueba el Comité de Seguridad de la Información.
3. Los procedimientos de seguridad en los que describirá de forma concreta cómo proteger lo definido en las normas y las personas o grupos responsables de la implantación, mantenimiento y seguimiento de su nivel de cumplimiento. Son documentos que especifican cómo llevar a cabo las tareas habituales, quién debe hacer cada tarea y cómo identificar y reportar comportamientos anómalos.
   • Su aprobación dependerá de su ámbito de aplicación, que podrá ser en un ámbito específico o en un sistema de información determinado.

Además, se podrán establecer guías con recomendaciones y buenas prácticas.

En la medida de lo posible, toda esta documentación será gestionada según establece el procedimiento vigente de Control de documentos y registros en SABICO, que tendrá como objetivo establecer los criterios para el control de la documentación y registros de seguridad utilizados en el Sistema de Gestión de la Seguridad de la Información y que se extiende a toda la documentación que da soporte al cumplimiento del Esquema Nacional de Seguridad.

11. Obligaciones del personal

Todo el personal con responsabilidad en el uso, operación, o administración de sistemas de tecnologías de la información y las comunicaciones tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la normativa de seguridad derivada, independientemente del tipo de relación jurídica que les vincule con SABICO.

Todas las personas recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo.

La Política de Seguridad estará accesible para todo el personal que preste sus servicios en los órganos y entidades a que se refiere el punto relativo al ‘Alcance’.

Con el objetivo de fomentar la ‘Cultura de la seguridad’, el Comité de Seguridad de la Información promoverá un programa de concienciación continúa para formar a todo el personal.

El incumplimiento de la Política de Seguridad y su normativa de desarrollo dará lugar al establecimiento de medidas preventivas y correctivas encaminadas a salvaguardar y proteger las redes y sistemas de información, sin perjuicio de la correspondiente exigencia de responsabilidad disciplinaria.

12. Profesionalidad

La seguridad de los sistemas estará atendida, revisada y auditada por personal cualificado, dedicado e instruido en todas las fases de su ciclo de vida: instalación, mantenimiento, gestión de incidentes y desmantelamiento.

El personal designado de SABICO recibirá la formación específica necesaria para garantizar la seguridad de las tecnologías de la información aplicables a los sistemas y servicios.

13. Autorización y control de accesos

El acceso al sistema de información deberá ser controlado y limitado a los usuarios, procesos, dispositivos y otros sistemas de información, debidamente autorizados, restringiendo el acceso a las funciones permitidas.

14. Protección de las instalaciones

Los sistemas se instalarán en áreas separadas, dotadas de un procedimiento de control de acceso.

Como mínimo, las salas deben estar cerradas y disponer de un control de llaves.

15. Adquisición de productos de seguridad

En la adquisición de productos de seguridad de las tecnologías de la información y comunicaciones que vayan a ser empleados por SABICO, se utilizarán, de forma proporcionada a la categoría del sistema y nivel de seguridad determinados, aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición, salvo en aquellos casos en que las exigencias de proporcionalidad en cuanto a los riesgos asumidos no lo justifiquen a juicio del responsable de Seguridad.

La certificación indicada en el apartado anterior deberá estar de acuerdo con las normas y estándares de mayor reconocimiento internacional, en el ámbito de la seguridad funcional.

El Organismo de Certificación del Esquema Nacional de Evaluación y Certificación de Seguridad de las Tecnologías de la Información, constituido al amparo de lo dispuesto en el artículo 2.2.c) del Real Decreto 421/2004, de 12  de marzo, y regulado por la orden PRE/2740/2007, de 19 de septiembre, dentro de sus competencias, determinará el criterio a cumplir en función del uso previsto del producto a que se refiera, en relación con el nivel de evaluación, otras certificaciones de seguridad adicionales que se requieran normativamente, así como, excepcionalmente, en los casos en que no existan productos certificados. El proceso indicado, se efectuará teniendo en cuenta los criterios y metodologías de evaluación, determinados por las normas internacionales que recoge la orden ministerial citada.

Para la contratación de servicios de seguridad, si fueran necesarios, se estará a lo dispuesto en los apartados anteriores y en el artículo “Relaciones con terceros” de la presente Política.

16. Seguridad por defecto

Los sistemas deben diseñarse y configurarse de forma que garanticen la seguridad por defecto:

• El sistema proporcionará la mínima funcionalidad requerida para que SABICO alcance sus objetivos.
• Las funciones de operación, administración y registro de actividad serán las mínimas necesarias, y se asegurará que sólo son accesibles por las personas, o desde emplazamientos o equipos, autorizados, pudiendo exigirse en su caso restricciones de horario y puntos de acceso facultados.
• En un sistema de explotación se eliminarán o desactivarán, mediante el control de la configuración, las funciones que no sean de interés, las que sean innecesarias e, incluso, aquellas que sean inadecuadas al fin que se persigue.
• El uso ordinario del sistema ha de ser sencillo y seguro, de forma que una utilización insegura requiera de un acto consciente por parte del usuario.

17. Integridad y actualización del sistema

Todo elemento físico o lógico requerirá autorización formal previa a su instalación en el sistema.

Se deberá conocer en todo momento el estado de seguridad de los sistemas, en relación con las especificaciones de los fabricantes, a las vulnerabilidades y a las actualizaciones que les afecten, reaccionando con diligencia para gestionar el riesgo a la vista del estado de seguridad de estos.

18. Protección de la información almacenada y en tránsito

En la estructura y organización de la seguridad del sistema, se prestará especial atención a la información almacenada o en tránsito a través de entornos inseguros. Tendrán la consideración de entornos inseguros los equipos portátiles, smartphones, dispositivos periféricos, soportes de información y comunicaciones sobre redes abiertas o con cifrado débil.

Forman parte de la seguridad los procedimientos que aseguren la recuperación y conservación a largo plazo de los documentos electrónicos producidos por SABICO.

Toda información en soporte no electrónico, que haya sido causa o consecuencia directa de una información electrónica, deberá estar protegida con el mismo grado de seguridad que ésta. Para ello se aplicarán las medidas que correspondan a la naturaleza del soporte en que se encuentren, de conformidad con las normas de aplicación a la seguridad de estos

19. Prevención ante otros sistemas de información interconectados

El sistema ha de proteger el perímetro, en particular, si se conecta a redes públicas. Se entenderá por red pública de comunicaciones la red de comunicaciones electrónicas que se utiliza, en su totalidad o principalmente, para la prestación de servicios de comunicaciones electrónicas disponibles para el público, de conformidad a la definición establecida en el apartado 32 del Anexo II, de la Ley 9/2014 de 9 de mayo, General de Telecomunicaciones.

En todo caso se analizarán los riesgos derivados de la interconexión del sistema, a través de redes, con otros sistemas, y se controlará su punto de unión.

20. Registro de actividad

Con la finalidad exclusiva de lograr el cumplimiento del objeto de la presente Política, con plenas garantías del derecho al honor, a la intimidad personal y familiar y a la propia imagen de los afectados, y de acuerdo con la normativa sobre protección de datos personales, y demás disposiciones que resulten de aplicación, se registrarán las actividades de los usuarios, reteniendo la información necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento a la persona que actúa.

21. Incidentes de seguridad

Se establecerá un sistema de detección y reacción frente a código dañino.

Se dispondrá de procedimientos de gestión de incidentes de seguridad y de debilidades detectadas en los elementos del sistema de información.

Estos procedimientos cubrirán los mecanismos de detección, los criterios de clasificación, los procedimientos de análisis y resolución, así como los cauces de comunicación a las partes interesadas y el registro de las actuaciones. Este registro se empleará para la mejora continua de la seguridad del sistema.

22. Continuidad de la actividad

Los sistemas dispondrán de copias de seguridad y establecerán los mecanismos necesarios para garantizar la continuidad de las operaciones, en caso de pérdida de los medios habituales de trabajo.

23. Mejora continua del proceso de seguridad

El proceso integral de seguridad implantado deberá ser actualizado y mejorado de forma continua. Para ello, se aplicarán los criterios y métodos reconocidos en la práctica nacional e internacional relativos a gestión de las tecnologías de la información.

24. Relaciones con terceros

Cuando SABICO preste servicios o ceda información a terceras partes, se les hará partícipe de esta Política de Seguridad de la Información y de las normas e instrucciones derivadas.

Asimismo, cuando SABICO utilice servicios de terceros o ceda información a terceros se les hará igualmente partícipe de esta Política de Seguridad de la Información y de la normativa e instrucciones de seguridad que ataña a dichos servicios o información. Los terceros quedarán sujetos a las obligaciones y medidas de seguridad establecidas en dicha normativa e instrucciones, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de detección y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad de la información, al menos al mismo nivel que el establecido en esta Política de Seguridad de la Información.

En concreto, los terceros deberán garantizar el cumplimiento de la política de seguridad de la información basadas en estándares auditables que permitan verificar el cumplimiento de estas políticas. Asimismo, se garantizará mediante auditoría o certificado de destrucción/borrado que el tercero cancela y elimina los datos pertenecientes a SABICO a la finalización del contrato.

Cuando algún aspecto de la Política de la Seguridad de la Información no pueda ser satisfecho por una tercera parte, se requerirá un informe del Responsable de Seguridad de la Información que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por el Responsable de la Información y de los Servicios afectados antes de seguir adelante.