1. Introducción
A través de la presente Política de Seguridad y los sistemas de gestión, Hard2bit S.L. establece el marco general para garantizar la protección de sus activos, la calidad en sus procesos, la continuidad operativa, y la sostenibilidad ambiental, en cumplimiento con los requisitos del Esquema Nacional de Seguridad (ENS) y los estándares de las normas ISO/IEC 27001, ISO/IEC 20000-1, ISO 9001, ISO 22301 e ISO 14001. Esta política promueve una cultura integral de seguridad, calidad, resiliencia y responsabilidad ambiental, asegurando la asignación de roles claros y fomentando la mejora continua en todos los ámbitos de la organización.
2. Alcance
Esta política aplica a:
- Toda la información gestionada por la empresa, independientemente de su formato (digital, físico, oral).
- Todos los empleados, contratistas, proveedores y terceros que tengan acceso a los sistemas, redes, datos y/o instalaciones de la empresa.
- Los procesos, sistemas y aplicaciones que interactúan con los servicios, así como, procesos de TI de la empresa.
3. Misión y objetivos
Misión
Fomentar un entorno donde cada empleado se sienta valorado, inspirado y empoderado para alcanzar su máximo potencial, contribuyendo al éxito y crecimiento sostenido de Hard2bit. Proporcionar servicios, soluciones tecnológicas y de gestión que ayuden y capaciten a nuestros clientes para prevenir y resolver de manera proactiva desafíos en materia de seguridad de la información y otros ámbitos del gobierno de TI.
Objetivos principales
Seguridad de la Información
Proteger la Disponibilidad, Integridad, Confidencialidad, Autenticidad y Trazabilidad (DICAT) de la información crítica de la empresa y de sus partes interesadas, asegurando que los sistemas, servicios y datos estén protegidos frente a incidentes y vulnerabilidades, promoviendo un entorno seguro y confiable.
Gestión de Servicios de TI
Planificar, implementar, entregar, soportar y mejorar continuamente los servicios de TI y el sistema de gestión asociado, cumpliendo con las políticas relevantes, normas, estándares, requisitos legales, reglamentarios y contractuales, con el propósito de satisfacer y superar las expectativas de los clientes.
Calidad
Cumplir lo que prometemos, haciéndolo bien a la primera vez, en los tiempos establecidos, mejorando continuamente y creando una experiencia memorable para nuestros clientes.
Continuidad del Negocio
Establecer y mantener planes efectivos que aseguren la capacidad de la empresa para operar durante y después de incidentes disruptivos, minimizando el impacto en las operaciones y garantizando la confianza de las partes interesadas.
Gestión Ambiental
Reducir el impacto ambiental de las actividades mediante la implementación de prácticas sostenibles y responsables, asegurando el cumplimiento de la legislación ambiental aplicable y otros compromisos suscritos por la organización.
Peticiones, quejas o reclamaciones
En caso de que el cliente identifique alguna petición, queja o reclamación, puede presentarla a través de:
- Correo electrónico: info@hard2bit.com.
- Teléfono: +34 910139827.
Si el cliente considera que su solicitud no ha sido tratada adecuadamente, podrá escalarla a la Alta Dirección escribiendo al correo adrian.gonzalez@hard2bit.com.
De igual manera, la empresa se compromete a implementar y mantener el ciclo de mejora continua (Planificar, Hacer, Verificar, Actuar – PHVA), garantizando su eficacia mediante la planificación estratégica, la ejecución controlada de actividades, la supervisión y evaluación de resultados, y la adopción de medidas correctivas y de mejora continua.
4. Marco regulatorio
El marco regulatorio en el que se desarrollarán las actividades: las responsabilidades legales relacionadas con la seguridad de la información y según la naturaleza de las actividades de la empresa, son las definidas en el documento “PE08 – Seguridad de las Operaciones”.
5. Principios, medidas y verificación
La empresa llevará a cabo un monitoreo continuo y reevaluaciones periódicas de las medidas implementadas y del estado de la seguridad, atendiendo a los siguientes principios:
| Principio | Descripción |
|---|---|
| Gestión de riesgos | Actividades coordinadas para identificar y evaluar riesgos, gestionarlos y reducirlos a niveles aceptables mediante medidas adecuadas (anualmente o ante cambios significativos). |
| Proporcionalidad | Medidas de protección, detección y recuperación proporcionales a los riesgos, considerando criticidad/valor de información, tratamientos y servicios afectados. |
| Proceso de verificación | Mecanismo regular para verificar, evaluar y analizar la eficacia de medidas técnicas y organizativas. |
| Seguridad centrada en las personas | Concienciación y comprensión de responsabilidades para minimizar riesgos por uso inadecuado. |
| Seguridad física | Activos ubicados en áreas protegidas con controles de acceso físico y protección frente a riesgos físicos o ambientales. |
| Gestión de comunicaciones y operaciones | Procedimientos para gestión segura y eficiente de TIC y protección adecuada de la información transmitida según sensibilidad. |
| Control de acceso | Acceso limitado a usuarios/procesos/sistemas autorizados con identificación, autenticación y autorización; registros para trazabilidad y auditoría. |
| Seguridad en el ciclo de vida | Seguridad integrada en desarrollo, adquisición y mantenimiento de sistemas, garantizando protección por defecto. |
| Gestión de incidentes | Mecanismos para identificar, registrar, resolver y notificar incidentes conforme a normativas aplicables. |
| Protección | Sistema de detección y reacción frente a código dañino. |
| Continuidad del negocio | Medidas para garantizar disponibilidad de sistemas y continuidad de procesos críticos, alineadas con niveles de servicio requeridos. |
| Cumplimiento normativo | Medidas para asegurar cumplimiento legal en seguridad de la información y protección de datos personales. |
| Notificación de incidentes | Procedimientos para notificación a autoridades competentes, conforme a regulaciones. |
| Auditorías de seguridad | Auditoría anual y auditorías extraordinarias ante modificaciones sustanciales; supervisión por responsable de seguridad y DPO. |
| Mejora continua | Registro de incidentes y no conformidades y acciones de tratamiento para la mejora continua del sistema. |
6. Principios de protección de datos
La empresa tratará los datos personales bajo su responsabilidad cumpliendo con los siguientes principios:
| Principio | Descripción |
|---|---|
| Licitud, lealtad y transparencia | Tratamiento lícito, leal y transparente en relación con los interesados. |
| Legitimación del tratamiento | Tratamiento respaldado por bases de legitimación de los artículos 6 y 9 del RGPD. |
| Limitación de la finalidad | Uso para fines específicos, explícitos y legítimos, sin incompatibilidades. |
| Minimización de datos | Datos adecuados, pertinentes y limitados a lo estrictamente necesario. |
| Exactitud | Datos precisos y actualizados; corrección o eliminación de inexactitudes sin demora. |
| Limitación del plazo de conservación | Almacenamiento solo durante el tiempo necesario, respetando períodos legales aplicables. |
| Integridad y confidencialidad | Protección contra acceso no autorizado, pérdida o daño, con medidas técnicas y organizativas y deber de confidencialidad. |
| Responsabilidad proactiva | Medidas para demostrar cumplimiento y conformidad con el RGPD. |
| Atención a derechos | Procedimientos para ejercicio de derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad. |
| Privacidad desde el diseño y por defecto | Integración de protección de datos y seguridad desde el inicio de cualquier proyecto. |
| Registro de actividades | Registro actualizado de actividades de tratamiento conforme al artículo 30 del RGPD. |
| Gestión de brechas | Notificación a la AEPD de violaciones (art. 33 RGPD) y comunicación a interesados cuando aplique (art. 34 RGPD). |
7. Estructura de supervisión y roles ENS
Roles (ENS) y cargo
| Rol del ENS | Cargo que lo ocupa |
|---|---|
| Comité de Seguridad y de Crisis | CEO + Director de Operaciones |
| Responsable de la Información | CEO |
| Responsable del Servicio | Propietarios de grupos de servicios |
| Responsable de la Seguridad | Director de Operaciones |
| Responsable del Sistema | Propietario del Grupo de Servicios 2 |
| Administrador del Sistema | Propietario del Grupo de Servicios 1 |
| Delegado de Protección de Datos | Director de Operaciones |
Incompatibilidades
Se garantizará la diferenciación entre el responsable de la información, el responsable del servicio, el responsable de la seguridad y el responsable del sistema (Art. 11 Real Decreto).
Responsabilidades asociadas a roles
| Rol | Ámbito de responsabilidad |
|---|---|
| Comité de Seguridad y de Crisis | Gestionar y coordinar todas las actividades relativas a la presente política. |
| Responsable de la Información | Determinar los requisitos (de seguridad) de la información tratada, según los parámetros del Anexo I del ENS y a los sistemas de gestión de la empresa. |
| Responsable del Servicio | Determina los requisitos (de seguridad) de los servicios prestados, según los parámetros del Anexo I del ENS y sistemas de gestión. Establecer, dentro de su ámbito, los requisitos del servicio y los niveles de seguridad del mismo con la colaboración del responsable de seguridad de la información. |
| Responsable de la Seguridad | Mantener la seguridad de la información manejada y de los servicios prestados por los sistemas de información en su ámbito de responsabilidad, de acuerdo a lo establecido en la Política de Seguridad de la Información de la organización. Promover la formación y concienciación en materia de seguridad de la información dentro de su ámbito de responsabilidad. |
| Responsable del Sistema | Se encarga de la operación del sistema de información, atendiendo a las medidas de seguridad determinadas por el Responsable de la Seguridad. |
| Responsable de la Seguridad Física | Adoptar las medidas de seguridad que le competan, dentro de las determinadas por el Responsable de la Seguridad de la Información, e informará a éste de su grado de implantación, eficacia e incidentes. |
| Responsable de la Gestión del Personal | Adoptar las medidas de seguridad que le competan, dentro de las determinadas por el Responsable de la Seguridad de la Información, e informarán a éste de su grado de implantación, eficacia e incidentes. |
| Responsable del Tratamiento de los Datos | Determinar los fines y medios del tratamiento de los datos personales. |
| Encargado del Tratamiento de Datos | Tratar datos personales por cuenta del Responsable del Tratamiento. |
| Delegado de Protección de Datos | Dar cumplimiento a lo requerido en el artículo 37 del RGPD, que llevará a cabo las tareas establecidas en el artículo 39 del citado RGPD, así como las que se deriven de la normativa española de protección de datos de carácter personal y de los documentos de buenas prácticas que se adopten por la empresa. |
| Auditor | Proporcionar retroalimentación sobre la efectividad del sistema de gestión de seguridad. |
| Todos los colaboradores | Conocer y cumplir lo previsto en la presente Política, así como, en las normas y procedimientos que se desarrollen. |
En caso de conflicto entre los diferentes responsables que componen la estructura antes descrita, corresponderá, en última instancia, a la Dirección, asistida por el Comité de Seguridad y, cuando proceda, por el Delegado de Protección de Datos, para la resolución de conflictos en calidad de máximo responsable de la empresa.
8. Designación, renovación y liderazgo
El detalle de las responsabilidades asociadas a cada rol, así como, el procedimiento para su designación y renovación, se encuentran descritos en el documento “ANEXO II Liderazgo” para su consulta. Dicho documento estructura las responsabilidades en los siguientes grupos de actividades:
| Ámbito | Aspectos desarrollados en el presente documento |
|---|---|
| Seguridad de la información |
|
| Servicios |
|
9. Documentación, gestión y acceso
Las directrices para la estructuración de la documentación de seguridad del sistema, su gestión y acceso:
La estructuración de la documentación de la empresa se organiza en los siguientes niveles:
Igualmente, la empresa dispone de un Sharepoint como gestor documental que se rige por las políticas y procedimientos establecidas en el documento “PE01 – Elaboración, almacenado y control documental” en cuanto a la elaboración, aprobación, conservación, estructura y acceso de los documentos del sistema de los sistemas de gestión de la empresa, el cual asegura, entre otras cuestiones, el registro de marcas de agua en la documentación física y digital para asegurar el uso adecuado de la información que se maneja.
10. Riesgos del tratamiento de datos personales
La responsabilidad de monitorizar los riesgos recae en sus propietarios, sin perjuicio de que la función puede ser delegada en el día a día. A efectos del sistema de gestión, los propietarios de los riesgos son:
- El Responsable de la Información es el propietario de los riesgos sobre la información.
- El Responsable del Servicio es el propietario de los riesgos sobre los servicios.
A continuación, se describen los riesgos más relevantes en relación al tratamiento de datos personales:
- Acceso no autorizado: riesgo de que personas no autorizadas accedan a información sensible.
- Divulgación no consentida: filtración o exposición indebida de información personal.
- Incumplimiento normativo: sanciones legales o reputacionales por no cumplir con regulaciones como el RGPD.
- Riesgos de privacidad: vulneración de derechos y libertades de los titulares de los datos.
11. Relación con proveedores
Todos los proveedores que manejen o tengan acceso a información sensible de la empresa deben:
- Cumplir con las normativas y estándares de seguridad aplicables.
- Firmar acuerdos de confidencialidad y contratos que incluyan cláusulas de seguridad.
- Participar en evaluaciones periódicas de seguridad realizadas por la empresa.
- Notificar de inmediato cualquier incidente de seguridad que pueda afectar a la información de la empresa.
12. Excepciones y consecuencias
Excepciones
Cualquier excepción a esta política debe ser aprobada por escrito por el Comité de Seguridad de la Información de la empresa. Las solicitudes de excepción deben incluir una justificación detallada, así como las medidas compensatorias que se implementarán.
Consecuencias
El incumplimiento de esta política podrá derivar en:
- Acciones disciplinarias internas.
- Acciones legales en caso de negligencia grave o incumplimiento intencional.
- Revisión de relaciones contractuales con terceros.
13. Aprobación, cumplimiento y revisión
La alta dirección de la empresa respalda esta política integrada y se compromete a proporcionar los recursos necesarios para implementar y mantener eficazmente todas las medidas necesarias para cumplir con los requisitos legales asociados, los de las partes interesadas y los normativos de los sistemas de gestión.
Esta política será revisada anualmente para asegurar que sigue siendo relevante y efectiva para alcanzar los objetivos esperados.
El presente documento será revisado anualmente o cuando haya cambios importantes que impacten su naturaleza, para así garantizar su relevancia y eficacia continua. Su incumplimiento puede resultar en medidas disciplinarias.
14. Responsabilidades
Si tienes conocimiento de un posible incumplimiento de esta política, o sospechas que algún empleado, proveedor, contratista o tercero relacionado con la Empresa está actuando en contravención de lo aquí establecido, te instamos a comunicarlo de forma inmediata a través del canal habilitado: info@hard2bit.com.
Si lo consideras necesario, puedes realizar la denuncia de forma anónima. La Empresa garantiza que se han adoptado todas las medidas razonables para preservar la confidencialidad tanto del contenido de la denuncia como de la identidad del denunciante.
Asimismo, se asegura que no se tomarán represalias bajo ninguna circunstancia contra aquellas personas que, de buena fe, informen sobre comportamientos contrarios a esta política o colaboren en una investigación.
15. Medidas en caso de incumplimiento
El incumplimiento de esta política podrá dar lugar a la adopción de medidas correctivas o disciplinarias, según corresponda en cada caso, y siempre conforme a la normativa vigente, a los contratos suscritos y a los procedimientos internos de la empresa.
Dichas medidas se aplicarán de forma proporcional y justificada, teniendo en cuenta la gravedad del incumplimiento, su reiteración, y el tipo de relación existente con la persona o entidad implicada.
La empresa promoverá en todo momento un enfoque orientado a la prevención, la corrección responsable y la mejora continua, garantizando el respeto a los derechos de las partes involucradas.