Política de Seguridad, Protección de Datos y Sistemas de Gestión

Alcance

Esta política aplica a:

Toda la información gestionada por la empresa, independientemente de su formato (digital, físico, oral).
Todos los empleados, contratistas, proveedores y terceros que tengan acceso a los sistemas, redes, datos y/o instalaciones de la empresa.
Los procesos, sistemas y aplicaciones que interactúan con los servicios, así como procesos de TI de la empresa.

Misión y objetivos de la organización

La empresa que tiene como misión:

Fomentar un entorno donde cada empleado se sienta valorado, inspirado y empoderado para alcanzar su máximo potencial, contribuyendo al éxito y crecimiento sostenido de Hard2bit. Proporcionar servicios, soluciones tecnológicas y de gestión que ayuden y capaciten a nuestros clientes para prevenir y resolver de manera proactiva desafíos en materia de seguridad de la información y otros ámbitos del gobierno de TI.

En coherencia con la misión de la empresa antes citada, se han definido los siguientes objetivos principales, los cuales constituyen el marco de referencia para el desarrollo y alineación de los objetivos específicos de sus sistemas de gestión:

Seguridad de la Información

Proteger la disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad de la información de la empresa y de sus partes interesadas, así como el cumplimiento legal para asegurar que los activos y servicios estén protegidos frente a incidentes y vulnerabilidades, promoviendo un entorno seguro y confiable para todas sus partes interesadas y mejorando continuamente el sistema de gestión.

Gestión de Servicios de TI

Planificar, implementar, entregar, soportar y mejorar continuamente los servicios de TI y el sistema de gestión asociado, cumpliendo con las políticas relevantes, normas, estándares, requisitos legales, reglamentarios y contractuales, con el propósito de satisfacer y superar las expectativas de los clientes.

Calidad

Cumplir lo que prometemos, haciéndolo bien a la primera vez, en los tiempos establecidos, mejorando continuamente y creando una experiencia memorable para nuestros clientes.

Continuidad del Negocio

Establecer y mantener planes efectivos que aseguren la capacidad de la empresa para operar durante y después de incidentes disruptivos, minimizando el impacto en las operaciones y garantizando la confianza de las partes interesadas.

Gestión Ambiental

Reducir el impacto ambiental de las actividades mediante la implementación de prácticas sostenibles y responsables, asegurando el cumplimiento de la legislación ambiental aplicable y otros compromisos suscritos por la organización.

De igual manera, la empresa se compromete a implementar y mantener el ciclo de mejora continua de los sistemas de gestión y de los servicios (Planificar, Hacer, Verificar, Actuar - PHVA), garantizando su eficacia mediante la planificación estratégica, la ejecución controlada de actividades, la supervisión y evaluación de resultados, y la adopción de medidas correctivas y de mejora continua.

El marco regulatorio en el que se desarrollarán las actividades de seguridad

Las responsabilidades relacionadas con la seguridad de la información y según la naturaleza de las actividades de la empresa, se desarrollan bajo el siguiente marco regulatorio:

Marco regulatorio
Reglamento (UE) 2016/679 (Reglamento general de protección de datos).
Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
Ley de Propiedad Intelectual, aprobada por el Real Decreto Legislativo 1/1996, de 12 de abril, y sus modificaciones posteriores.
Ley 24/2015, de 24 de julio, de Patentes.
Ley 17/2001, de 7 de diciembre, de Marcas.
Reglamento (UE) 2024/1689 sobre Inteligencia Artificial.
Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico.
Reglamento (UE) 2024/2847 de Ciberresiliencia (CRA), relativo a los requisitos horizontales de ciberseguridad para productos con elementos digitales.
Artículo 5.2 de la Orden TAS/2307/2007.
Ley del Estatuto de los Trabajadores (artículo 34.9 del Real Decreto Legislativo 2/2015).
Ley Orgánica 3/2018, de 5 de diciembre (entrada en vigor: 7 de diciembre de 2018).
Código de Comercio (artículo 30).
Ley General Tributaria (Ley 58/2003, de 17 de diciembre).
Real Decreto 486/1997, de 14 de abril, por el que se establecen las disposiciones mínimas de seguridad y salud en los lugares de trabajo.
Resolución de 27 de marzo de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas de Información.

Los roles o funciones, definiendo para cada uno, sus deberes y responsabilidades, así como el procedimiento para su designación y renovación

La siguiente estructura garantiza la integración sistemática de la estrategia empresarial con relación a la seguridad de la información:

Fuente: Centro Criptológico Nacional.

Los cargos designados para ocupar los roles de la estructura de seguridad son:

Rol	Cargo que lo ocupa
Director entidad	CEO
Comité de seguridad, protección de datos y crisis	CEO / Responsable de la Información / Responsable del Servicio / Delegado de Protección de Datos
Responsable de la Información	CEO
Responsable del Servicio	Propietarios de grupos de servicios
Responsable de la Seguridad	Director de Operaciones
Responsable del Sistema	Propietario del Grupo de Servicios 2
Responsable de otros sistemas	CEO
Administrador del sistema	Propietario del Grupo de Servicios 3
Delegado de Protección de Datos	Director de Operaciones

La gestión y supervisión de la seguridad de la información está comprendida por los siguientes roles y cargos asignados:

Rol	Ámbito de responsabilidad
Dirección de la Entidad	Máxima responsabilidad en el desarrollo de las competencias de la entidad, incluidas las de seguridad de la información. Definir las estrategias de acción. Dirección de la actividad. Relaciones internas y externas. Aprobar la Política de Seguridad de la Información y la de Protección de Datos. Facilitar los recursos adecuados para alcanzar los objetivos propuestos en materia de seguridad.
Administrador de la seguridad del sistema	Actuar como delegado del Responsable del Sistema o del Responsable de la Seguridad. Mantener la lista actualizada de usuarios autorizados. Configurar el sistema operativo, aplicaciones, estaciones, servidores y electrónica de red del sistema.
Delegado de Protección de Datos	Dar cumplimiento a lo requerido en el artículo 37 del RGPD y ejecutar las tareas establecidas en su artículo 39. Asesorar al Responsable o Encargado del Tratamiento en la realización de análisis de riesgos y evaluaciones de impacto. Opinar en relación con los requisitos de la normativa de protección de datos en el sistema de información cuando se traten datos personales. Considerando el tamaño y recursos de la empresa, podría ser admisible la designación como Delegado de Protección de Datos de la persona que ejerza las funciones de Responsable de Seguridad, siempre que concurran los requisitos de formación y capacitación previstos en el RGPD y se garantice la necesaria independencia y la ausencia de conflicto de intereses.
Responsable de la Información	Determinar los requisitos de seguridad de la información tratada según los parámetros del ENS y los sistemas de gestión de la empresa. Efectuar las valoraciones de categorías de seguridad y, en su caso, sus posteriores modificaciones. Recibir información sobre los incidentes y de las actuaciones realizadas para su resolución. Determinar los criterios para asignar y modificar a cada información el nivel de seguridad requerido.
Responsable del Servicio	Determinar los requisitos de los servicios prestados. Efectuar las valoraciones de categorías de seguridad y, en su caso, sus posteriores modificaciones. Ser informado de los incidentes y de las actuaciones llevadas a cabo para su resolución.
Responsable de la Seguridad	Determinar las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios. Formalizar y aprobar las medidas seleccionadas de la Declaración de Aplicabilidad. Analizar los informes de auditoría de primera, segunda o tercera parte y presentar conclusiones al Responsable del Sistema y al Comité. Determinar la categoría de seguridad del sistema con base en las valoraciones de los Responsables de la Información y del Servicio. Aprobar explícitamente los cambios que impliquen un riesgo de nivel alto con carácter previo a su implantación. Recoger los requisitos de protección de datos fijados por el responsable o encargado del tratamiento con asesoramiento del DPD. Conocer el sistema de IA antes de su implementación para valorar los riesgos de seguridad y realizar las acciones de supervisión necesarias. Actuar como Secretario del Comité de Seguridad.
Responsable de la Seguridad externalizado	Realizar funciones de Punto de Contacto (POC) o delegarlas en una persona con comunicación directa con dicha área. Canalizar y supervisar el cumplimiento de los requisitos de seguridad del servicio que presta o solución suministrada. La responsabilidad última corresponde a la entidad destinataria de los servicios.
Responsable del Sistema (Seguridad de la información)	Desarrollar la forma concreta de implementar la seguridad en el sistema y supervisar su operación diaria. Adoptar las medidas correctoras adecuadas derivadas de los informes de auditoría. En sistemas de categoría alta, y atendiendo a la gravedad de las deficiencias encontradas, podrá suspender temporalmente el tratamiento de informaciones, la prestación de servicios o la total operación del sistema hasta su adecuada subsanación o mitigación.
Responsable de otros sistemas de Gestión	Operar los sistemas de gestión de continuidad del negocio, calidad y medio ambiente.
Responsable de la Seguridad Física	Adoptar las medidas de seguridad que le competan, dentro de las determinadas por el Responsable de la Seguridad de la Información, e informar a éste de su grado de implantación, eficacia e incidentes. Cuando disponga de la titulación o formación adecuada, podrá realizar las funciones de Responsable de Seguridad y Enlace en aquellas organizaciones que además se consideren Infraestructuras Críticas.
Responsable de la Gestión de personal	Implementar las medidas de seguridad que le competan, dentro de las determinadas por el Responsable de la Seguridad de la Información, e informar a éste de su grado de implantación, eficacia e incidentes.

En lo relativo a la designación y renovación de los roles, la Alta Dirección deberá evaluar a los candidatos y decidir sobre su designación o continuidad de forma bianual, considerando criterios de desempeño, adecuación a las necesidades estratégicas de la organización, cambios en el contexto normativo y tecnológico, así como la evolución de los riesgos y oportunidades identificados.

Asimismo, esta evaluación deberá:

Verificar la competencia y capacitación continua de las personas.
Asegurar que los roles asignados mantengan la independencia, imparcialidad y la no existencia de conflictos de interés.
Garantizar la alineación con los requisitos establecidos por normativas aplicables, como el Esquema Nacional de Seguridad (ENS), ISO/IEC 27001, RGPD y otras normas del sistema de gestión y criterios establecidos por la empresa.
Documentar formalmente las decisiones adoptadas, asegurando la trazabilidad y la comunicación efectiva a todas las partes interesadas.

Por su parte, la empresa tratará los datos personales bajo su responsabilidad cumpliendo con los siguientes principios de protección de datos y seguridad de la información

Licitud, lealtad y transparencia

Los datos personales serán tratados de forma lícita, leal y transparente en relación con los interesados.

Legitimación del tratamiento

Solo se gestionarán datos personales cuando el tratamiento esté respaldado por alguna de las bases de legitimación establecidas en los artículos 6 y 9 del RGPD.

Limitación de la finalidad

Los datos personales serán utilizados únicamente para fines específicos, explícitos y legítimos, sin ser tratados de manera incompatible con dichos fines.

Minimización de datos

Se garantizará que los datos personales sean adecuados, pertinentes y limitados a lo estrictamente necesario para los fines del tratamiento.

Exactitud

Los datos personales serán precisos y, cuando sea necesario, actualizados. Se tomarán las medidas razonables para eliminar o corregir, sin demora, cualquier dato inexacto en relación con los fines del tratamiento.

Limitación del plazo de conservación

Los datos serán almacenados solo durante el tiempo necesario para los fines que justificaron su tratamiento, respetando los períodos legales aplicables.

Integridad y confidencialidad

Se protegerán los datos personales contra el acceso no autorizado, el tratamiento ilícito, la pérdida, la destrucción o el daño accidental mediante la aplicación de medidas técnicas y organizativas adecuadas. Además, todo el personal involucrado en el tratamiento estará sujeto al deber de confidencialidad, incluso tras finalizar su relación con la empresa.

Responsabilidad proactiva

La empresa será responsable de garantizar el cumplimiento de estos principios, adoptando medidas técnicas y organizativas que demuestren su compromiso y conformidad con el RGPD.

Atención a los derechos de los interesados

Se implementarán procedimientos para asegurar que los afectados puedan ejercer, cuando corresponda, sus derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad de sus datos personales.

Protección de datos desde el diseño y por defecto

Se integrará la protección de datos y la seguridad de la información desde las primeras fases de cualquier proyecto, garantizando el cumplimiento de los requisitos del RGPD y la protección de los derechos de los interesados.

Registro de actividades

Se mantendrá un registro actualizado de las actividades de tratamiento bajo responsabilidad de la empresa, cumpliendo con los requisitos establecidos en el artículo 30 del RGPD.

Gestión de brechas de seguridad

La empresa adoptará las medidas necesarias para notificar a la Agencia Española de Protección de Datos cualquier violación de seguridad, siguiendo el procedimiento establecido y conforme al artículo 33 del RGPD. Asimismo, en los casos previstos en el artículo 34 del RGPD, se comunicará a los interesados afectados las violaciones de seguridad que puedan comprometer sus datos personales.

La estructura y composición del comité o los comités para la gestión y coordinación de la seguridad, detallando su ámbito de responsabilidad y la relación con otros elementos de la organización

La estructura y composición del Comité de seguridad, protección de datos y crisis, es la siguiente:

Comité	Responsabilidad
Comité de Seguridad, Crisis y protección de datos	Deberá estar formado por todas aquellas personas de la entidad que participen en la responsabilidad, definición o implantación de la seguridad de la información tratada o los servicios prestados, entre ellos, el Titular de la entidad (o persona delegada, que ostentará la presidencia del Comité), los responsables de la Información, los Servicios, la Seguridad y el Sistema, el Delegado de Protección de Datos y representantes de otras áreas de la organización afectadas. Alinear todas las actividades de la organización en materia de seguridad, destacándose los aspectos de seguridad física y patrimonial, seguridad de la información, compliance y planes de contingencia. Ser responsable legal. Especificar las necesidades o requisitos. Al no ser un comité técnico, podrá recabar de personal técnico, propio o externo, la información pertinente para la toma de decisiones o asesoramiento, realizando formación especializada en la materia. También podrá contar con grupos de trabajo especializados, internos, externos o mixtos.

Comité

Responsabilidad

Comité de Seguridad, Crisis y protección de datos

Deberá estar formado por todas aquellas personas de la entidad que participen en la responsabilidad, definición o implantación de la seguridad de la información tratada o los servicios prestados, entre ellos, el Titular de la entidad (o persona delegada, que ostentará la presidencia del Comité), los responsables de la Información, los Servicios, la Seguridad y el Sistema, el Delegado de Protección de Datos y representantes de otras áreas de la organización afectadas.
Alinear todas las actividades de la organización en materia de seguridad, destacándose los aspectos de seguridad física y patrimonial, seguridad de la información, compliance y planes de contingencia.
Ser responsable legal.
Especificar las necesidades o requisitos.
Al no ser un comité técnico, podrá recabar de personal técnico, propio o externo, la información pertinente para la toma de decisiones o asesoramiento, realizando formación especializada en la materia. También podrá contar con grupos de trabajo especializados, internos, externos o mixtos.

Las directrices para la estructuración de la documentación de seguridad del sistema, su gestión y acceso

La estructuración de la documentación de la empresa se organiza en los siguientes niveles:

Igualmente, la empresa dispone de un Sharepoint como gestor documental que se rige por las políticas y procedimientos establecidas en el documento “PE01 – Elaboración, almacenado y control documental” en cuanto a la elaboración, aprobación, conservación, estructura y acceso de los documentos del sistema de los sistemas de gestión de la empresa, el cual asegura, entre otras cuestiones, el registro de marcas de agua en la documentación física y digital para asegurar el uso adecuado de la información que se maneja.

Los riesgos que se derivan del tratamiento de los datos personales

La responsabilidad de monitorizar los riesgos recae en sus propietarios, sin perjuicio de que la función puede ser delegada en el día a día. A efectos del sistema de gestión, los propietarios de los riesgos son:

El Responsable de la Información es el propietario de los riesgos sobre la información.
El Responsable del Servicio es el propietario de los riesgos sobre los servicios.

A continuación, se describen los riesgos más relevantes en relación al tratamiento de datos personales:

Acceso no autorizado: Riesgo de que personas no autorizadas accedan a información sensible.
Divulgación no consentida: Filtración o exposición indebida de información personal.
Incumplimiento normativo: Sanciones legales o reputacionales por no cumplir con regulaciones como el RGPD.
Riesgos de privacidad: Vulneración de derechos y libertades de los titulares de los datos, como el uso indebido o la pérdida de confidencialidad.

Para su control, la empresa llevará a cabo un monitoreo continuo y reevaluaciones periódicas de las medidas implementadas y del estado de la seguridad, atendiendo a los siguientes principios:

Gestión de riesgos

Se realizarán actividades coordinadas para identificar y evaluar los riesgos asociados, con el fin de gestionarlos y reducirlos a niveles aceptables. Esto se logrará mediante la implementación de medidas de seguridad adecuadas. Estas acciones se realizarán anualmente o cuando se produzcan cambios significativos en los sistemas de información o en el tratamiento de datos personales.

Proporcionalidad

Las medidas de protección, detección y recuperación se aplicarán de manera proporcional a los riesgos identificados, considerando la criticidad y el valor de la información, los tratamientos de datos personales y los servicios afectados.

Proceso de verificación

Se establecerá un mecanismo regular para verificar, evaluar y analizar la eficacia de las medidas técnicas y organizativas implantadas, con el objetivo de mantener la seguridad.

Seguridad centrada en las personas

Se adoptarán mecanismos para garantizar que todas las personas con acceso a los activos de información y datos personales comprendan sus responsabilidades, minimizando los riesgos por uso inadecuado.

Seguridad física

Los activos de información se ubicarán en áreas protegidas, dotadas de controles de acceso físico acordes a su nivel de criticidad. Estos activos estarán protegidos frente a riesgos físicos o ambientales mediante medidas adecuadas.

Gestión de comunicaciones y operaciones

Se implementarán procedimientos para garantizar una gestión segura y eficiente de las tecnologías de la información y comunicaciones, asegurando la protección adecuada de la información transmitida en redes según su sensibilidad y criticidad.

Control de acceso

El acceso a los activos de información estará limitado a usuarios, procesos y sistemas autorizados mediante mecanismos de identificación, autenticación y autorización adecuados. Además, se mantendrán registros de acceso para asegurar la trazabilidad y permitir auditorías sobre su uso.

Seguridad en el ciclo de vida de los sistemas de información

La seguridad será un aspecto clave en todas las fases del desarrollo, adquisición y mantenimiento de los sistemas de información, garantizando su protección por defecto.

Gestión de incidentes de seguridad

Se establecerán mecanismos para identificar, registrar, resolver y notificar los incidentes de seguridad según lo previsto en las normativas aplicables.

Protección

Se establecerá un sistema de detección y reacción frente a código dañino.

Continuidad del negocio

Se implantarán medidas para garantizar la disponibilidad de los sistemas de información y la continuidad de los procesos críticos de negocio, alineándose con los niveles de servicio requeridos por los usuarios.

Cumplimiento normativo

Se adoptarán las medidas necesarias para asegurar el cumplimiento de las normativas legales vigentes en materia de seguridad de la información y protección de datos personales y en el marco basado en normas españolas y europeas. Para ello, la empresa dispone de un procedimiento de identificación de la legislación aplicable y de actualización permanente de un registro donde se conservan referencias a dichas normas actualizadas.

Notificación de incidentes

Se implementarán procedimientos para garantizar la notificación de incidentes a las autoridades competentes, conforme a las regulaciones.

Auditorías de seguridad

Se llevará a cabo una auditoría anual para evaluar la eficacia de las medidas técnicas y organizativas, asegurando la protección de los sistemas y tratamientos. Adicionalmente, se realizarán auditorías extraordinarias cuando se introduzcan modificaciones sustanciales en los sistemas que puedan afectar las medidas de seguridad. Estas auditorías serán supervisadas por el responsable de seguridad de la información y el delegado de protección de datos.

Mejora continua

Se registrarán los incidentes de seguridad y no conformidades que se produzcan y las acciones de tratamiento que se sigan. Estos registros se emplearán para la mejora continua de la seguridad del sistema.

Relación con proveedores

Todos los proveedores que manejen o tengan acceso a información de la empresa deben:

Cumplir con las normativas y estándares de seguridad aplicables.
Firmar acuerdos de confidencialidad y contratos que incluyan cláusulas de seguridad.
Participar en evaluaciones periódicas de seguridad realizadas por la empresa.
Notificar de inmediato cualquier incidente de seguridad que pueda afectar a la información de la empresa.

Mecanismo de resolución de controversias

Cualquier incidente, disputa o incumplimiento relativo a la seguridad de la información debe ser comunicado inmediatamente al Responsable de Seguridad.
Todos los conflictos serán documentados en un registro de incidencias, detallando la naturaleza del conflicto, las partes involucradas y la fecha de detección.
El Responsable de Seguridad, con el apoyo del Comité de Seguridad, protección de datos y crisis, evaluará la situación, determinando riesgos asociados y posibles impactos sobre la seguridad de la información.
Se adoptará un enfoque escalonado:
- Nivel 1: Resolución interna directa entre las partes involucradas, mediada por el Responsable de Seguridad.
- Nivel 2: Intervención del Comité de Seguridad, protección de datos y crisis para mediar y proponer soluciones formales.
- Nivel 3: Escalamiento a la dirección de la organización o instancias externas según corresponda, incluyendo medidas legales si fuera necesario.
Tras la resolución, se realizará un seguimiento para asegurar la implementación de las medidas correctivas y preventivas, evitando recurrencias.
El mecanismo será revisado anualmente o cuando existan cambios significativos en la organización, normativa o incidentes de seguridad relevantes.

Excepciones y consecuencias

Excepciones

Cualquier excepción a esta política debe ser aprobada por escrito por el Comité de Seguridad de la Información de la empresa. Las solicitudes de excepción deben incluir una justificación detallada, así como las medidas compensatorias que se implementarán.

Consecuencias

El incumplimiento de esta política podrá derivar en:

Acciones disciplinarias internas.
Acciones legales en caso de negligencia grave o incumplimiento intencional.
Revisión de relaciones contractuales con terceros.

Aprobación de la política

La alta dirección de la empresa respalda esta política integrada y se compromete a proporcionar los recursos necesarios para implementar y mantener eficazmente todas las medidas necesarias para cumplir con los requisitos legales asociados, los de las partes interesadas y los normativos de los sistemas de gestión.

Esta política será revisada anualmente para asegurar que sigue siendo relevante y efectiva para alcanzar los objetivos esperados.