Skip to content Skip to footer
Close

POLÍTICA DE SEGURIDAD Y LOS SISTEMAS DE GESTIÓN

A través de la presente Política de Seguridad y los sistemas de gestión, Hard2bit S.L. establece el marco general para garantizar la protección de sus activos, la calidad en sus procesos, la continuidad operativa, y la sostenibilidad ambiental, en cumplimiento con los requisitos del Esquema Nacional de Seguridad (ENS) y los estándares de las normas ISO/IEC 27001, ISO/IEC 20000-1, ISO 9001, ISO 22301 e ISO 14001. Esta política promueve una cultura integral de seguridad, calidad, resiliencia y responsabilidad ambiental, asegurando la asignación de roles claros y fomentando la mejora continua en todos los ámbitos de la organización.

Alcance 

Esta política aplica a: 

  • Toda la información gestionada por la empresa, independientemente de su formato (digital, físico, oral). 
  • Todos los empleados, contratistas, proveedores y terceros que tengan acceso a los sistemas, redes, datos y/o instalaciones de la empresa. 
  • Los procesos, sistemas y aplicaciones que interactúan con los servicios, así como, procesos de TI de la empresa. 

Los objetivos o misión de la organización:

La empresa que tiene como misión: 

Fomentar un entorno donde cada empleado se sienta valorado, inspirado y empoderado para alcanzar su máximo potencial, contribuyendo al éxito y crecimiento sostenido de Hard2bit. Proporcionar servicios, soluciones tecnológicas y de gestión que ayuden y capaciten a nuestros clientes para prevenir y resolver de manera proactiva desafíos en materia de seguridad de la información y otros ámbitos del gobierno de TI. 

Sus principales objetivos son: 

  • Seguridad de la Información: 

Proteger la Disponibilidad, Integridad, Confidencialidad, Autenticidad y Trazabilidad (DICAT) de la información crítica de la empresa y de sus partes interesadas, asegurando que los sistemas, servicios y datos estén protegidos frente a incidentes y vulnerabilidades, promoviendo un entorno seguro y confiable. 

  • Gestión de Servicios de TI: 

Planificar, implementar, entregar, soportar y mejorar continuamente los servicios de TI y el sistema de gestión asociado, cumpliendo con las políticas relevantes, normas, estándares, requisitos legales, reglamentarios y contractuales, con el propósito de satisfacer y superar las expectativas de los clientes. 

  • Calidad: 
  • Cumplir lo que prometemos, 
  • Haciéndolo bien a la primera vez, 
  • En los tiempos establecidos, 
  • Mejorando continuamente y 
  • Creando una experiencia memorable para nuestros clientes. 

En caso de que el cliente identifique alguna petición, queja o reclamación, puede presentarla a través de los siguientes canales: 

  • Teléfono: +34 910139827. 

Si el cliente considera que su solicitud no ha sido tratada adecuadamente, podrá escalarla a la Alta Dirección escribiendo al correo adrian.gonzalez@hard2bit.com. 

  • Continuidad del Negocio: 

Establecer y mantener planes efectivos que aseguren la capacidad de la empresa para operar durante y después de incidentes disruptivos, minimizando el impacto en las operaciones y garantizando la confianza de las partes interesadas. 

  • Gestión Ambiental: 

Reducir el impacto ambiental de las actividades mediante la implementación de prácticas sostenibles y responsables, asegurando el cumplimiento de la legislación ambiental aplicable y otros compromisos suscritos por la organización. 

De igual manera, la empresa se compromete a implementar y mantener el ciclo de mejora continua (Planificar, Hacer, Verificar, Actuar – PHVA), garantizando su eficacia mediante la planificación estratégica, la ejecución controlada de actividades, la supervisión y evaluación de resultados, y la adopción de medidas correctivas y de mejora continua. 

El marco regulatorio en el que se desarrollarán las actividades: 

Las responsabilidades legales relacionadas con la seguridad de la información y según la naturaleza de las actividades de la empresa, son las definidas en el documento “PE08 – Seguridad de las Operaciones”. 

Los roles o funciones, definiendo para cada uno, sus deberes y responsabilidades, así como el procedimiento para su designación y renovación. 

La empresa llevará a cabo un monitoreo continuo y reevaluaciones periódicas de las medidas implementadas y del estado de la seguridad, atendiendo a los siguientes principios: 

  • Gestión de riesgos: Se realizarán actividades coordinadas para identificar y evaluar los riesgos asociados, con el fin de gestionarlos y reducirlos a niveles aceptables. Esto se logrará mediante la implementación de medidas de seguridad adecuadas. Estas acciones se realizarán anualmente o cuando se produzcan cambios significativos en los sistemas de información o en el tratamiento de datos personales. 
  • Proporcionalidad: Las medidas de protección, detección y recuperación se aplicarán de manera proporcional a los riesgos identificados, considerando la criticidad y el valor de la información, los tratamientos de datos personales y los servicios afectados. 
  • Proceso de verificación: Se establecerá un mecanismo regular para verificar, evaluar y analizar la eficacia de las medidas técnicas y organizativas implantadas, con el objetivo de mantener la seguridad. 
  • Seguridad centrada en las personas: Se adoptarán mecanismos para garantizar que todas las personas con acceso a los activos de información y datos personales comprendan sus responsabilidades, minimizando los riesgos por uso inadecuado. 
  • Seguridad física: Los activos de información se ubicarán en áreas protegidas, dotadas de controles de acceso físico acordes a su nivel de criticidad. Estos activos estarán protegidos frente a riesgos físicos o ambientales mediante medidas adecuadas. 
  • Gestión de comunicaciones y operaciones: Se implementarán procedimientos para garantizar una gestión segura y eficiente de las tecnologías de la información y comunicaciones, asegurando la protección adecuada de la información transmitida en redes según su sensibilidad y criticidad. 
  • Control de acceso: El acceso a los activos de información estará limitado a usuarios, procesos y sistemas autorizados mediante mecanismos de identificación, autenticación y autorización adecuados. Además, se mantendrán registros de acceso para asegurar la trazabilidad y permitir auditorías sobre su uso. 
  • Seguridad en el ciclo de vida de los sistemas de información: La seguridad será un aspecto clave en todas las fases del desarrollo, adquisición y mantenimiento de los sistemas de información, garantizando su protección por defecto. 
  • Gestión de incidentes de seguridad: Se establecerán mecanismos para identificar, registrar, resolver y notificar los incidentes de seguridad según lo previsto en las normativas aplicables. 
  • Protección: Se establecerá un sistema de detección y reacción frente a código dañino. 
  • Continuidad del negocio: Se implantarán medidas para garantizar la disponibilidad de los sistemas de información y la continuidad de los procesos críticos de negocio, alineándose con los niveles de servicio requeridos por los usuarios. 
  • Cumplimiento normativo: Se adoptarán las medidas necesarias para asegurar el cumplimiento de las normativas legales vigentes en materia de seguridad de la información y protección de datos personales. 
  • Notificación de incidentes: Se implementarán procedimientos para garantizar la notificación de incidentes a las autoridades competentes, conforme a las regulaciones. 
  • Auditorías de seguridad: Se llevará a cabo una auditoría anual para evaluar la eficacia de las medidas técnicas y organizativas, asegurando la protección de los sistemas y tratamientos. Adicionalmente, se realizarán auditorías extraordinarias cuando se introduzcan modificaciones sustanciales en los sistemas que puedan afectar las medidas de seguridad. Estas auditorías serán supervisadas por el responsable de seguridad de la información y el delegado de protección de datos. 
  • Mejora continua: Se registrarán los incidentes de seguridad y no conformidades que se produzcan y las acciones de tratamiento que se sigan. Estos registros se emplearán para la mejora continua de la seguridad del sistema. 

La empresa tratará los datos personales bajo su responsabilidad cumpliendo con los siguientes principios de protección de datos y seguridad de la información: 

  • Licitud, lealtad y transparencia: Los datos personales serán tratados de forma lícita, leal y transparente en relación con los interesados. 
  • Legitimación del tratamiento: Solo se gestionarán datos personales cuando el tratamiento esté respaldado por alguna de las bases de legitimación establecidas en los artículos 6 y 9 del RGPD. 
  • Limitación de la finalidad: Los datos personales serán utilizados únicamente para fines específicos, explícitos y legítimos, sin ser tratados de manera incompatible con dichos fines. 
  • Minimización de datos: Se garantizará que los datos personales sean adecuados, pertinentes y limitados a lo estrictamente necesario para los fines del tratamiento. 
  • Exactitud: Los datos personales serán precisos y, cuando sea necesario, actualizados. Se tomarán las medidas razonables para eliminar o corregir, sin demora, cualquier dato inexacto en relación con los fines del tratamiento. 
  • Limitación del plazo de conservación: Los datos serán almacenados solo durante el tiempo necesario para los fines que justificaron su tratamiento, respetando los períodos legales aplicables. 
  • Integridad y confidencialidad: Se protegerán los datos personales contra el acceso no autorizado, el tratamiento ilícito, la pérdida, la destrucción o el daño accidental mediante la aplicación de medidas técnicas y organizativas adecuadas. Además, todo el personal involucrado en el tratamiento estará sujeto al deber de confidencialidad, incluso tras finalizar su relación con la empresa. 
  • Responsabilidad proactiva: La empresa será responsable de garantizar el cumplimiento de estos principios, adoptando medidas técnicas y organizativas que demuestren su compromiso y conformidad con el RGPD. 
  • Atención a los derechos de los interesados: Se implementarán procedimientos para asegurar que los afectados puedan ejercer, cuando corresponda, sus derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad de sus datos personales. 
  • Protección de datos desde el diseño y por defecto: Se integrará la protección de datos y la seguridad de la información desde las primeras fases de cualquier proyecto, garantizando el cumplimiento de los requisitos del RGPD y la protección de los derechos de los interesados. 
  • Registro de actividades: Se mantendrá un registro actualizado de las actividades de tratamiento bajo responsabilidad de la empresa, cumpliendo con los requisitos establecidos en el artículo 30 del RGPD. 
  • Gestión de brechas de seguridad: La empresa adoptará las medidas necesarias para notificar a la Agencia Española de Protección de Datos cualquier violación de seguridad, siguiendo el procedimiento establecido y conforme al artículo 33 del RGPD. Asimismo, en los casos previstos en el artículo 34 del RGPD, se comunicará a los interesados afectados las violaciones de seguridad que puedan comprometer sus datos personales. 

La estructura y composición del comité o los comités para la gestión y coordinación de la seguridad, detallando su ámbito de responsabilidad y la relación con otros elementos de la organización. 

La estructura organizativa de supervisión para la gestión de la seguridad de la información, está compuesta por los siguientes roles: 

Rol del ENS Cargo que lo ocupa
Comité de Seguridad y de Crisis CEO + Director de Operaciones
Responsable de la Información CEO
Responsable del Servicio Propietarios de grupos de servicios
Responsable de la Seguridad Director de Operaciones
Responsable del Sistema Propietario del Grupo de Servicios 2
Administrador del Sistema Propietario del Grupo de Servicios 1
Delegado de Protección de Datos Director de Operaciones

La relación entre estos roles y con otros, se expresan jerárquicamente de la siguiente manera: 

 Incompatibilidades: Se garantizará la diferenciación entre el responsable de la información, el responsable del servicio, el responsable de la seguridad y el responsable del sistema (Art. 11 Real Decreto). 

Las principales responsabilidades asociadas a dichos roles son:  

Rol Ámbito de responsabilidad
Comité de Seguridad y de Crisis Gestionar y coordinar todas las actividades relativas a la presente política.
Responsable de la Información Determinar los requisitos (de seguridad) de la información tratada, según los parámetros del Anexo I del ENS y a los sistemas de gestión de la empresa.
Responsable del Servicio Determina los requisitos (de seguridad) de los servicios prestados, según los parámetros del Anexo I del ENS y sistemas de gestión. Establecer, dentro de su ámbito, los requisitos del servicio y los niveles de seguridad del mismo con la colaboración del responsable de seguridad de la información.
Responsable de la Seguridad Mantener la seguridad de la información manejada y de los servicios prestados por los sistemas de información en su ámbito de responsabilidad, de acuerdo a lo establecido en la Política de Seguridad de la Información de la organización. Promover la formación y concienciación en materia de seguridad de la información dentro de su ámbito de responsabilidad.
Responsable del Sistema Se encarga de la operación del sistema de información, atendiendo a las medidas de seguridad determinadas por el Responsable de la Seguridad.
Responsable de la Seguridad Física Adoptar las medidas de seguridad que le competan, dentro de las determinadas por el Responsable de la Seguridad de la Información, e informará a éste de su grado de implantación, eficacia e incidentes.
Responsable de la Gestión del Personal Adoptar las medidas de seguridad que le competan, dentro de las determinadas por el Responsable de la Seguridad de la Información, e informarán a éste de su grado de implantación, eficacia e incidentes.
Responsable del Tratamiento de los Datos Determinar los fines y medios del tratamiento de los datos personales.
Encargado del Tratamiento de Datos Tratar datos personales por cuenta del Responsable del Tratamiento.
Delegado de Protección de Datos Dar cumplimiento a lo requerido en el artículo 37 del RGPD, que llevará a cabo las tareas establecidas en el artículo 39 del citado RGPD, así como las que se deriven de la normativa española de protección de datos de carácter personal y de los documentos de buenas prácticas que se adopten por la empresa.
Auditor Proporcionar retroalimentación sobre la efectividad del sistema de gestión de seguridad.
Todos los colaboradores Conocer y cumplir lo previsto en la presente Política, así como, en las normas y procedimientos que se desarrollen.

En caso de conflicto entre los diferentes responsables que componen la estructura antes descrita, corresponderá, en última instancia, a la Dirección, asistida por el Comité de Seguridad y, cuando proceda, por el Delegado de Protección de Datos, para la resolución de conflictos en calidad de máximo responsable de la empresa. 

El detalle de las responsabilidades asociadas a cada rol, así como, el procedimiento para su designación y renovación, se encuentran descritos en el documento “ANEXO II Liderazgo” para su consulta. Dicho documento estructura las responsabilidades en los siguientes grupos de actividades: 

Ámbito Aspectos desarrollados en el presente documento
Seguridad de la información - Gestión y supervisión de la seguridad.
- Seguimiento a las tareas críticas de la seguridad.
- Operación de la seguridad.
- Implementación y mejora del ENS.
- Respuesta ante incidentes de seguridad.
- Reportes y flujo de la información.
- Gestión de riesgos.
Servicios - Prestación de los servicios.

Las directrices para la estructuración de la documentación de seguridad del sistema, su gestión y acceso 

La estructuración de la documentación de la empresa se organiza en los siguientes niveles: 

Igualmente, la empresa dispone de un Sharepoint como gestor documental que se rige por las políticas y procedimientos establecidas en el documento “PE01 – Elaboración, almacenado y control documental” en cuanto a la elaboración, aprobación, conservación, estructura y acceso de los documentos del sistema de los sistemas de gestión de la empresa, el cual asegura, entre otras cuestiones, el registro de marcas de agua en la documentación física y digital para asegurar el uso adecuado de la información que se maneja.

Los riesgos que se derivan del tratamiento de los datos personales 

La responsabilidad de monitorizar los riesgos recae en sus propietarios, sin perjuicio de que la función puede ser delegada en el día a día. A efectos del sistema de gestión, los propietarios de los riesgos son: 

  • El Responsable de la Información es el propietario de los riesgos sobre la información.  
  • El Responsable del Servicio es el propietario de los riesgos sobre los servicios.  

A continuación, se describen los riesgos más relevantes en relación al tratamiento de datos personales: 

  • Acceso no autorizado: Riesgo de que personas no autorizadas accedan a información sensible. 
  • Divulgación no consentida: Filtración o exposición indebida de información personal. 
  • Incumplimiento normativo: Sanciones legales o reputacionales por no cumplir con regulaciones como el RGPD. 
  • Riesgos de privacidad: Vulneración de derechos y libertades de los titulares de los datos, como el uso indebido o la pérdida de confidencialidad. 

Relación con proveedores

 Todos los proveedores que manejen o tengan acceso a información sensible de la empresa deben: 

  • Cumplir con las normativas y estándares de seguridad aplicables. 
  • Firmar acuerdos de confidencialidad y contratos que incluyan cláusulas de seguridad. 
  • Participar en evaluaciones periódicas de seguridad realizadas por la empresa. 
  • Notificar de inmediato cualquier incidente de seguridad que pueda afectar a la información de la empresa. 

Excepciones y consecuencias 

Excepciones 

Cualquier excepción a esta política debe ser aprobada por escrito por el Comité de Seguridad de la Información de la empresa. Las solicitudes de excepción deben incluir una justificación detallada, así como las medidas compensatorias que se implementarán. 

Consecuencias 

El incumplimiento de esta política podrá derivar en: 

  • Acciones disciplinarias internas. 
  • Acciones legales en caso de negligencia grave o incumplimiento intencional. 
  • Revisión de relaciones contractuales con terceros. 

Aprobación de la política 

La alta dirección de la empresa respalda esta política integrada y se compromete a proporcionar los recursos necesarios para implementar y mantener eficazmente todas las medidas necesarias para cumplir con los requisitos legales asociados, los de las partes interesadas y los normativos de los sistemas de gestión.  

Esta política será revisada anualmente para asegurar que sigue siendo relevante y efectiva para alcanzar los objetivos esperados. 

CUMPLIMIENTO Y REVISIÓN 

El presente documento será revisado anualmente o cuando haya cambios importantes que impacten su naturaleza, para así garantizar su relevancia y eficacia continua. Su incumplimiento puede resultar en medidas disciplinarias.