Política de seguretat

Política de seguretat

Declaració de principis

Deister Consulting SA, Deister Tech Services SLU, Deister SA, Deister S.A. Sucursal Perú, Deister programari PERÚ SAC i Deister Cloud SL (d’ara endavant DEISTER) és un grup d’empreses l’activitat principal de les quals és el disseny i desenvolupament de solucions ERP en la seva modalitat On Premise i SaaS. Per a això, assumeix valors que considera essencials per a la consecució dels seus objectius com és la preservació de la Informació i les dades personals, tant propis com de la resta de parts interessades i el desenvolupament professional i personal de tots els components del seu equip de treball.
A causa de la nostra activitat, en DEISTER som conscients que la informació és un actiu amb un elevat valor per a la nostra organització i requereix, per tant, una protecció i gestió adequades amb la finalitat de donar continuïtat a la nostra línia de negoci i minimitzar els possibles danys ocasionats per fallades a la integritat, disponibilitat i confidencialitat de la informació. Així mateix , tant la legislació vigent relativa a la protecció de dades personals (RGPD i LOPDGDD), com el compromís de DEISTER amb els nostres clients ens fa especialment sensibles al tractament de les dades personals als quals tenim accés en l’exercici de la nostra activitat.
Per a això, DEISTERestableix un conjunt d’activitats de gestió que tenen com a objectiu preservar els principis de Confidencialitat, Integritat, Disponibilitat, Autenticitat, Traçabilitat, així com Conformitat Reguladora de la informació. Al seu torn, aquests principis es defineixen de la manera següent:

⦿ Confidencialitat: és la propietat que permet garantir que l’accés a la informació solament pot ser exercit per les persones autoritzades per a això.

⦿ Integritat: és la propietat de salvaguardar l’exactitud i completitud dels actius d’informació.

⦿ Disponibilitat: és la qualitat que garanteix que les persones autoritzades poden accedir a la informació i processar-la en qualsevol moment en què sigui necessari.

⦿ Autenticitat: és la propietat o característica consistent en què una entitat és qui diu ser o bé que garanteix la font de la qual procedeixen les dades.

⦿ Traçabilitat: és la propietat o característica consistent en què les actuacions d’una entitat poden ser imputades exclusivament a aquesta entitat.

⦿ Conformitat Reguladora: és la propietat que assegura que la informació és gestionada d’acord amb els principis ètics, professionals i legals establerts per les regulacions que són aplicables en cada context.

Els sistemes han d’estar protegits contra amenaces de ràpida evolució amb potencial per a incidir en la informació i els serveis. Per a defensar-se d’aquestes amenaces, es requereix una estratègia que s’adapti als canvis en les condicions de l’entorn per a garantir la prestació contínua dels serveis.
Això implica que els diferents departaments han d’aplicar les mesures mínimes de seguretat exigides per l’Esquema Nacional de Seguretat i l’ISO 27001:2022 Sistemes de Seguretat de la Informació, així com realitzar un seguiment continu dels nivells de prestació de serveis, seguir i analitzar les vulnerabilitats reportades, i preparar una resposta efectiva als incidents per a garantir la continuïtat dels serveis prestats.
Els diferents departaments i societats de l’organització han de cerciorar-se que la seguretat és una part integral de cada etapa del cicle de vida del sistema, des de la seva concepció fins a la seva retirada de servei, passant per les decisions de desenvolupament o adquisició i les activitats d’explotació. Els requisits de seguretat i les necessitats de finançament han de ser identificats i inclosos en la planificació, en la sol·licitud d’ofertes, i en plecs de licitació per a projectes de TIC.
Els departaments han d’estar preparats per a prevenir, detectar, reaccionar i recuperar-se d’incidents, d’acord amb l’Article 8 del ENS i als requisits de l’ISO 27001:2022 Sistemes de Seguretat de la Informació
Dins de l’empara de l’anterior, es troba embeguda la protecció de la privacitat. Els nostres sistemes tracten dades personals sensible i per això, la protecció de la privacitat s’erigeix com un pilar essencial en el marc de SGSI i es constitueix com una necessitat social que les empreses han de respectar i protegir, així com objecte de legislació i/o regulació específica a tot el món
Objectius generals
La Política de Seguretat proporciona les bases per a definir i delimitar els objectius i responsabilitats per a les diverses actuacions tècniques, legals i organitzatives que es requereixin per a garantir la seguretat de la informació i la privacitat, complint el marc legal d’aplicació i les polítiques globals i específiques de signatura, així com els procediments definits.
Aquestes actuacions des del punt de vista de la seguretat i privacitat són seleccionades i implantades basant-se en l’anàlisi de riscos i l’equilibri entre risc acceptable i cost de les mesures.
L’objectiu de la Política de Seguretat és fixar el marc d’actuació necessari per a protegir els recursos d’informació i dades enfront d’amenaces, internes o externes, deliberades o accidentals.
La informació i dades poden existir en una varietat de formats, amb suports tant electrònics com el paper o altres mitjans, i inclou a vegades dades crítiques sobre les operacions, estratègies o activitats de DEISTER i dels seus clients i fins i tot, si és el cas, dades de caràcter sensible que estableix la normativa de protecció de dades de caràcter personal. La pèrdua, corrupció, o sostracció d’informació o dels sistemes que la gestionen té un impacte elevat en la nostra Signatura.
DEISTER està convençuda que una gestió eficaç de la Seguretat de la Informació i de la Privacitat és un element habilitador perquè l’organització comprengui completament i actuï de mode adequat als riscos als quals la informació és exposada, així com per a poder respondre i adaptar-se de manera eficient als creixents requeriments d’organismes reguladors, lleis, i per descomptat els seus clients.
Compromís de l’alta direcció
El propòsit del Sistema de Gestió de Seguretat de la Informació és garantir que els riscos de la seguretat de la informació i privacitat siguin coneguts, assumits, gestionats i minimitzats d’una forma documentada, sistemàtica, estructurada, repetible, assumible i adaptada als canvis que es produeixin en els riscos, l’entorn i les tecnologies.
Per a això, la direcció declara el compromís de DEISTER per a:

⦿ Establir com a objectiu primordial els serveis de la Plataforma Axional, amb absolut respecte als estàndards de qualitat, preservant la informació, amb especial atenció a la sensibilitat de les dades personals tractats, amb totes les mesures necessàries al seu abast.

⦿ Aplicar el principi de millora contínua a tots els processos de l’organització, amb l’objectiu addicional d’aconseguir el major grau de satisfacció dels clients.

⦿ Assegurar el compliment dels requisits legals i reglamentaris que siguin aplicable (en particular la relativa a la protecció de les dades personals), així com els que l’organització hagi assumit de manera voluntària en el desenvolupament de la Responsabilitat Social Corporativa i en el Codi de Conducta.

⦿ Potenciar la participació, la comunicació, la informació i la formació de l’equip professional amb l’objectiu que se senti partícip del treball de l’organització en el seu conjunt.

⦿ Promoure el compromís de responsabilitat entre els components de l’equip d’acord amb els requisits de qualitat, així com els relatius a la privacitat i seguretat de la informació acordats tant internament com amb els clients, mitjançant accions de formació i conscienciació adequades i regulars.

⦿ Assegurar la continuïtat del negoci desenvolupant plans de continuïtat conformes a metodologies reconegudes.

⦿ Realitzar i revisar periòdicament una anàlisi de riscos basats en mètodes reconeguts que ens permetin establir el nivell tant de privacitat de les dades personals com de seguretat de la informació a nivell general i dels projectes i serveis en marxa i minimitzar els riscos mitjançant el desenvolupament de polítiques específiques, solucions tècniques i acords contractuals amb organitzacions especialitzades.

⦿ Compromís d’informació a parts interessades.

⦿ Selecció de proveïdors i subcontractistes sobre la base de criteris relacionats amb la privacitat i seguretat de la informació.

⦿ Establir les conseqüències de les violacions de la política de seguretat, les quals seran reflectides en els contractes signats amb les parts interessades, proveïdors i subcontractistes.

⦿ Promoure una cultura de millora contínua en la gestió de la seguretat de la informació i implementar millores basades en l’anàlisi d’incidents, auditories i revisions periòdiques.

⦿ Assegurar que l’accés i ús dels sistemes d’informació es realitzi de manera segura i conforme a les polítiques i procediments establerts.

⦿ Gestionar adequadament el cicle de vida de la informació, de manera que es puguin evitar usos incorrectes durant qualsevol de les fases.

⦿ Assegurar la protecció dels drets de propietat intel·lectual.

⦿ Establir periòdicament un conjunt d’objectius i indicadors, que permetin a la direcció dur a terme un adequat seguiment dels nivells de servei oferts i les activitats de gestió.

⦿ Principi de “licitud, transparència i lleialtat”. Les dades han de ser tractats de manera lícita, lleial i transparent per a l’interessat.

⦿ Principi de “finalitat”. Les dades han de ser tractats amb una o diverses finalitats determinades, explícites i legítimes i, d’altra banda, es prohibeix que les dades recollides amb uns fins determinats, explícits i legítims siguin tractats posteriorment d’una manera incompatible amb aquests fins.

⦿ Principi de “minimització de dades”. Aplicar mesures tècniques i organitzatives per a garantir que siguin objecte de tractament les dades que únicament siguin precisos per a cadascun dels fins específics del tractament reduint, l’extensió del tractament, limitant al necessari el termini de conservació i la seva accessibilitat.

⦿ Principi de “exactitud”. Disposar de mesures raonables perquè les dades es trobin actualitzats, se suprimeixin o modifiquin sense dilació quan siguin inexactes respecte als fins per als quals es tracten.

⦿ Principi de “limitació del termini de conservació”. La conservació de les dades ha de limitar-se en el temps a l’assoliment dels fins que persegueix el tractament.

⦿ Principi de “seguretat” Realitzar una anàlisi de riscos orientat a determinar les mesures tècniques i organitzatives necessàries per a garantir la integritat, la disponibilitat i la confidencialitat de les dades personals que tractin.

⦿ Principi de “responsabilitat activa” o “responsabilitat demostrada”. Mantenir diligència deguda de manera permanent per a protegir i garantir els drets i llibertats de les persones físiques les dades de les quals són tractats sobre la base d’una anàlisi dels riscos que el tractament representa per a aquests drets i llibertats, de manera que puguem garantir i demostrar que el tractament s’ajusta a les previsions del RGPD i la LOPDGD.

⦿ Dirigir, secundar i supervisar el sistema de gestió de la seguretat de la informació, segons el que s’estableix en l’RD 311.2022 i posteriors modificacions, així com en l’ISO 27001, i buscar s’aconsegueixin els objectius d’aquest.

La direcció de DEISTER es compromet a secundar i promoure els principis establerts en aquesta Política, per al que demana al personal de DEISTER que assumeixi i s’atingui a les previsions del sistema de gestió documentat per al ENS.
Desenvolupament de la política de seguretat
Aquesta Política de Seguretat complementa les polítiques de seguretat de DEISTER en diferents matèries i es desenvoluparà per mitjà de normativa de seguretat que afronti aspectes específics. La normativa de seguretat estarà a la disposició de tots els membres de l’organització que necessitin conèixer-la, en particular per a aquells que utilitzin, operin o administrin els sistemes d’informació i comunicacions.
La documentació relativa a la Seguretat de la Informació estarà classificada en tres nivells, de manera que cada document d’un nivell es fonamenta en els de nivell superior:

⦿ Primer nivell: Política de seguretat.

⦿Segon nivell: Normatives i procediments de seguretat.

⦿ Tercer nivell: Informes, registres i evidències electròniques.
Política
– Prevenció
Els departaments han d’evitar, o almenys prevenir en la mesura que sigui possible, que la informació o els serveis es vegin perjudicats per incidents de seguretat. Per a això els departaments han d’implementar les mesures mínimes de seguretat determinades pel ENS, així com qualsevol control addicional identificat a través d’una avaluació d’amenaces i riscos. Aquests controls, i els rols i responsabilitats de seguretat de tot el personal, han d’estar clarament definits i documentats.
Per a garantir el compliment de la política, els departaments deuen:

⦿ Autoritzar els sistemes abans d’entrar en operació.

⦿Avaluar regularment la seguretat, incloent-hi avaluacions dels canvis de configuració realitzats de manera rutinària.

⦿ Sol·licitar la revisió periòdica per part de tercers amb la finalitat d’obtenir una avaluació independent.
– Detecció
Atès que els serveis es poden degradar ràpidament a causa d’incidents, que van des d’una simple desacceleració fins a la seva detenció, els serveis han de monitorar l’operació de manera contínua per a detectar anomalies en els nivells de prestació dels serveis i actuar en conseqüència segons el que s’estableix en l’Article 9 del ENS.
El monitoratge és especialment rellevant quan s’estableixen línies de defensa d’acord amb l’Article 8 del ENS. S’establiran mecanismes de detecció, anàlisi i reporti que arribin als responsables regularment i quan es produeix una desviació significativa dels paràmetres que s’hagin preestablert com a normals.
– Resposta
Els departaments deuen:

⦿ Establir mecanismes per a respondre eficaçment als incidents de seguretat.

⦿ Designar punt de contacte per a les comunicacions respecte a incidents detectats en altres departaments o en altres organismes.

⦿ Establir protocols per a l’intercanvi d’informació relacionada amb l’incident. Això inclou comunicacions, en tots dos sentits, amb els Equips de Resposta a Emergències (*CERT).
– Recuperació
Per a garantir la disponibilitat dels serveis crítics, els departaments han de desenvolupar plans de continuïtat dels sistemes com a part del seu pla general de continuïtat de negoci i activitats de recuperació.
Organització de la seguretat
Aquesta política s’aplica a tots els sistemes de DEISTERi a tots els membres de l’organització, sense excepcions.
DEISTER es compromet a prestar els seus serveis de forma gestionada i complint amb els requisits establerts en el seu Sistema Integrat de Gestió de manera que es garanteixi un servei ininterromput conforme als requisits de disponibilitat, seguretat i qualitat cap als clients.
A causa de la nostra activitat, en DEISTERsabem que la informació és un actiu amb un elevat valor per a la nostra organització i sobretot la dels nostres clients i requereix, per tant, una protecció i gestió adequades amb la finalitat de donar continuïtat a la nostra línia de negoci i minimitzar els possibles danys ocasionats per fallades en la Seguretat de la Informació.
Per a això, l’organització:

⦿ Protegirà adequadament la confidencialitat, disponibilitat, integritat, autenticitat i traçabilitat dels seus actius d’informació mitjançant la introducció d’una sèrie de controls per a gestionar els riscos de seguretat rellevants.

⦿ Prioritzarà la protecció i salvaguarda dels seus clients i les dades dels clients com una prioritat de negoci.

⦿ Establirà, implementarà, monitorarà, mantindrà i millorarà contínuament la seva gestió de seguretat de la informació com a part del seu enfocament més ampli de gestió empresarial, i mantindrà la Certificació Acreditada als estàndards adequats.

⦿ Gestionarà qualsevol violació de la seguretat de la informació de manera oportuna i responsable, i invertirà en estratègies adequades de detecció, resposta i remediació.

⦿ A intervals planificats, provarà els seus controls de seguretat de la informació i les seves respostes a escenaris que puguin causar una amenaça a les seves operacions.

⦿ Proporcionarà els recursos adequats a l’organització per a establir, mantenir i millorar l’entorn de seguretat segons sigui apropiat per al canviant panorama de riscos.

⦿ Invertirà en les competències del personal per a dur a terme les seves tasques i proporcionarà al personal la capacitació i la consciència adequades rellevants per a la seva funció i la informació a la qual tenen accés.

⦿ Garantirà que els nostres proveïdors i organitzacions associades facin el mateix, i que estableixin i facin complir els estàndards de seguretat a aquells als qui transmetem qualsevol informació.
– Comitè de Seguretat
Els integrants del Comitè de Seguretat seran designats en una acta fundacional, on s’indicarà la persona designada i el càrrec que haurà d’ostentar.
El Secretari del Comitè de Seguretat serà el RESPONSABLE DE SEGURETAT i tindrà com a funcions :

⦿ Convoca les reunions del Comitè de Seguretat.

⦿ Prepara els temes a tractar en les reunions del Comitè, aportant informació puntual per a la presa de decisions.

⦿ Elabora l’acta de les reunions.

⦿ El Comitè de Seguretat reportarà al Director General.

⦿ Elabora l’acta de les reunions.



El Comitè de Seguretat tindrà les següents funcions:

⦿ Atendre les inquietuds de l’Alta Direcció i dels diferents departaments.

⦿ Informar regularment de l’estat de la seguretat de la informació a l’Alta Direcció.

⦿ Promoure la millora contínua del sistema de gestió de la seguretat de la informació.

⦿ Elaborar l’estratègia d’evolució de l’Organització pel que fa a seguretat de la informació.

⦿ Coordinar els esforços de les diferents àrees en matèria de seguretat de la informació, per a assegurar que els esforços són consistents, alineats amb l’estratègia decidida en la matèria, i evitar duplicitats.

⦿ Elaborar (i revisar regularment) la Política de Seguretat perquè sigui aprovada per la Direcció.

⦿ Aprovar la normativa de seguretat de la informació.

⦿ Coordinar totes les funcions de seguretat de l’organització.

⦿ Vetllar pel compliment de la normativa legal i sectorial d’aplicació.

⦿ Vetllar per l’alineament de les activitats de seguretat als objectius de l’organització..

⦿ Coordinar els Plans de Continuïtat de les diferents àrees, per a assegurar una actuació sense fissures en cas que hagin de ser activats.

⦿ Coordinar i aprovar, si és el cas, les propostes de projectes rebudes dels diferents àmbits de seguretat, encarregant-se gestionar un control i presentació regular del progrés dels projectes i anunci de les possibles desviacions.

⦿ Rebre les inquietuds en matèria de seguretat de la Direcció de l’entitat i transmetre-les als responsables departamentals pertinents, recaptant d’ells les corresponents respostes i solucions que, una vegada coordinades, hauran de ser comunicades a la Direcció.

⦿ Recaptar dels responsables de seguretat departamentals informes regulars de l’estat de la seguretat de l’organització i dels possibles incidents. Aquests informes, es consoliden i resum per a la seva comunicació a la Direcció de l’entitat.

⦿ Coordinar i donar resposta a les inquietuds transmeses a través dels responsables de seguretat departamentals.

⦿ Definir, dins de la Política de Seguretat Corporativa, l’assignació de rols i els criteris per a aconseguir les garanties pertinents quant a segregació de funcions.

⦿ Elaborar i aprovar els requisits de formació i qualificació d’administradors, operadors i usuaris des del punt de vista de seguretat de la informació.

⦿ Monitorar els principals riscos residuals assumits per l’Organització i recomanar possibles actuacions respecte d’ells.

⦿ Monitorar l’acompliment dels processos de gestió d’incidents de seguretat i recomanar possibles actuacions respecte d’ells. En particular, vetllar per la coordinació de les diferents àrees de seguretat en la gestió d’incidents de seguretat de la informació.

⦿ Promoure la realització d’auditories periòdiques que permetin verificar el compliment de les obligacions de l’organisme en matèria de seguretat.

⦿ Aprovar plans de millora de la seguretat de la informació de l’Organització. En particular vetllarà per la coordinació de diferents plans que puguin realitzar-se en diferents àrees.

⦿ Prioritzar les actuacions en matèria de seguretat quan els recursos siguin limitats.

⦿ Vetllar perquè la seguretat de la informació es tingui en compte en tots els projectes des de la seva especificació inicial fins a la seva posada en operació. En particular haurà de vetllar per la creació i utilització de serveis horitzontals que redueixin duplicitats i donin suport a un funcionament homogeni de tots els sistemes TIC.

⦿ Resoldre els conflictes de responsabilitat que puguin aparèixer entre els diferents responsables i/o entre diferents àrees de l’Organització.
– Rols: Funcions i responsabilitats
Es detallaran a continuació les funcions dels responsables de l’organització:
Responsable de la Informació
⦿ Responsabilitat última de l’ús que es faci d’una certa informació i, per tant, de la seva protecció.

⦿ Responsable últim de qualsevol error o negligència que comporti un incident de confidencialitat o d’integritat (en matèria de protecció de dades) i de disponibilitat (en matèria de seguretat de la informació).

⦿ Establir els requisits de la informació en matèria de seguretat.

⦿ Determinar i aprovar els nivells de seguretat de la informació.

⦿ Aprovar la categorització del sistema respecte a la informació.

⦿ Els que es vagin indicant en els documents dins de l’abast del *ENS.
Responsable de la Seguretat
⦿ Mantenir la seguretat de la informació manejada i dels serveis prestats pels sistemes d’informació en el seu àmbit de responsabilitat, d’acord amb el que s’estableix en la Política de Seguretat de la Informació de l’organització.

⦿ Promoure la formació i conscienciació en matèria de seguretat de la informació dins del seu àmbit de responsabilitat.

⦿ Aprovar la declaració d’aplicabilitat.

⦿ Canalitzar i supervisar, tant el compliment dels requisits de seguretat del servei que es presta o solució que proveeix, com les comunicacions relatives a la seguretat de la informació i la gestió dels incidents per a l’àmbit d’aquest servei (*POC).

⦿ Els que es vagin indicant en els documents dins de l’abast del *ENS.

El Responsable de la Seguretat serà el secretari del Comitè de Seguretat amb les funcions indicades en l’apartat 6.1 de la present política. De conformitat amb el principi de “segregació de funcions i tasques” recollit en l’art. 10 del *ENS, el Responsable de la Seguretat serà una figura diferenciada del Responsable del Sistema.
Responsable del Sistema
⦿ Desenvolupar, operar i mantenir el sistema d’informació durant tot el seu cicle de vida, incloent-hi les seves especificacions, instal·lació i verificació del seu correcte funcionament.

⦿ Definir la topologia i la gestió del sistema d’informació, establint els criteris d’ús i els serveis disponibles en aquest.

⦿ Cerciorar-se que les mesures de seguretat s’integrin adequadament en el marc general de seguretat.

⦿ Potestat per a proposar la suspensió del tractament d’una certa informació o la prestació d’un determinat servei si aprecia deficiències greus de seguretat que poguessin afectar la satisfacció dels requisits establerts.

⦿ Els que es vagin indicant en els documents dins de l’abast del *ENS.
Responsable de Privacitat
⦿ Coordinar tots els aspectes relacionats amb l’adequació de les actuacions de en matèria de protecció de dades de caràcter personal.

⦿ Coordinar, juntament amb el Responsable de Seguretat, el compliment del ENS respecte a la protecció de dades de caràcter personal.
Procediments de designació
El Responsable de Seguretat serà nomenat pel Comitè de Seguretat. El nomenament es revisarà cada 2 anys o quan el lloc quedi vacant.

Igualment, la resta dels càrrecs indicats en l’apartat anterior serà designat pel Comitè de Seguretat mitjançant acta de reunió.
Revisió de la política de seguretat
Serà missió del Comitè de Seguretat la revisió anual d’aquesta Política de Seguretat i la proposta de revisió o manteniment d’aquesta. La Política serà aprovada per l’Alta Direcció i difosa perquè la coneguin totes les parts afectades.
Dades de caràcter personal
DEISTER, en la prestació del seu servei, tracta dades de caràcter personal especialment sensibles.

La documentació relativa, a la qual tindran accés només les persones autoritzades, recull els registres d’activitat de tractament de dades afectades i els responsables corresponents. Tots els sistemes d’informació de *DEISTER s’ajustaran als nivells de seguretat requerits per la normativa per a la naturalesa i finalitat de les dades de caràcter personal.
Gestió de riscos
Tots els sistemes subjectes a aquesta Política hauran de realitzar una anàlisi de riscos, avaluant les amenaces i els riscos als quals estan exposats. Aquesta anàlisi es repetirà:

⦿ Establir mecanismes per a respondre eficaçment als incidents de seguretat.

⦿ Regularment, almenys una vegada a l’any

⦿ Quan canviï la informació manejada.

⦿ Quan canviïn els serveis prestats

⦿ Quan ocorri un incident greu de seguretat.

⦿ Quan es reportin vulnerabilitats greus.

Per a l’harmonització de les anàlisis de riscos, el Comitè de Seguretat establirà una valoració de referència per als diferents tipus d’informació manejats i els diferents serveis prestats. El Comitè de Seguretat dinamitzarà la disponibilitat de recursos per a atendre les necessitats de seguretat dels diferents sistemes, promovent inversions de caràcter horitzontal.
Obligacions del personal
Tots els membres de DEISTER tenen l’obligació de conèixer i complir aquesta Política de Seguretat i la Normativa de Seguretat, sent responsabilitat del Comitè de Seguretat disposar els mitjans necessaris perquè la informació arribi als afectats.
Tots els membres de DEISTER atendran una sessió de conscienciació en matèria de seguretat de la informació almenys una vegada a l’any. S’establirà un programa de conscienciació contínua per a atendre a tots els membres de DEISTER en particular als de nova incorporació.
Las personas con responsabilidad en el uso, operación o administración de sistemas recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.
Terceres parts
Quan DEISTER presti serveis a altres organitzacions públiques o privades o manegi informació d’altres organitzacions públiques o privades, se’ls farà partícips d’aquesta Política de Seguretat, s’establiran canals per a reporti i coordinació dels respectius Comitès de Seguretat i s’establiran procediments d’actuació per a la reacció davant incidents de seguretat.
Quan DEISTER utilitzi serveis de tercers o cedeixi informació a tercers, se’ls farà partícips d’aquesta Política de Seguretat i de la Normativa de Seguretat que concerneixi a aquests serveis o informació. Felicitat tercera part quedarà subjecta a les obligacions establertes en aquesta normativa, podent desenvolupar els seus propis procediments operatius per a satisfer-la. S’establiran procediments específics de reporti i resolució d’incidències. Es garantirà que el personal de tercers està adequadament conscienciat en matèria de seguretat, almenys al mateix nivell que l’establert en aquesta Política.
Quan algun aspecte de la Política no pugui ser satisfet per una tercera part segons es requereix en els paràgrafs anteriors, es requerirà un informe del Responsable de Seguretat que precisi els riscos en què s’incorre i la manera de tractar-los. Es requerirà l’aprovació d’aquest informe pels responsables de la informació i els serveis afectats abans de seguir endavant.
Legislació aplicable
Llei / Regulació Responsabilitat
Llei 39/2015, de 1 d’octubre, del Procediment Administratiu Comú de les Administracions Públiques Responsable de Seguretat
Llei 40/2015, de 1 d’octubre, estableix i regula les bases del règim jurídic de les Administracions Públiques, els principis del sistema de responsabilitat de les Administracions Públiques i de la potestat sancionadora, així com l’organització i funcionament de l’Administració General de l’Estat i del seu sector públic institucional per al desenvolupament de les seves activitats Responsable de Seguretat
Reial decret 311/2022, de 3 de maig, pel qual es regula l’Esquema Nacional de Seguretat. Responsable de Seguretat
Llei orgànica 1/2015, de 30 de març, per la qual es modifica la Llei orgànica 10/1995, de 23 de novembre, del Codi Penal Responsable de Seguretat
Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades Responsable de Seguretat
Llei orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals Responsable de Seguretat
Llei 34/2002 de Serveis de la Societat de la Informació (LSSI) Responsable de Seguretat
Llei 22/11, d’11/11/1987, de Propietat Intel·lectual Responsable de Seguretat