POLÍTICA DE SEGURIDAD

Para nuestra organización es de vital importancia la confianza generada en nuestros clientes. En este proceso, nos confían información, la cual tenemos que gestionar y tratar por mediación de nuestros Sistemas de Información con totales garantías de seguridad. La Política de Seguridad tiene como misión establecer objetivos de Seguridad para el conjunto de la organización, así como proteger los activos de información a todos los niveles como compromiso de mejora continua del sistema. Estos objetivos incluyen la adopción de una serie de medidas organizativas y normas que se presentan en este documento con la finalidad de proteger la información de DISPROIN LEVANTE S.L. Asimismo, se detallan las precauciones y medidas de seguridad adoptadas para asegurar el correcto cumplimiento de la legislación vigente. Asimismo, queda regulada la cesión de información a terceros, quedando estrictamente prohibida la cesión de información sensible de la Organización fuera de los procedimientos establecidos, siendo necesaria la autorización de la Gerencia para cualquier salida de información fuera de DISPROIN LEVANTE S.L. Esto es extensible para cualquier cesión de información que se realice a terceras entidades. Solo se permite dicha cesión cuando esté regulada por un acuerdo entre ambas partes para el intercambio de dicha información y en el mismo se defina la finalidad exacta de dicha cesión, así como la caducidad de la misma y la garantía de supresión de la misma una vez cumplido el objetivo de la cesión. El objetivo principal de la creación de esta política de Seguridad por parte del Responsable de Seguridad y de la Dirección General de DISPROIN LEVANTE S.L. es garantizar a los usuarios el acceso a la información con la cantidad y calidad que se requiere para el desempeño del trabajo, así como evitar pérdidas de información y accesos no autorizados a la misma. Esta política de Seguridad será mantenida, actualizada y adecuada a los fines de la organización, alineándose con el contexto de gestión de riesgos estratégica de la organización. A este efecto y para gestionar los riesgos que afronta DISPROIN LEVANTE S.L se define un procedimiento de evaluación de riesgos. De igual forma se establecen los siguientes principios que deben respetarse: Confidencialidad: La información gestionada por DISPROIN LEVANTE S.L., debe ser conocida exclusivamente por las personas autorizadas, previa identificación, en el momento y por los medios habilitados. Integridad: La información de DISPROIN LEVANTE S.L., debe de ser completa, exacta y válida, siendo su contenido el facilitado por los afectados sin ningún tipo de manipulación. Disponibilidad: La información de la organización está accesible y utilizable por los usuarios autorizados e identificados en todo momento, quedando garantizada su propia persistencia ante cualquier eventualidad prevista. En Valencia a 30/06/2020 Firmado por gerencia

POLÍTICA DE SEGURIDAD ADAPTADA A LAS ISO 27001, 27017, 27701 Y ENS ALTO

DISPROIN, es consciente y asume su compromiso con la seguridad de la información según las normas de referencia ISO 27001, ISO 27017, 27701 y Esquema Nacional de Seguridad categoría Alta. Por lo que la dirección de DISPROIN establece los siguientes principios:

  • Velar por garantizar la satisfacción de nuestros clientes, incluyendo las partes interesadas en los resultados de la empresa, en todo lo referente a la realización de nuestras actividades y su repercusión en la sociedad.
  • Velar por garantizar la seguridad de la información de los sistemas de información de DISPROIN, así como de los sistemas de información que dan soporte a los servicios prestados por DISPROIN a sus clientes.
  • Establecer objetivos y metas enfocados hacia la evaluación del desempeño en materia de seguridad de la información, así como a la mejora continua en nuestras actividades, reguladas en el Sistema de Gestión de Seguridad de la Información que desarrolla esta política.
  • Cumplimiento de los requisitos de la legislación aplicable y reglamentaria a nuestra actividad, los compromisos adquiridos con los clientes y todas aquellas normas internas o pautas de actuación a los que se someta
  • Mantenimiento de una comunicación fluida tanto a nivel interno, entre los distintos estamentos de la empresa, como con clientes.
  • Evaluar y garantizar la competencia técnica del personal, así como asegurar la motivación adecuada de éste para su participación en la mejora continua de nuestros procesos.
  • Garantizar el correcto estado de las instalaciones y el equipamiento adecuado, de forma tal que estén en correspondencia con la actividad, objetivos y metas de la empresa.
  • Garantizar un análisis de manera continua de todos los procesos relevantes, estableciéndose las mejoras pertinentes en cada caso, en función de los resultados obtenidos y de los objetivos establecidos.
  • Velar por la mejora continua del Sistema de Gestión Integrado que desarrolla esta política.
  • Las incidencias de seguridad son comunicadas y tratadas apropiadamente.

Para los servicios Cloud, adicionalmente:

  • Se identificarán los requisitos básicos de seguridad aplicables al diseño e implantación del servicio.
  • Se tendrán en cuenta los riesgos provenientes del personal interno autorizado.
  • Se securizarán los servicios multi-cliente (multi-tenancy) y aislamiento de clientes (incluyendo virtualización).
  • Se controlará el acceso a activos del cliente por parte de personal propio.
  • Se implementará autenticación fuerte para usuarios administradores.
  • Se comunicará a los clientes la ubicación de los CPDs, y si así lo solicitan, los cambios en la infraestructura.
  • Se implementará seguridad en todo el proceso de virtualización y se usaran herramientas certificadas.
  • Se protegerá tanto el acceso como la información del cliente.
  • Se gestionarán las cuentas de los clientes durante todo su ciclo de vida.
  • Se comunicará a organismos a proveedores, Partners y organismos especializados (CERT) las brechas de seguridad y se compartirá información para ayudar en la investigación de ciberincidentes.
  • Es política de DISPROIN implementar, mantener y realizar un seguimiento del Sistema de Gestión de Seguridad de la Información.

Estos principios son asumidos por la Dirección de DISPROIN, quien dispone los medios necesarios y dota a sus empleados de los recursos suficientes para su cumplimiento, plasmándolos y poniéndolos en público conocimiento a través de la presente Política de Seguridad de la Información.

 

Fdo:

Dirección Disproin