Política de seguridad

1. Objetivo:

El presente documento tiene por objeto establecer la Política Integrada de seguridad, asegurando así la autenticidad, confidencialidad, integridad, disponibilidad y trazabilidad de los sistemas de información de VECTALIA y por supuesto, garantizando el cumplimiento de todas las obligaciones legales aplicables.

2. Ámbito de aplicación:

La política será de obligado cumplimiento para todos los usuarios de VECTALIA y aplicable a los activos empleados para prestar los servicios ofrecidos a los clientes, afectando a la información tratada por medios electrónicos.

Sera de obligado cumplimiento para todo el personal que acceda tanto a los sistemas de información como a la propia información que sea gestionada por la VECTALIA, con independencia de cuál sea su destino, adscripción o relación con el mismo.

3. Aprobación y comunicación:

Esta política has sido aprobada por el Director Corporativo de VECTALIA. Esta Política es efectiva y aplicable desde dicha fecha y hasta que sea actualizada o reemplazada por una nueva Política. Esta política, debe ser conocida y asumida por todas las partes interesadas y deben establecerse los procedimientos necesarios para ello, a través de los canales corporativos de comunicación.

4. Principios de seguridad de la información:

Se establecerán las siguientes directrices fundamentales de seguridad, las cuales ayudarán a evitar comprometer la confidencialidad, integridad y disponibilidad de los servicios, así como de la información asociada. Se establecen los siguientes principios:

- Compromiso de la Dirección. La seguridad de la información cuenta con el compromiso y apoyo de todos los niveles directivos de forma que pueda estar coordinada e integrada con el resto de las iniciativas estratégicas de VECTALIA. En muestra de este compromiso la Dirección General vela por el cumplimiento del presente documento, manteniéndolo actualizado y aprobado, proporcionando todos los medios económicos y logísticos para la constitución, implantación, mantenimiento y evolución del sistema de gestión y el esquema nacional de seguridad.

- Proceso Integral. La seguridad se entenderá como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos relacionados con el sistema. La seguridad de la información en la prestación de los servicios debe considerarse como parte de la operativa habitual, estando presente y aplicándose desde el diseño inicial de los sistemas de información.

- Gestión de la seguridad basada en Riesgos. Se desarrolla el estudio y la evaluación de los riesgos que puedan poner en peligro la calidad en la entrega de los servicios y la seguridad de la información gestionada en los mismos. En este sentido, se aplicarán las medidas necesarias para mitigar estos riesgos en base a su criticidad realizando evaluaciones periódicas que permitan obtener el estado de la gestión del tratamiento del riesgo.

- Prevención, reacción y recuperación. La seguridad del sistema contempla aspectos de prevención, detección y corrección para conseguir que las amenazas no afecten a la información y a la calidad de los servicios. Para ello se efectuarán ciclos de revisión basados en la planificación de los riesgos, la implantación de las medidas de mitigación y la posterior reevaluación de las mismas.

- Línea de defensa. Se implantarán los mecanismos apropiados para asegurar la disponibilidad de los sistemas de información y favorecer la continuidad de los servicios, priorizando la reacción adecuada ante los incidentes con el objetivo de reducir la probabilidad de que el servicio sea comprometido.

- Reevaluación periódica. La Dirección realiza una evaluación periódica en relación a la calidad en la prestación de los servicios y las medidas de seguridad aplicadas para adecuar su eficacia a la constante evolución de los riesgos marcándose objetivos como compromiso de mejora continua del sistema.

- Responsabilidad diferenciada. En los sistemas de información se diferenciará el responsable de la información, que determina los requisitos de seguridad de la información tratada; el responsable del servicio, que determina los requisitos de seguridad de los servicios prestados; y el responsable de seguridad, que determina las decisiones para satisfacer los requisitos de seguridad.

5. Marco legal y regulatorio:

VECTALIA en conformidad a lo establecido para el cumplimento del Sistema de Gestión Integrado y los requisitos definidos en el Esquema Nacional de Seguridad, tendrá en cuenta los requerimientos dispuestos por el marco legal aplicable y regulatorio en el que se desarrollan las actividades. Identificando los siguientes reglamentos y normativas:

RGPD: Reglamento relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

LOPDGDD: Ley orgánica a nivel nacional que regula los derechos y tratamiento de datos personales bajo los requisitos dictaminados en el Ley 3/2018.

Ley de Propiedad Intelectual: Relacionado con el tratamiento y regulación de cualquier obra con derechos de propiedad intelectual para cubrir los requisitos de la Ley 1/1996 ante la copia no autorizada o distribución de software licenciado.

ENS: Real Decreto 311/2022 de 3 de mayor por el cual se regula el Esquema Nacional de Seguridad. El ENS está constituido por los principios básicos y requisitos mínimos necesarios para una protección adecuada de la información tratada y los servicios prestados por las entidades de su ámbito de aplicación, con objeto de asegurar el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de los datos, la información y los servicios utilizados por medios electrónicos que gestionen en el ejercicio de sus competencias.

6. Misión y objetivos

La presente Política tiene el objetivo de establecer las directrices de seguridad de la información en base a los requisitos dispuestos en los estándares ISO/IEC 27001:2013 y el Esquema Nacional de Seguridad, asegurando así la calidad de los productos, servicios y la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de los sistemas de información de VECTALIA.

Nuestra misión es ser una empresa líder en al ámbito de la movilidad, y los servicios, demostrando su capacidad para proporcionar un servicio de excelente calidad, garantizando la seguridad desde su planificación hasta su desarrollo.

Los valores que propicia VECTALIA, son la honestidad, lealtad, actitud de servicio, confianza del cliente, respeto a la persona, dedicación al trabajo, responsabilidad y seriedad.

La visión es ofrecer plataformas de Sistemas de la Información, promoviendo un servicio ágil, escalable y sin paradas.

7. Organización e implementación del proceso de seguridad VECTALIA identifica una serie de roles y responsabilidades asociados al Sistema de Gestión y el Esquema Nacional de Seguridad considerándose los siguientes puestos. - Responsable de la Información - Responsable del Servicio - Responsable de Seguridad - Responsable del Sistema - Comité de Seguridad de la Información - Responsable del Sistema de Gestión - Auditor Interno La responsabilidad de la seguridad de la información recae en la Dirección General de VECTALIA. La Dirección es responsable final de organizar las funciones y responsabilidades, la política del sistema de gestión integrado y de facilitar los recursos adecuados para alcanzar los objetivos propuestos. La Dirección también establece una serie de roles y responsabilidades en materia de seguridad considerándose los siguientes puestos: - Conocer las consecuencias que se pudieran derivar y las responsabilidades en que se pudiera incurrir en caso de incumplimiento de la normativa. - Debe tener formación en seguridad de la información y en especial en ISO 27001. - La destrucción o la identificación inequívoca y/o discriminación de los documentos obsoletos Responsabilidades unificadas, segregación y resolución de conflictos En VECTALIA existen responsabilidades unificadas de modo que la misma persona ejerce de responsable de la información y del servicio. El artículo 10 del Esquema Nacional de Seguridad recoge el principio de “La seguridad como función diferenciada”. Este principio exige que el Responsable de la Seguridad sea independiente del Responsable del Sistema, no obstante, en caso de conflicto este deberá ser resuelto por el superior jerárquico. Estructura mínima En entidades como VECTALIA, los roles y responsabilidades identificadas en esta política pueden reducirse a la siguiente estructura mínima reducida a 2 roles: Dirección: Responsabilidades asociadas a la Dirección de VECTALIA y que integra las siguientes funciones: - Responsable de la información - Responsable del servicio Operación: Figura que recae sobre la dirección operativa que integra las siguientes funciones: - Responsable del sistema de gestión - Responsable de la seguridad El responsable del Sistema se asegura de que estos roles son comunicados y aceptados por las partes interesadas y que éstos han entendido sus funciones y obligaciones para con la VECTALIA en materia de seguridad y gestión del servicio. Todos los nombramientos de los roles que identifica el Esquema Nacional de Seguridad serán llevados a cabo por el Director de IT de VECTALIA. Estos nombramientos serán revisados, al menos, cada dos años o cuando exista la necesidad. Procedimiento de designación y renovación El Responsable de Seguridad de la Información será nombrado por la Dirección. El nombramiento se revisará cada 2 años o cuando el puesto quede vacante. Todos los roles son revisados y aprobados por el Comité de Gestión de VECTALIA y serán revisados periódicamente. En caso de baja prolongada y vacante, será el Comité el responsable de asignar un nuevo perfil dentro de VECTALIA para suplir las necesidades del Esquema Nacional de Seguridad. 8. Estructura documental de seguridad VECTALIA dispone de diferentes procedimientos asociados a la seguridad de la información y los servicios prestados a los diferentes clientes. La documentación es revisada de manera periódica y ante cualquier cambio se procede a su actualización y distribución al personal implicado en la materia. La documentación es gestionada por el responsable del Sistema de Gestión en coordinación con el Responsable de Seguridad, almacenando la misma en un repositorio documental accesible al personal de VECTALIA, que lo requiera. 9. Profesionalidad Todas las actividades relacionadas con la calidad y seguridad de los sistemas son atendidas, revisadas y auditadas por personal cualificado, dedicado e instruido en todas las fases de su ciclo de vida: desarrollo de negocio, gestión de proyectos, mantenimiento y soporte. 10. Adquisición de productos de seguridad VECTALIA valora positivamente la adquisición de productos de seguridad de las tecnologías de la información y comunicaciones cuya funcionalidad esté debidamente certificada. Esta certificación deberá estar de acuerdo con las normas y estándares reconocidas internacionalmente en el ámbito de la seguridad funcional. 11. Seguridad por defecto Los sistemas de VECTALIA se configuran de tal forma que: - Las funciones de operación, administración y registro de actividad serán las mínimas necesarias y se asegure que sólo son accesibles por las personas, o desde emplazamientos o equipos autorizados, poniendo si fuera necesario restricciones de horarios y puntos de accesos facultados. - En un sistema de explotación se eliminen o desactiven, mediante le control de la configuración, las funcionalidades innecesarias o que no sean de interés. - El uso ordinario del sistema ha de ser sencillo y seguro, de forma que una utilización insegura requiera de un acto consciente por parte del usuario. 12. Integridad y actualización del sistema Todos los elementos físicos o lógicos de VECTALIA requieren una autorización formal previa a la instalación en el sistema. Se deberá conocer en todo momento el estado de la seguridad de los sistemas, en relación con las especificaciones de los fabricantes, las vulnerabilidades y a las actualizaciones que les afecten, reaccionando con diligencia para gestionar los posibles riesgos implícitos. 13. Protección de la información almacenada y en tránsito VECTALIA presta especial atención a la información almacenada o en tránsito protegiendo dichos equipos ante un uso indebido o robo, favoreciendo que la información no sea accesible más que por el personal autorizado. VECTALIA considera como parte de la seguridad los procedimientos que aseguren la recuperación y conservación a largo plazo de la información contenida en dichos dispositivos. 14. Prevención ante otros sistemas de información interconectados Se protegerá el perímetro, especialmente si la conexión se produce desde o hacia redes públicas. En todo caso se analizarán los riesgos derivados de la interconexión del sistema, a través de redes, con otros sistemas, y se controlará su punto de unión. 15. Registros de Actividad VECTALIA registrará las actividades de los usuarios, siempre cumpliendo la legislación aplicable en cada caso, reteniendo la información necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento a la persona que actúa. 16. Continuidad de la actividad Todos los empleados colaborarán en la oportuna reanudación de todos los servicios críticos para VECTALIA en caso de una contingencia grave, ayudando de estar forma a que se restablezcan la mayoría de los servicios en el mínimo tiempo posible. Los sistemas de información de VECTALIA disponen de copias de seguridad y para los que se han establecido los mecanismos necesarios para garantizar la continuidad de las operaciones en caso de pérdida de los medios habituales de trabajo.