Protección de datos
1. INTRODUCCIÓN
Con la presente Política de Seguridad de la Información y Protección de Datos, WEARETESTERS, S.L. establece las directrices y los principios necesarios para adquirir el compromiso de construir un modelo de seguridad que proteja los sistemas de información y los datos que carácter personal que se tratan, de conformidad con los requisitos del negocio y las normas aplicables, además de tener la intencionalidad de crear un clima de confianza en el uso de nuestras plataformas y herramientas por parte de nuestros clientes.
En este sentido, se pretende dar cumplimiento a los objetivos de seguridad definidos, asegurando la confidencialidad, la integridad y la disponibilidad de los sistemas de información, y garantizar el cumplimiento de las obligaciones legales que de &eacuzZte;ste se derivan, así como proteger la información y los datos contra las amenazas y poder garantizar la continuidad de negocio.
WEARETESTERS, S.L. está expuesta a amenazas y los riesgos a los que los sistemas de información y servicios se encuentran sometidos, y es necesaria la política de seguridad para dar una mejor respuesta en ciberseguridad, reducir las vulnerabilidades y promover la vigilancia continua.
La seguridad se entiende como una manera de asegurar que el uso de las tecnologías de la información y la comunicación, permitiendo que la entidad pueda alcanzar sus objetivos, y desarrollar sus funciones, así como ejercer sus competencias utilizando sus sistemas de información.
Esta Política de Seguridad contiene una descripción de los elementos clave, tanto físicos, organizativos, tecnológicos y documentales, que WEARETESTERS, S.L. aplica para llevar a cabo la protección de la información y especialmente los datos de carácter personal, evitando que se produzcan incidentes de seguridad que los pongan en peligro.
En todos los niveles de WEARETESTERS, S.L. velará por la aplicación real y efectiva de las medidas de prevención y control previstas en esta Política, de manera que este sistema de autorregulación consiga la eliminación de comportamientos que puedan poner en riesgo la seguridad de los activos de información y los datos personales tratados por WEARETESTERS, S.L.
Esta Política será adaptada a los cambios tecnológicos y legislativos que se produzcan en el futuro.
2. ÁMBITO DE APLICACIÓN
La Política de Seguridad es de obligado cumplimiento de manera integral por todos los servicios y departamento de WEARETESTERS, S.L., incluyendo los cargos directivos y la totalidad del personal; tanto en lo que se refiere al tratamiento de datos de carácter personal, a los recursos y procesos afectados por la Protección de Datos como en lo que se refiere a la seguridad de la información.
Se trata de un proceso integral basado en el cumplimiento de la normativa y la gestión de los riesgos con el fin de prevenir, detectar, dar respuesta y recuperar los datos y la información en caso de producirse cualquier incidencia de seguridad.
El ámbito de aplicación de esta Política se extenderá a todos los miembros de la organización y aquellos terceros que tengan acceso al Sistema de Información.
Asimismo, para que la Política de Seguridad tenga un alcance integral, WEARETESTERS, S.L. se compromete a la realización de protocolos, procedimientos y directrices específicas y a controlarlos mediante el mapa de procesos correspondiente.
3. MARCO NORMATIVO
La presente Política de Seguridad comprende el marco normativo vigente en materia de seguridad de la información y la protección de datos de carácter personal. Asimismo, también incorporará aquellas normas relacionadas que se aprueben en el futuro.
En todo caso, el marco normativo actual engloba, entre otros:
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
- Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
- Código Penal;
- Marcos de referencia de las normas ISO 27001 y ISO 27002.
4. FUNDAMENTOS
Los objetivos de la Empresa en materia de seguridad de la información están alineados con los de negocio, dando prioridad al cumplimiento de las obligaciones legales que sean aplicables a la actividad desarrollada. Se considerará un objetivo prioritario la seguridad de la información y de los datos de WEARETESTERS, S.L. En esta línea, la entidad debe proteger la información durante todo su ciclo de vida –es decir, desde la creación/recepción, procesamiento, comunicación, transporte, almacenamiento, difusión hasta la eventual supresión o destrucción-. Por este motivo, se deben seguir unos principios mínimos:
- Principio de confidencialidad: la entidad garantizará que los sistemas de información sean accesibles únicamente para aquellas personas usuarias, órganos y entidades o procesos expresamente autorizados, con respeto a las obligaciones de secreto y secreto profesional.
- Principio de integridad y calidad: la entidad garantizará el mantenimiento de la integridad y calidad de la información, así como de los procesos de tratamiento de la misma, estableciéndose los mecanismos para asegurar que los procesos de creación, tratamiento, almacenamiento y distribución de la información contribuyen a preservar su exactitud y corrección.
- Principio de disponibilidad y continuidad: la entidad garantizará un nivel de disponibilidad en los sistemas de información y se dotarán los planes y las medidas necesarias para asegurar la continuidad de los servicios y la recuperación ante posibles contingencias graves.
La disponibilidad y la continuidad a la resiliencia, que consiste en asegurar la capacidad de recuperación de los sistemas y la información después de un incidente que impida el acceso temporal a los mismos.
- El principio de autenticidad: la entidad garantizará que el origen y las identidades asociadas a la información son realmente los que aparecen en los atributos de la misma. Este principio va unido al de no repudio, que consiste en asegurar que un usuario no pueda negar la autoría de un acto en el sistema o la vinculación a un dato o conjunto de datos.
- Principio de proporcionalidad: la entidad implementará los controles que mitiguen los riesgos de seguridad buscando el equilibrio entre las medidas de seguridad, la naturaleza de la información y riesgo.
- El principio de trazabilidad: la entidad garantizará la posibilidad de determinar en cada momento la identidad de las personas que acceden a la información y la actividad que desarrollan en relación con ésta, así como los diferentes estados y rutas que ha seguido la información.
- Principio de mejora continua: la entidad revisará el grado de cumplimiento de los objetivos de mejora de la seguridad planificado, con la finalidad de aumentar la capacidad de adaptación a la constante evolución del riesgo y del entorno tecnológico.
- Principio de concienciación y formación: la entidad articulará iniciativas que permitan a los trabajadores conocer los deberes y las obligaciones en cuanto al tratamiento seguro de la información. De la misma manera, se fomentará la formación específica en materia de seguridad TIC de todas aquellas personas que gestionan y administran sistemas de información y telecomunicaciones.
5. características y vulnerabilidades de negocio
La Empresa desarrolla su actividad principal en el sector servicios. Ello implica que sus principales activos son de naturaleza intangibles y que están formados principalmente por información confidencial, know-how, datos personales, propiedad intelectual, propiedad industrial, entre otros.
El carácter inmaterial de este tipo de activos los hace muy vulnerables a amenazas internas y externas tales como el acceso no autorizado, la copia no autorizada, la divulgación, la cesión a terceros, el uso no autorizado, la explotación no autorizada, e incluso la destrucción.
La protección de los activos de información exige una serie de medidas jurídicas, técnicas y organizativas que se resumen en esta política y se detallan en las normas y procedimientos de la Empresa.
6. COMPROMISO DE LA DIRECCIÓN
La Dirección de WEARETESTERS, S.L, es consciente de la importancia de la seguridad de la información para llevar a cabo con éxito la presente Política, así como los objetivos de negocio. En esta línea compromete a:
- Promover en la organización las funciones y responsabilidades en el ámbito de seguridad de la información.
- Facilitar los recursos adecuados para alcanzar los objetivos de seguridad de la información.
- Impulsar la divulgación y la concienciación de la Política de Seguridad de la Información entre los empleados de la entidad.
- Exigir el cumplimiento de la presente Política, de la legislación vigente y de los requisitos de los reguladores en el ámbito de la seguridad de la información.
- Considerar los riesgos de seguridad de la información en la toma de decisiones.
7. ROLES, RESPONSABILIDADES Y FUNCIONES DE SEGURIDAD
Todos los roles y responsabilidades estarán diferenciados y, en la medida de lo posible, serán asignados de manera individualizada en la descripción del puesto de trabajo. Además de esta asignación individualizada, todas las personas que pertenezcan a la Empresa, fuera cual fuera su nivel, estarán obligadas a cumplir las normas, procedimientos y controles establecidos en materia de seguridad de la información.
La estructura de control está descrita en el documento “Estructura de control en materia de seguridad de la información”. En todo caso, Dirección será la Responsable de asignar funciones y responsabilidades, así como el proceso de cambio y renovación.
Las funciones y obligaciones del personal en materia de seguridad y protección de datos se detallarán en normas específicas.
Responsable de la información: Es el máximo responsable del uso que se haga de la información y por tanto de su protección. Asimismo, es el responsable de cualquier error o negligencia que comporte un incidente de confidencialidad y/o integridad.
- Dispone de la potestad de establecer los requisitos en materia de seguridad.
- Debe validar o rechazar las propuestas de categorización del sistema o sistemas de información que presente el Responsable de Seguridad e igualmente las posibles modificaciones.
Responsable del servicio: Tiene la potestad de establecer los requisitos del servicio en materia de seguridad y la de determinar el nivel de seguridad del servicio.
Responsable de seguridad: El responsable de seguridad reporta al responsable del servicio y al responsable del sistema, y sus funciones son las siguientes:
- Mantener la seguridad de la información gestionada y de los servicios prestados por los sistemas TIC en su ámbito de responsabilidad, de conformidad con la política de seguridad de la información.
- Realizar o promover las autoevaluaciones o auditorías periódicas que permitan verificar el cumplimiento de la seguridad de la información.
- Promover la formación y concienciación en materia de seguridad de la información dentro de su ámbito de responsabilidad.
- Verificar que las medidas de seguridad establecidas son adecuadas para la protección de la información gestionada y los servicios prestados.
- Analizar, completar y aprobar toda la documentación relacionada con la seguridad del sistema.
- Monitorizar el estado de seguridad del sistema, que podrá ser proporcionado por elementos específicos o por herramientas de gestión de eventos de seguridad y mecanismos de auditoría implementadas en el sistema.
- Apoyar y supervisar la investigación de los incidentes de seguridad desde su notificación hasta la resolución.
- Elaborar el informe periódico de seguridad por la alta dirección de la entidad local, incluyendo los incidentes más relevantes del periodo.
Responsable del sistema: El responsable del sistema reporta en materia de seguridad al responsable de seguridad y a la dirección de la organización, siendo sus responsabilidades las siguientes:
- Desarrollar, operar y mantener el sistema de información durante todo su ciclo de vida; de sus especificaciones, instalación y verificación de su correcto funcionamiento.
- Definir la topología y sistema de gestión de la información, estableciendo los criterios de uso y los servicios disponibles en el mismo.
- Asegurar que las medidas específicas de seguridad se integran correctamente.
- Mantener la seguridad de la información gestionada y de los servicios prestados por los sistemas TIC en su ámbito de responsabilidad, de conformidad con la política de seguridad de la información.
El Responsable del Sistema puede acordar la suspensión del uso de determinada información o la prestación de un determinado servicio, si es informado de deficiencias graves de seguridad que puedan afectar al normal uso de los requisitos establecidos. Esta decisión debe acordarse con los responsables de la información afectada del servicio afectado y del Responsable de Seguridad antes de su ejecución.
Administradores de seguridad: Por su complejidad, distribución, separación física de sus elementos o cantidad de usuarios, el responsable del sistema puede nombrar, a los Administradores de seguridad, que considere necesarios para la ejecución de las siguientes tareas:
- Elaborar, cuando el Responsable del Sistema lo determine, la aplicación y gestión de los procedimientos operativos de seguridad.
- Gestionar, configurar y actualizar, en caso de ser necesario, el hardware y software de acuerdo con las previsiones de seguridad del sistema.
- Implementar, gestionar y mantener las medidas de seguridad aplicables al sistema de información.
- Informar a los Responsables de Seguridad y del Sistema de cualquier anomalía, compromiso o vulnerabilidad relacionada con la seguridad.
- Supervisar las instalaciones de hardware y software, sus modificaciones y mejoras para asegurar que la seguridad no esté comprometida.
- Asegurar que los controles de seguridad establecidos son cumplidos estrictamente.
- Asegurar que son aplicados los procedimientos aprobados para gestionar el sistema de información.
- Asegurar que la trazabilidad, auditoría y otros registros de seguridad se llevan a cabo frecuentemente, de acuerdo con la política de seguridad establecida por la organización.
- Establecer procedimientos de seguimiento y reacción ante alarmas y situaciones imprevistas.
- Iniciar el proceso de respuesta ante incidentes que se produzcan en el sistema de información bajo su responsabilidad, informando y colaborando con el Responsable de Seguridad en su investigación.
8. SEGURIDAD FÍSICA Y DEL ENTORNO
La Empresa adoptará las medidas necesarias para que el personal conozca de una forma comprensible las obligaciones en materia de seguridad que afecten al desarrollo de sus funciones, así como las consecuencias de su incumplimiento.
La Empresa evaluará los riesgos y amenazas del entorno que la rodea. Esta verificación incluirá todos los focos de riesgo que puedan suponer un peligro para la seguridad de la información. Esta evaluación se actualizará cada vez que se produzca algún cambio en el entorno.
La Empresa estará vigilando para procurar una alerta temprana de aquellas amenazas que puedan poner en riesgo la seguridad de las personas y de las infraestructuras de la Empresa.
9. ANÁLISIS DE RIESGOS
Todos los sistemas sujetos a esta Política de Seguridad deberán hacer un análisis de riesgo, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá periódicamente.
El análisis de riesgos se hará a través de un mapa de riesgos inherentes, en el que se evaluarán los riesgos brutos existentes antes de la aplicación de los controles de prevención, detección y mitigación, y a través de un mapa de riesgos residuales, en el que se evalúen de forma automatizada los riesgos netos existentes después de la aplicación de los controles.
En este sentido, para poder llevar a cabo de una manera eficaz una avaluación de los riesgos al detalle será necesario llevar a cabo la revisión del Registro de Actividades de Tratamiento, así como llevar a cabo un análisis de las afectaciones a los derechos y libertades de las personas físicas a través de la realización de evaluaciones de impacto, en caso de que sea necesario.
10. pautas PARA LA GESTIÓN Y MINIMIZACIÓN DE RIESGOS
A continuación, se describen las pautas que se aplican a actividades y recursos de WEARETESTERS, S.L., incluyendo áreas tales como la seguridad física, seguridad del personal, seguridad administrativa y seguridad de la red.
10.1. Seguridad de acceso lógico
El primer perímetro de protección de la seguridad será el de ordenadores de sobremesa y terminales situados en las dependencias de la Empresa. El acceso a los sistemas de información, equipos (servidores, ordenadores de sobremesa, terminales, portátiles, etc.) y aplicaciones de WEARETESTERS, S.L. requiere de un Usuario y una Contraseña.
El segundo nivel corresponderá a los dispositivos móviles: ordenadores portátiles, smartphones y tablets, entre otros y, el tercer nivel será el de las aplicaciones.
Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones.
Cada aplicación con información confidencial o datos personales gestionará la lista de usuarios y los perfiles y permisos de cada uno de ellos.
Los sistemas operativos y las aplicaciones utilizadas en el tratamiento dispondrán de mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados.
10.1.1.Acceso lógico de las personas a los sistemas informáticos
La entidad aplicará un sistema de doble factor de autenticación. Por un lado, el usuario será asignado por el Administrador del Sistema (Responsable de Seguridad Informática) y será el propio usuario quien asignará su propia contraseña Por otro lado, el usuario recibirá un código para validar dicha autenticación.
La contraseña siempre será ininteligible incluso para el Administrador. En caso necesario (p.e., que el USUARIO la haya olvidado), el Administrador del Sistema podrá forzar un proceso de cambio de contraseña por parte del Usuario sin necesidad de la anterior.
10.1.2.Control de acceso a datos y recursos
El Responsable de Seguridad Informática elaborará una relación actualizada de los Usuarios que tengan acceso autorizado al Sistema de información, los archivos físicos y sus aplicaciones.
Solo el Responsable de Seguridad Informática podrá conceder, alterar, o anular el acceso autorizado a los datos y recursos de WEARETESTERS, S.L.
El uso del identificador y la clave asignados a cada Usuario implicará la aceptación, como documento probatorio de la operación efectuada, de los registros generados en dichos archivos log y almacenados en el sistema informático de la Empresa. Salvo prueba en contrario, se presumirá que los actos que se lleven a cabo con el identificador y la clave asignados hayan sido llevados a cabo por el Usuario titular de los mismos.
La Empresa elaborará las normas y procedimientos que desarrollen, concreten y detallen las medidas de control indicadas en este apartado.
10.1.3.Sistemas operativos
Todos los Sistemas Operativos utilizados en los sistemas informáticos de WEARETESTERS, S.L. precisan de una validación y autenticación para su acceso y utilización.
10.1.4.Virus y Malware
Todos los ordenadores de WEARETESTERS, S.L. tendrán instalado un software antivirus y antimalware que se actualizará de forma periódica. En relación a los servidores, se realiza un control vía firewall.
También se dispondrá de firewalls que controlen el tráfico de red y que cuenten con detección de intrusiones no autorizadas.
Los usuarios serán informados puntualmente de las medidas básicas a tomar a fin de prevenir la entrada de virus y malware.
10.1.5.Gestión de Usuarios
El Responsable de Seguridad Informática custodia y actualiza la relación de todos los usuarios de la Red que tienen acceso autorizado al Sistema de información, con la delimitación de sus niveles de acceso de forma tal que garantice su confidencialidad e integridad. Asimismo, la Empresa realizará controles de acceso y monitorización de los sistemas informáticos puestos a disposición de los trabajadores a fin de proteger la información.
10.1.6.Limitación de acceso
Para acceder a los recursos informáticos es necesario tener asignada previamente una cuenta de usuario y estar dado de alta en los servidores de dominio. La autorización del acceso establecerá el perfil necesario con el que se configuren las funcionalidades y privilegios disponibles en las aplicaciones según las competencias de cada usuario, adoptando una política de asignación de privilegios mínimos necesarios para la realización de las funciones encomendadas.
En el círculo de personas autorizadas podrán incluirse temporalmente proveedores o clientes cuando haya una clara justificación para ello, una relación contractual que lo requiera o una obligación legal.
10.1.7.Seguridad wi-fi y redes inalámbricas
WEARETESTERS, S.L. aplicará las medidas adecuadas para proteger el acceso indebido a la wi-fi de la Entidad.
10.1.8.Servidores y soportes físicos
La entidad no dispone de servidores físicos. Toda la información confidencial, así como los datos de carácter personal se almacenan en servidores de proveedores externos que ofrecen un nivel adecuado de cumplimiento a lo que concierne a la protección de datos y de la seguridad de la información.
10.1.9.Copias de seguridad
La entidad realizará copias de seguridad en nube y abarcaran toda la información necesaria para recuperar el servicio en caso de corrupción o de pérdida de la información.
Tal información podrá incluir datos, programas, ficheros de configuración e, incluso, la imagen de algunos servidores.
Para todos los sistemas relevantes se definirán los estándares de seguridad, que incluirán, al menos, la siguiente información:
- Periodicidad de las copias de seguridad
- Periodos de retención de las copias
- Ubicación de los soportes de seguridad
- Procedimientos de recuperación de la información
- Procedimientos de restauración y verificación de la integridad de la información respaldada.
La realización de copias de seguridad de forma periódica permitirá a la Empresa disponer de su información en caso de destrucción de los equipos o errores producidos en los datos o las aplicaciones.
10.1.10.Autenticación
Los códigos de Usuarios y Contraseñas son personales e intransferibles, siendo el Usuario el único responsable de las consecuencias que puedan derivarse del mal uso, divulgación o pérdida de los mismos.
Se informará a todos los Usuarios que el uso del identificador y la clave asignadas implicará la aceptación, como documento probatorio de la operación efectuada, en los registros de los sistemas informáticos de la Empresa. También se pondrá en su conocimiento que, salvo prueba en contrario, se presumirá que los actos que se lleven a cabo con el identificador y la clave asignados habrán sido hechos por el Usuario titular de los mismos.
Las contraseñas de los usuarios autorizados se modificarán periódicamente. Durante el tiempo que estén vigentes, las contraseñas nunca serán visibles, y se almacenarán en ficheros del Servidor de forma ininteligible. Será competencia del Responsable de Seguridad Informática la verificación y actualización, en su caso, de los aspectos relativos a la renovación de contraseñas de acuerdo con las continuas mejoras que se realicen en los sistemas informáticos.
10.1.11.Ficheros temporales
Se considerarán ficheros temporales aquellos ficheros de trabajo creados por Usuarios o los procesos necesarios para un tratamiento ocasional, o como un paso intermedio, durante un tratamiento.
Los ficheros temporales y las copias de documentos que se hayan creado exclusivamente para los trabajos temporales o auxiliares deberán cumplir con el nivel de seguridad que les corresponda.
10.1.12.Uso de software con licencia
Todo el software autorizado que se utilice en los sistemas de información de WEARETESTERS, S.L. estará provisto de su correspondiente licencia de uso.
Periódicamente se harán auditorías aleatorias a equipos de los Usuarios para comprobar las aplicaciones instaladas.
10.1.13.Seguridad en el puesto de trabajo
Se informará a los trabadores de las normas establecidas por WEARETESTERS, S.L. que se deban aplicar en relación con la seguridad en el puesto de trabajo, entre las cuales se destacan el bloqueo automático de dispositivos que requiera activación a través de contraseña tras ciertos minutos de inactividad, así como la aplicación de una política de papel cero en las mesas de trabajo.
10.1.14.Teletrabajo
Solamente aquellos usuarios autorizados por WEARETESTERS, S.L., es decir los que cuenten con un acuerdo de teletrabajo firmado, con el fin de asegurar el cumplimiento de las normas laborales y de seguridad de la información, podrán acceder desde el exterior a sus equipos de sobremesa o a la red para trabajar desde fuera de las instalaciones. La conexión remota se hará a través de una conexión web a las aplicaciones y softwares de la entidad con la seguridad definida en los puntos anteriores, así como el control IP en relación a accesos a algunos servidores.
La Empresa extenderá y reforzará los controles establecidos en materia de seguridad de la información a los recursos corporativos TIC utilizados por los Usuarios en sus domicilios particulares.
La Empresa podrá elaborar normas y procedimientos que desarrollen, concreten y detallen las medidas de control indicadas en este apartado.
10.1.15.Dispositivos móviles
La Empresa establecerá las oportunas medidas de seguridad en los dispositivos móviles corporativos y en los dispositivos móviles personales autorizados para tener instaladas aplicaciones corporativas (BYOD).
Aquellos Usuarios que tuvieran asignados dispositivos móviles corporativos deberán cumplir las normas de uso específicas, y aplicar las correspondientes medidas de seguridad.
Los Usuarios de dispositivos BYOD también deberán cumplir las normas de uso específicas, y aplicar las correspondientes medidas de seguridad que deberán tener en cuenta la coexistencia de información personal e información corporativa en el mismo dispositivo.
10.1.16.Gestión de soportes
La Entidad dispone de un documento de entrega de dispositivos portátiles (p.e., portátiles, móviles, iPad’s, etc.). Asimismo, dispone de un “inventario de soportes”, donde se detallarán los Usuarios asignados a los mismos.
11. GESTIÓN DEL PERSONAL: CONCIENCIACIÓN Y FORMACIÓN
WEARETESTERS, S.L. tiene la obligación de conocer y cumplir la Política de Seguridad de la información y Protección de Datos. En este sentido el personal debe mantenerse formado e informado sobre sus deberes y obligaciones en materia de seguridad, esencialmente mediante los procedimientos de seguridad que en cada caso sean procedentes, además de cumplir con la normativa del uso de los activos físicos y digitales.
Las actuaciones del personal deberán ser supervisadas según los roles establecidos para verificar que se siguen los procedimientos definidos.
Las personas con responsabilidad en el uso, desarrollo de operaciones o administración de sistemas TIC recibirán formación para la utilización segura de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o responsabilidad en el mismo.
Cada trabajador será responsable de cumplir con esta política y los protocolos que se deriven según su puesto de trabajo, así como de notificar las incidencias de seguridad que se detecten.
12. GESTIÓN DE BRECHAS E INCIDENTES DE SEGURIDAD
Cualquier situación que pueda comprometer la confidencialidad, la integridad, la disponibilidad, la autenticidad o la trazabilidad de la información de la Empresa se considerará una brecha de seguridad.
La Empresa establecerá las medidas oportunas en materia de ciberseguridad, que incluirán la protección frente a amenazas que provengan de las redes de comunicaciones, tales como los ciberataques, los ataques de denegación de servicios, los accesos no autorizados y el secuestro de sistemas o ransomware, entre otros.
Cualquier persona que tenga conocimiento o sospecha de algún incidente que pudiera afectar a la seguridad de la información deberá comunicarlo inmediatamente a través de los canales establecidos para ello. La falta de comunicación de un incidente de seguridad será considerada una infracción laboral grave.
WEARETESTERS, S.L. dispone de un protocolo en el cual se define la sistemática seguida por la Empresa para la notificación y la gestión de incidentes y vulnerabilidades de seguridad con el propósito de asegurar que los incidentes de seguridad y las debilidades asociadas con los sistemas de información se registren y se traten convenientemente, mediante las oportunas actividades de reparación y resolución, y de la restauración de los niveles normales de funcionamiento de los servicios afectados, pudiendo adoptar acciones correctoras para eliminar sus causas y prevenirlos en un futuro.
13. Destrucción de la información
La destrucción de la información se realizará conforme los periodos de conservación establecidos en los requisitos normativos, legales y jurídicos que afecten a WEARETESTERS, S.L.
La información se destruirá de manera que se garantice la confidencialidad durante su proceso.
En el supuesto durante el proceso de conservación establecido, la información y los datos no son necesarios para la entidad, se procederá al bloqueo de los datos adoptando medidas técnicas y organizativas, para impedir su acceso, tratamiento y su visualización, excepto para la puesta a disposición de los datos a los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes.
14. AUDITORÍAS DE SEGURIDAD
Se deberá realizar una identificación periódica de vulnerabilidades técnicas de los sistemas de información y aplicaciones empleadas en la organización con el fin de detectar actividades sospechosas, obtener registros de accesos no exitosos o denegados, entre otras vulnerabilidades.
Una vez identificadas las vulnerabilidades, WEARETESTERS, S.L deberá aplicar las medidas correctoras necesarias tan pronto como sea posible. La identificación, gestión y corrección de las vulnerabilidades debe hacerse conforme a un enfoque basado en riesgos, teniendo en cuenta la criticidad y la exposición de los activos.
15. PROCESO DE APROBACIÓN Y REVISIÓN
Esta política se mantendrá actualizada con el fin de reflejar los cambios y mejoras realizados en materia de seguridad de la información y protección de datos. WEARETESTERS, S.L. realizará una verificación periódica de la aplicación de las medidas de prevención y control, y propondrá las oportunas modificaciones que se requieran en caso de detectar infracciones relevantes de esta política, cambios significativos, o cambios en los sistemas de información de la entidad.