logo Deyde DataCentric by Accumin

Declaración de la Política de Seguridad de la Información y Privacidad

La Política de Seguridad de la Información y Privacidad establece las directrices y principios establecidos por Deyde Datacentric, s.l.u., en adelante Deyde Datacentric, conforme a lo establecido en la declaración de aplicabilidad, para garantizar la protección de la información, la privacidad y la protección de los datos personales objeto de tratamiento, así como el cumplimiento de los objetivos de seguridad definidos, asegurando así la confidencialidad, integridad y disponibilidad de los sistemas de información y por supuesto, garantizando el cumplimiento de todas las obligaciones legales aplicables, con especial foco en el cumplimiento de las normativas aplicables en materia de protección de datos.

La dirección de Deyde Datacentric, consciente de la importancia de la seguridad de la información y la privacidad en el ámbito laboral, asume y dispone los siguientes compromisos con respecto al Sistema de Gestión de Seguridad de la Información y Privacidad (SGSIP):

  1. Asegurar que se establecen objetivos de seguridad de la información y privacidad, siempre alineados con la estrategia de la empresa.
  2. Asegurar que los requisitos de seguridad y privacidad se integran en los procesos de la organización.
  3. Asegurar los recursos necesarios para el SGSIP.
  4. Comunicar la importancia de una gestión de la seguridad de la información eficaz y privacidad, conforme con los requisitos del SGSIP.
  5. Asegurar que el SGSIP consigue los resultados previstos.
  6. Dirigir y apoyar a las personas, para contribuir a la eficacia del SGSIP.
  7. Promover la mejora continua del SGSIP.
  8. Apoyar los roles pertinentes para demostrar su liderazgo aplicado a sus áreas de responsabilidad.
  9. Lograr el cumplimiento de la legislación y/o regulación aplicable en materia de protección de datos personales, con carácter enunciativo y no limitativo, los principios y disposiciones establecidas en el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD), así como de la ISO 27701.
  10. Asegurar el cumplimiento de los términos contractuales acordados entre la organización y sus socios, sus subcontratistas y los terceros correspondientes, como clientes, donde se cumpla el deber de información y se asignen claramente las responsabilidades aplicables a cada parte. Para ello, la dirección asegurará que el personal de Deyde Datacentric cumple con las normativas, políticas, procedimientos e instrucciones relativas a la seguridad de la información y privacidad.

Mediante el desarrollo de su Sistema de Gestión de Seguridad de la Información y privacidad, Deyde Datacentric pretende garantizar los siguientes objetivos de seguridad y privacidad:

  1. Asegurar la confidencialidad, integridad y disponibilidad de la información.
  2. Asegurar la privacidad y la protección de los datos personales tratados en el marco de los procesos y tratamientos de datos personales realizados.
  3. Cumplir todos los requisitos legales aplicables.
  4. Tener un plan de continuidad que permita recuperar los procesos y actividades ante un incidente, en el menor tiempo posible.
  5. Formar y concienciar a todos los empleados en materia de seguridad de la información y privacidad.
  6. Satisfacer las expectativas y necesidades en materia de seguridad de clientes, empleados, proveedores y demás partes interesadas.
  7. Gestionar adecuadamente todas las incidencias ocurridas.
  8. Todos los empleados serán informados de sus funciones y obligaciones de seguridad y privacidad son responsables de cumplirlas.
  9. Mejorar de forma continua el SGSIP y, por ende, la seguridad de la información y privacidad de la organización.

Para asegurar el correcto desempeño del Sistema de Gestión y cumplir con los objetivos y requisitos establecidos, la dirección de Deyde Datacentric ha designado un Responsable del SGSIP que velará por el cumplimiento de las directrices marcadas por la presente política.

Objetivos

El objeto de la presente política es establecer las directrices generales y el compromiso de la Dirección, con la finalidad de que la empresa gestione adecuadamente la seguridad de la información y privacidad.

Revisión de la Política de Seguridad de la Información y Privacidad

La política de seguridad de la información y privacidad, al igual que los procesos del Sistema de Gestión, son revisados regularmente a intervalos planificados o si ocurren cambios significativos para asegurar la continua idoneidad, eficacia y efectividad de esta. De forma genérica son revisados anualmente en el proceso de auditoría interna del Sistema de Gestión.

Existen procedimientos de monitorización que aportan información sobre el correcto desempeño del SGSIP.

La dirección también juega un importante papel en la revisión del sistema, realizando un profundo análisis del sistema y concretando posibles mejoras y deficiencias.

Comunicación de la Política de Seguridad de la Información y Privacidad

La política del sistema de gestión es comunicada internamente a través de correo electrónico y estará disponible en el Portal de Empleados.

Se mantendrá disponible la declaración de la presente política para las partes interesadas externas a Deyde Datacentric a través de la página web corporativa.

Aspectos específicos de Seguridad de la Información y Privacidad

A continuación, se disponen requisitos generales y directrices sobre aspectos concretos de la Seguridad de la información y privacidad. Estos requisitos deben ser conocidos y respetados por todos los empleados de Deyde Datacentric y ante cualquier duda, el interesado puede dirigirse directamente al Responsable del SGSIP para su resolución:

Dispositivos móviles

Cada usuario es responsable del adecuado uso y conservación de los dispositivos de usuario a su cargo. Deberá prevenir el robo o sustracción cuando se encuentre fuera de las instalaciones de la organización.

El usuario no debe en ningún caso alterar las medidas de seguridad configuradas.

Teletrabajo

En caso de realizar trabajo remoto, el empleado se asegurará de disponer de un entorno de trabajo adecuado y proteger los equipos, soportes, sistemas y demás recursos de los que es responsable.

El empleado no deberá permitir el acceso a los mismos a cualquier otra persona ajena a Deyde Datacentric.

Seguridad relativa a los Recursos humanos

Se asegurará que todos los empleados, contratistas y los terceros entienden sus responsabilidades y son adecuados para llevar a cabo las funciones que les corresponden, así como para reducir el riesgo de robo, fraude o de uso indebido de los recursos puestos a su disposición.

Se asegurará que todos los empleados, contratistas y los terceros son conscientes de las amenazas y problemas que afectan a la seguridad de la información y privacidad, así como de sus responsabilidades y obligaciones, y de que están preparados para cumplir la política de seguridad y privacidad de la organización en el desarrollo habitual de su trabajo, y para reducir el riesgo de error humano.

Se asegurará que todos los empleados, contratistas y los terceros abandonan la organización o cambian de puesto de trabajo de forma ordenada y sin comprometer la seguridad de la misma.

Gestión de activos

El uso de los sistemas de Deyde Datacentric quedará reservado para las actividades propias a desempeñar en su puesto de trabajo.

Se promoverá el uso responsable de los equipos, soportes, red y resto de recursos internos de la organización.

Será responsabilidad de los propios usuarios la correcta custodia de los activos que tengan en posesión para el desempeño de sus labores contractuales.

Asimismo, existe una normativa de usos aceptables en la organización que debe ser conocida por todos los empleados y puede consultarse en el Portal de Empleados.

Control de acceso

Se controlará el acceso a los sistemas de información de Deyde Datacentric para que solo sea realizado por personal autorizado y en las condiciones de seguridad y privacidad en que la organización ha decido operar.

Se asegurará el acceso de un usuario autorizado y se prevendrá el acceso de usuarios no autorizados a los sistemas de información de Deyde Datacentric.

Identificación y autentificación de los usuarios

En los casos en los que sea responsabilidad del usuario garantizar una contraseña segura para el acceso a algún sistema de información, se seguirán los siguientes criterios mínimos de seguridad:

  • El usuario será el encargado de modificar la contraseña en el momento de realizar el primer acceso al sistema, ya que se le solicitará automáticamente, caso contrario, será el usuario el encargado de realizar dicho cambio.
  • Se evitarán nombres comunes, números de matrículas de vehículos, teléfonos, nombres de familiares, amigos, etc. y derivados del nombre de usuario como permutaciones o cambio de orden de las letras, transposiciones, repeticiones de un único carácter, etc.
  • Las contraseñas usadas en cualquier sistema o servicio serán como mínimo de doce (12) caracteres, combinando letras, número y símbolos como ¡”·$%&/()=?¿.
  • Si se sospecha que la contraseña es conocida por otros usuarios, se procederá a informar al administrador de sistemas para su revocación y sustitución por una nueva.
  • Se debe bloquear el equipo cuando no vaya a ser usado, o usar mecanismos automáticos, no dejándolo nunca desatendido.
  • Se seguirá una política de puesto de trabajo despejado y mesas limpias, no dejando información confidencial o privada a la vista.
  • Se prohíben expresamente las siguientes actividades:
  • Acceder al sistema utilizando el identificador y la contraseña de otro usuario. Las responsabilidades de cualquier acceso realizado utilizando un identificador determinado, recaerán sobre el usuario al que hubiera sido asignado.
  • Compartir o facilitar el identificador de usuario y la contraseña para acceder a los sistemas de información a otra persona física, incluido el personal de Deyde Datacentric. En caso de incumplimiento de esta prohibición, el usuario será el único responsable de los actos realizados por la persona física que utilice de forma no autorizada el identificador del usuario.

Uso de Controles Criptográficos

Se prevendrá el acceso a la información no autorizado, para ello los soportes que contengan información de carácter personal o información sensible, tendrán que almacenarse en un entorno protegido y cifrado como Google Drive.

Seguridad Física y del Entorno

Se prevendrá todo tipo de acceso físico no autorizado, daños o intromisiones en las instalaciones y en la información de Deyde Datacentric. Para ello, se dispone del documento “SGSIP_A11_Seguridad física y del entorno” donde se especifican las medidas que se disponen.

Se tomarán las medidas de seguridad necesarias para evitar pérdidas, daños, robos o circunstancias que pongan en peligro los activos o que puedan provocar la interrupción de las actividades de Deyde Datacentric.

No se dejarán puestas llaves en puertas, armarios o cajones ni se dejarán puertas o ventanas abiertas cuando no haya nadie en la oficina.

Los portátiles serán llevados en todo momento con la persona asignada al uso del mismo, no dejándolos bajo ningún concepto en la oficina cuando dicha persona se ausente de la misma y esta quede vacía.

Puesto de trabajo despejado y pantalla limpia

El escritorio de trabajo deberá permanecer libre de información confidencial cuando el usuario no se encuentre en el lugar. Cualquier tipo de información en papel o soportes con datos confidenciales (datos de clientes, personales, etc.) deberán ser custodiados adecuadamente impidiendo el robo o sustracción de la información o información personal.

No se debe intentar cambiar la configuración de los equipos para evitar la suspensión de los mismos en caso de inactividad.

Uso Correcto de los Activos

Los equipos, móviles, soportes y resto de activos suministrados por Deyde Datacentric deberán utilizarse con la finalidad esperada.

No se deberá alterar la configuración por defecto de los activos entregados salvo que se indique lo contrario por parte del Responsable del SGSIP.

Será responsabilidad de los propios usuarios la correcta custodia de los activos que tengan en posesión para el desempeño de sus labores contractuales.

Queda terminantemente prohibido facilitar a persona alguna ajena a Deyde Datacentric ningún soporte conteniendo datos, a los que haya tenido acceso en el desempeño de sus funciones, sin la debida autorización.

La documentación en soporte papel deberá ser guardada y custodiada en sus archivos correspondientes. Cuando concluya la jornada laboral, el usuario deberá evitar dejar documentación encima de las mesas o fuera de sus lugares de archivo, que deberán permanecer cerrados con llave.

Asimismo, existe una normativa de usos aceptables en la organización que debe ser conocida por todos los empleados y puede consultarse en el Portal de Empleados.

Operaciones

Está permitido utilizar la información a la que tenga acceso en Deyde Datacentric únicamente en la forma exigida por el desempeño de sus funciones en la organización y no puede disponer de ella de ninguna otra forma o para otra finalidad diferente. 

Se prohíben expresamente las siguientes actividades: 

  • No está permitido instalar “motu proprio” ningún producto informático en el sistema de información de Deyde Datacentric. Todas aquellas aplicaciones necesarias para el desempeño de su trabajo serán instaladas únicamente por personal debidamente autorizado de la organización.
  • Intentar distorsionar o falsear los registros LOG del sistema. 
  • Utilizar el sistema para intentar acceder a áreas restringidas de los sistemas informáticos.
  • Intentar aumentar el nivel de privilegios de un usuario en los sistemas de información.
  • -Destruir, alterar, inutilizar o de cualquier otra forma dañar los datos, programas o documentos electrónicos de Deyde Datacentric o de terceros.
  • Introducir voluntariamente programas, virus, macros, applets, controles ActiveX o cualquier otro dispositivo lógico o secuencia de caracteres que causen o sean susceptibles de causar cualquier tipo de alteración en los sistemas informáticos de la entidad o de terceros.
  • El usuario tendrá la obligación de utilizar los programas antivirus y sus actualizaciones para prevenir la entrada en el sistema de cualquier elemento destinado a destruir o corromper los datos informáticos.
  • Introducir, descargar de Internet, reproducir, utilizar o distribuir programas informáticos no autorizados expresamente por Deyde Datacentric, o cualquier otro tipo de obra o material cuyos derechos de propiedad intelectual o industrial pertenezcan a terceros, cuando no se disponga de autorización para ello.
  • Instalar copias ilegales de cualquier programa, incluidos los corporativos.
  • Borrar sin autorización cualquiera de los programas instalados legalmente de Deyde Datacentric.
  • Queda prohibido utilizar los recursos del sistema de información a los que tenga acceso para uso privado o para cualquier otra finalidad diferente de las estrictamente laborales.
  • Queda terminantemente prohibido facilitar a persona alguna ajena a Deyde Datacentric ningún soporte conteniendo datos, a los que haya tenido acceso en el desempeño de sus funciones, sin la debida autorización.
  • Queda terminantemente prohibido utilizar ninguna información que hubiese podido obtener por su condición de empleado de Deyde Datacentric y que no sea necesario para el desempeño de sus funciones.
  • No podrán divulgar ni utilizar directamente ni a través de terceras personas o empresas, los datos, documentos, metodologías, claves, análisis, programas y demás información a la que tengan acceso durante su relación laboral con Deyde Datacentric, tanto en soporte material como electrónico. Todos los compromisos anteriores deben mantenerse, incluso después de extinguida la relación laboral con Deyde Datacentric.
  • Respecto a la documentación que se imprima, el usuario será responsable de su recogida, que deberá efectuarse con carácter inmediato, evitando el acceso a la documentación por usuarios no autorizados.
  • La documentación que no sea de utilidad para el usuario, deberá ser destruida utilizando para ello las destructoras de papel existentes.

Comunicaciones

Los usuarios de Internet deben esforzarse en hacer y promover un uso eficiente de las redes a fin de evitar tráfico innecesario en la red e interferencias con el trabajo de otros usuarios o con otras redes asociadas ni con los servicios que éstas ofrecen.

El uso de los sistemas informáticos de Deyde Datacentric para acceder a redes privadas o públicas se limitará a los temas directamente relacionados con la actividad y los cometidos del puesto de trabajo del usuario.

Se hará un uso responsable del correo electrónico, así como de la información transmitida a través de este medio, preservando su confidencialidad e integridad.

Cualquier fichero introducido en la red o en el terminal del usuario a través de mensajes de correo electrónico que provengan de redes externas deberá cumplir los requisitos establecidos en estas normas y, en especial, las referidas a propiedad intelectual e industrial y a control de virus o cualquier tipo de código malicioso.

Deyde Datacentric se reserva el derecho de revisar, con previo aviso, los mensajes de correo electrónico de los usuarios de la red y los archivos LOG del servidor, con el fin de comprobar el cumplimiento de estas normas y prevenir actividades que puedan afectar a la organización como responsable civil subsidiario, en virtud del artículo 20 del Estatuto de los Trabajadores que establece la adopción de medidas de seguridad por parte del empresario para velar por el cumplimiento de los deberes laborales del trabajador. 

Asimismo, se prohíben expresamente las siguientes actividades:

  • Intentar leer, borrar, copiar o modificar los mensajes de correo electrónico o archivos de otros usuarios.
  • Obstaculizar voluntariamente el acceso de otros usuarios a la red mediante el consumo masivo de los recursos informáticos y telemáticos de la empresa, así como realizar acciones que dañen, interrumpan o generen errores en dichos sistemas.  
  • Enviar mensajes de correo electrónico de forma masiva o con fines comerciales o publicitarios sin el consentimiento de Deyde Datacentric.
  • Utilizar los recursos telemáticos de Deyde Datacentric, incluido el acceso a la red Internet, para actividades que no se hallen directamente relacionadas con el puesto de trabajo del usuario.
  • Enviar o reenviar mensajes en cadena o de tipo piramidal.

Gestión de incidencias

Toda incidencia en materia de seguridad deberá comunicarse, siguiendo el procedimiento establecido. Dicha notificación será realizada a través de JIRA.

Una vez recibida el Responsable de Seguridad y Privacidad, junto con el Delegado de Protección de Datos, será el encargado de darle seguimiento, completar las notificaciones establecidas en el procedimiento correspondiente, establecer las acciones para su corrección y comunicar al usuario la resolución o estado de la misma.

Cumplimiento Legal

Se evitará cualquier tipo de incumplimiento de las leyes u obligaciones legales, reglamentarias o contractuales y de los requisitos de seguridad que afecten a los sistemas de información de Deyde Datacentric.

Queda estrictamente prohibido el uso de programas informáticos sin la correspondiente licencia, así como el uso, reproducción, cesión, transformación o comunicación pública de cualquier tipo de obra o invención protegida por la propiedad intelectual o industrial.

Todos los trabajadores implicados en el alcance deben conocer y asumir esta normativa. En caso de detectarse una violación de seguridad que incumpla la normativa aquí descrita se aplicarán las sanciones pertinentes según indicar la ley o reglamento aplicable.

Se evitará cualquier tipo de incumplimiento de las leyes u obligaciones legales, reglamentarias o contractuales y de los requisitos de seguridad que afecten a los sistemas de información de la empresa Deyde DataCentric

Inteligencia de Amenazas

La seguridad de la información y la protección de los activos digitales son aspectos críticos para Deyde Datacentric. En un entorno cada vez más complejo y con amenazas en constante -Devolución, es imperativo establecer medidas efectivas para reducir riesgos y resguardar nuestra infraestructura.

La Estrategia de Inteligencia de Amenazas Deyde Datacentric ha sido elaborada con el propósito de establecer un sólido marco para la recopilación, análisis, difusión y aprovechamiento de la información sobre amenazas. Esta estrategia, conocida como Estrategia de Inteligencia de Amenazas, establece las pautas y los procedimientos necesarios para adquirir datos valiosos sobre potenciales riesgos, evaluar su relevancia y aplicar medidas preventivas y correctivas adecuadas.

Seguridad de información para los servicios en la nube

Deyde Datacentric se compromete a garantizar la seguridad de la información y privacidad de los datos personales que gestionamos a través de servicios en la nube. Nuestra política de uso responsable de servicios en la nube se enfoca en salvaguardar la confidencialidad, integridad, disponibilidad y privacidad de estos datos, mientras implementamos medidas de seguridad sólidas.

Para lograrlo, hemos establecido procedimientos de autenticación sólidos, que incluyen la autenticación de doble factor (2FA), y restringimos el acceso a personal autorizado mediante firewalls y estrictos controles de acceso. Además, seguimos las mejores prácticas y directrices recomendadas para configurar adecuadamente los servicios en la nube, con un enfoque especial en proteger los datos personales.

La separación efectiva entre los entornos de desarrollo y producción es esencial para minimizar riesgos, por lo que aplicamos rigurosos controles de acceso y seguimos una política de Gestión de Accesos claramente definida. Además, realizamos evaluaciones periódicas de vulnerabilidades en nuestra infraestructura de nube con herramientas actualizadas, lo que nos permite identificar y abordar de manera oportuna posibles debilidades tanto en la seguridad como en la privacidad de datos.

Consideraciones específicas de protección de datos

Consciente de la importancia de proteger la privacidad de los datos personales cuya gestión se le ha encomendado, está comprometida en cumplir escrupulosamente con lo dispuesto a continuación:

Principio de responsabilidad Proactiva: De acuerdo con el principio de responsabilidad proactiva, se llevará a cabo un exhaustivo análisis de todos los datos personales que se tratan en la entidad, de las finalidades de cada tratamiento de datos personales que se efectúa, y el tipo de operaciones de tratamiento que las mismas conllevan. En consecuencia, se establecerán de forma explícita todas aquellas medidas de seguridad necesarias para proteger los datos personales, asegurando que sean las adecuadas para garantizar la protección de los mismos.

Protección de datos desde el diseño y por defecto: Deyde Datacentric definirá e implementará todas las medidas técnicas y organizativas necesarias para salvaguardar la privacidad de los datos de los interesados desde el inicio de cada uno de los tratamientos (Protección de datos desde el diseño). Asimismo, la entidad garantiza que, por defecto, únicamente serán objeto de tratamiento aquellos datos personales necesarios para cada finalidad específica del tratamiento.

Evaluación de impacto relativa a la protección de datos: En aquellos casos en que un tipo de tratamiento entrañe un alto riesgo para los derechos y libertades de los interesados, se realizará una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales.

Registro de Actividades de tratamiento: Deyde Datacentric se compromete a velar por la actualización del registro de actividades de tratamiento, donde se identificará, entre otros: los fines del tratamiento, una descripción de las categorías de interesados y de las categorías de datos personales, las categorías de destinatarios a quienes se comunican los datos personales, las transferencias de datos a otras entidades y la descripción general de las medidas técnicas y organizativas de seguridad aplicadas el tratamiento.

Transparencia e información a los interesados: Todo tratamiento de datos personales será transparente en relación con los interesados, facilitándole la información sobre el tratamiento de sus datos de forma comprensible y accesible, cuando así lo exija la ley aplicable. En este sentido se informará, entre otros aspectos, sobre la identidad y datos de contacto del responsable y del DPD, fines del tratamiento, los destinatarios, transferencias internacionales y los derechos de los interesados.

Derechos de los interesados: Deyde Datacentric, como responsable de tratamiento, facilitará a los interesados el ejercicio de sus derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición; estableciendo los procedimientos internos que resulten necesarios para satisfacer los requisitos legales aplicables. En esta misma línea, posibilitará la presentación de solicitudes de manera sencilla, por medios electrónicos, especialmente cuando el tratamiento se realiza por estos medios.

Encargados de tratamiento: Aquellos colaboradores que accedan y traten datos de carácter personal responsabilidad de Deyde Datacentric deberán gestionar los datos únicamente siguiendo las instrucciones de Deyde Datacentric, que deberán constar por escrito, mediante contrato o documento jurídico que vincule a ambas partes, de modo que el encargado de tratamiento adopte las medidas necesarias para garantizar la privacidad de los datos personales y esté en condiciones de demostrar dicho cumplimiento en caso de que sea exigible.

Notificaciones de Seguridad: Deyde Datacentric, con el fin de velar por la transparencia en la gestión de datos personales, establecerá un procedimiento de notificaciones de brechas de seguridad aplicable en caso de que se produzca una violación de la seguridad que afecte a datos personales y suponga un riesgo para los derechos y libertades de los afectados. Deyde Datacentric se compromete a notificar la brecha de seguridad en el plazo de 72 horas desde que se tenga constancia del suceso.

info@datacentric.es

Suscríbete a nuestra newsletter

Madrid

Tel. Centralita. +34 91 382 20 00
At. Comercial. +34 91 382 20 02

Barcelona

Tel. +34 93 467 48 00

Lisboa

Tel. +34 91 382 20 02

México

Tel. +52 55 3005 7094

Tel. 2 +52 55 67830443

Colombia

Tel. +52 55 3005 7094

Tel. 2 +52 55 67830443

Chile

Tel. +52 55 3005 7094

Tel. 2 +52 55 67830443

Deyde DataCentric en las redes

logo X
logo linkedin
icono youtube con color corporativo

Accumin es una compañía líder, global e independiente que se centra en la tasación y consutoría inmobiliaria, software e inteligencia, y gestión de riesgo.

Conoce más sobre Accumin aquí 

Accumin en las redes

logo X   logo linkedin   logo youtube

Aenoriso 9001
Aenor 27001
certificado aenor gestión ambiental
DeydeDataCentric logo footer
logo Accumin