Política de Seguridad de la Información

En esta política se pretende dar información acerca de los tratamientos de datos realizados por ESAIL VITE S.L. (en adelante eSail It’Solutions®) como encargado de tratamiento en los servicios a sus clientes que actúan como Responsables de Tratamiento de datos. Todo lo redactado en el presente documento se alinea con lo establecido en el Reglamento Europeo de Protección de datos GDPR 2016/679 y en la Ley Orgánica 03/2018 de Protección de Datos personales y Garantía de los Derechos Digitales, en lo referente a medidas de seguridad adquiridas y la comunicación a sus clientes. Además, el presente documento se ha elaborado conforme a los controles de seguridad y requerimientos de la legislación anterior.

El contenido de este documento es confidencial y sólo para uso de clientes/empresas que hayan contratado los servicios de eSail It’Solutions®, por tanto, no puede ser publicado ni cedido a terceras partes privadas o públicas.

Objeto

eSail It’Solutions® desarrolla un sistema de gestión de seguridad de la información con el fin de aportar garantías de seguridad en los tratamientos de datos de sus clientes en los servicios que les presta. Esta política sirve como instrumento de cumplimiento del principio de responsabilidad activa establecido por el Reglamento Europeo de Protección de Datos (UE) 2016/679.

Las medidas de seguridad que se describen a continuación se han desarrollado con previa realización de un análisis de riesgos y de una evaluación de impacto de los sistemas de tratamiento de datos, infraestructura y software de eSail It’Solutions®.

eSail It’Solutions® establece contratos de prestación de servicios con sus clientes; mantiene una relación y comunicación constantes, para entender las necesidades de negocio de sus clientes y conseguir los mejores índices de satisfacción con sus servicios.

Gestión de Software y Servicios

eSail It’Solutions®, desarrolla servicios TIC a través de nuestras plataformas propias MIVE y What’sCity. También somos Partners oficial de las soluciones BI de Qlik. Contamos con el certificado Nº CVS-0004/18 de Modelo de Mejora y Evaluación de la Calidad del Ciclo de Vida del Software, para las actividades de Diseño y Desarrollo de Soluciones Software y procesos para aplicaciones standard y a medida, conforme a los requisitos de la norma ISO/IEC 15504 Nivel 3, según los procesos seleccionados de la norma IS0 12207:2008 y evaluado mediante ISO/IEC 15504-2 y ISO/IEC 15504-7. (para más información https://esail.es).

Proteger nuestra información y la de nuestros clientes es el principal objetivo en eSail It’Solutions®, para ello cumplimos con controles de protección ante robos, pérdidas, manipulaciones o publicaciones por terceros no autorizados. Estos controles de seguridad y de calidad de servicios TIC, se basan en lo establecido en el Reglamento Europeo de Protección de Datos -UE- 2016/679, la Ley Orgánica 03/2018 de Protección de Datos personales y Garantía de Derechos Digitales, la Ley 34/2002 de Servicios de la Sociedad de la Información y Comercio Electrónico y el resto de legislaciones relacionadas con la actividad que desarrolla eSail It’Solutions®.

Nuestro Sello de Calidad establece las siguientes bases en seguridad de la información: Gestión de la Configuración, Gestión de la Configuración del Software, Gestión de la infraestructura, Gestión de Riesgos y Gestión de la decisión.

Backup

eSail It’Solutions® asegura la información con cierto nivel de relevancia, servidores, dispositivos de red para almacenamiento de información, archivos de configuración de dispositivos de red y seguridad, entre otros, de forma periódicamente realizando respolados mediante mecanismos y controles adecuados que garantizan su identificación, protección, integridad y disponibilidad.

Tenemos establecido un plan de restauración de copias de seguridad que son probados a intervalos regulares con el fin de asegurar que son confiables en caso de emergencia y retenidas por un periodo de tiempo determinado.

eSail It’Solutions® dispone de procedimientos explícitos de respaldo y recuperación de la información que incluyan especificaciones acerca de la frecuencia, identificación y definirá conjuntamente con los responsables los períodos de retención de la misma. Contamos con los recursos necesarios para permitir la identificación relacionada de los medios de almacenamiento, la información contenida en ellos y la ubicación física de los mismos para permitir un rápido y eficiente acceso a los medios que contienen la información resguardada.

El sitio externo donde se resguardan dichas copias, tiene los controles de seguridad adecuados, y cumplir con máximas medidas de protección y seguridad física apropiados.

Planes de Contingencia

eSail It’Solutions® dispone de Planes de contingencia que garantizan que toda la información relevante de la empresa, es respaldada en diferentes localizaciones, y que dicha información está disponible y es fiable. Esta información es almacenada en varios sitios externos, y entre ellos está Microsoft Azure®.

Toda la infraestructura virtual de la empresa, está respaldada y probada. Al igual que los backup, cuentan con un plan de restauración de respaldos que son probados a intervalos regulares con el fin de asegurar que son confiables en caso de emergencia y retenidas por un periodo de tiempo determinado.

Mecanismos de Seguridad

El centro de procesamiento de datos y cuarto de equipos de TIC usados por eSail It’Solutions®, se encuentra en áreas protegidas físicamente contra el acceso no autorizado, daño o interferencia y cumplen con las políticas de seguridad física.

Los PC’s se bloquean después de 3 minutos de inactividad, tras el cual, el usuario debe autenticarse antes de reanudar su actividad.

Para prevenir la pérdida de información daño o el compromiso de los activos de información y la interrupción de las actividades de eSail It’Solutions®, los equipos están conectados a la toma regulada de respaldo destinada para tal fin.

Tenemos en cuenta los procesos de instalación y retirada del equipo, de tal manera que estos se realizan de forma controlada y segura. Disponemos de mecanismos de protección de los equipos, incluso cuando se utilizan fuera de la oficina, reduciendo el riesgo no autorizado de acceso a la información y como protección contra pérdida o robo.

eSail It’Solutions® utiliza sistemas de cámara de vigilancia en las oficinas internas, con funciones de alarma.

Para el control de los equipos externos, eSail It’Solutions® realiza un registro del material asignado a los usuarios, debiendo ser firmados por el usuario que adquiere dicho material.

eSail It’Solutions® dispone en todas sus oficinas de sistemas de cortafuegos hardware para prevenir el acceso no autorizado y establece comunicaciones seguras entre las distintas sedes. El acceso externo de los empleados de eSail It’Solutions®, se realizará a través de dichos dispositivos, y así asegurar dichas comunicaciones.

Comunicación y Operaciones

Con el objetivo de mantener un correcto funcionamiento y seguro del tratamiento de datos, eSail It’Solutions® ha dispuesto una política concreta para la gestión de comunicaciones y operaciones.

Se han establecido para ello los siguientes controles: Controles para establecimiento de responsabilidad y procedimientos, Controles de servicios por terceros, Planificación y aceptación del sistema con gestión de la capacidad, técnica y humana, Controles contra código malicioso en nuestros servidores y en nuestro entorno de producción, Controles y seguridad en los servicios de red, Control de seguridad en intercambios de información, Retirada de soportes, procedimiento de manipulación y seguridad en la documentación.

Proveedores

En eSail It’Solutions® contamos actualmente con importantes proveedores a nivel tecnológico que garantizan soporte, seguridad, robustez y estabilidad, en los servicios de comunicaciones y hospedaje. En los cuales nos apoyamos para desarrollo de nuestros servicios.

eSail It’Solutions® mantiene informado a sus clientes de la contratación de estos proveedores considerados como sub-encargados de tratamiento en los servicios que eSail It’Solutions® les presta. Estos sub-encargados de tratamiento se comprometen a cumplir por escrito los mismos requisitos formales que eSail It’Solutions® tiene comprometidos con sus clientes, en lo que se refiere a garantizar que el tratamiento de datos personales y los derechos de los usuarios afectados, se ajustan a la normativa vigente.

Software

La política específica de Seguridad en el desarrollo de software de eSail It’Solutions®, se centra en construir código seguro, tanto en el entorno de aplicaciones, como en el de base de datos. Producción propia interna del software en los módulos del CORE de las plataformas, protección del código fuente mediante funcionalidades del Framework, archivos de configuración encriptados, separación entornos de desarrollo, testing, preproducción y producción, procedimientos de operación para el paso hacia distintos entornos, procedimiento definido de control de cambios, copias de seguridad y política de contingencia propia del entorno de desarrollo, Expertise, desarrollo profesional y formación continua a desarrolladores, seguridad en formularios de entrada de datos, procesamiento interno, integridad de los mensajes y validación de datos de salida, seguridad en el front-end web, SQL injection, Cross Scripting, etc.

Acceso

eSail It’Solutions® implementa medidas de seguridad aplicables según el caso, con el fin de evitar la adulteración, pérdida, fuga, consulta, uso o acceso no autorizado o fraudulento. El control de acceso de datos e información sensible se basan en el principio del menor privilegio, lo que implica que no se otorgan acceso a menos que sea explícitamente permitido.

Disponemos de procedimientos formales para controlar la definición de perfiles y la asignación de derechos de acceso a los usuarios, previamente definidos por el responsable del proceso. Dichos procedimientos cubren todas las etapas del ciclo de vida del usuario, desde su registro inicial hasta la eliminación o desactivación del registro a quienes no necesiten el acceso. Se brinda atención y seguimiento especial, donde sea apropiado, a la necesidad del control de asignaciones de accesos privilegiados.

Los usuarios son autorizados por su responsable para el uso del sistema o servicio de información de eSail It’Solutions®. Se verifica que el nivel de acceso otorgado es el adecuado para los propósitos de la empresa y conservando una adecuada segregación de funciones.

Únicamente se proporciona a los colaboradores el acceso a los servicios para los que específicamente se les haya autorizado su uso. Se utilizan métodos apropiados de autentificación para el control de acceso a los usuarios remotos. Existen controles adicionales para el acceso por redes inalámbricas. Hay establecida una adecuada segregación de redes, separando los entornos de red de usuarios y los servicios.

El uso de programas que puedan ser capaces de invalidar los controles del sistema y de la aplicación, están restringidos y estrictamente controlados. Las sesiones inactivas se cierran después de un período de inactividad definido. Las cuentas de usuario de herramientas o productos que vengan por omisión son deshabilitar inmediatamente después de la instalación de los sistemas o software.

Comunicaciones

Se presta atención especial al manejo de la seguridad en redes, la cual puede extenderse más allá de los límites físicos de eSail It’Solutions®. Disponemos de procedimientos y medidas especiales para proteger el paso de información sensible a redes de dominio público. eSail It’Solutions® garantiza que los proveedores de servicios de red implementan medidas en cumplimiento con las características de seguridad, acuerdos de niveles de servicio y requisitos de gestión.

Aplicamos controles especiales para salvaguardar la integridad y confidencialidad de los datos que pasan por redes públicas o redes inalámbricas y para proteger los sistemas y aplicaciones conectadas, garantizando la disponibilidad de los servicios de red y computadores conectados.

 

Quiebras de seguridad

En el improbable caso de una quiebra de seguridad, eSail It’Solutions® notificará a su cliente afectado, sin dilación indebida, y en cualquier caso antes del plazo máximo de 48 horas, y a través de nuestros sistemas de comunicación habituales establecidos, la brecha de seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia. No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

En dicha comunicación se facilitará, como mínimo, la información siguiente:

• Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.

• Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.

• Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Análisis de riesgos

eSail It’Solutions® desarrolla un proceso formal interno de análisis de riesgos, que elabora un inventario de las posibles vulnerabilidades y amenazas sobre los activos de información. Realizamos de forma periódica un estudio del nivel de riesgo de nuestra infraestructura y de nuestros servicios, adoptando soluciones, implementando posibles salvaguardas y controles técnicos adecuados para minimizar estos posibles riesgos.

Compliance

En nuestros sistemas de información y procedimientos técnicos están identificados todos los requerimientos relacionados con la normativa actual de prestación de servicios de la Sociedad de la Información, de Propiedad Intelectual y de Protección de Datos de carácter personal. De esta manera eSail It’Solutions® garantiza un estricto cumplimiento de las medidas de seguridad, procedimientos y controles que rigen dichas normativas. La seguridad de los datos con los requerimientos legales adecuados se encuentra también en una constante mejora continua y aseguramiento de su calidad, mediante los procesos internos de auditoría y la revisión anual de las certificaciones que poseemos. La normativa de seguridad relativa a datos personales se rige y estipula hacia sus clientes bajo contrato de prestación de servicios y encargado de tratamiento en las cláusulas de privacidad y protección de datos personales, documentación que se realiza en la contratación de los servicios.

De la misma manera podemos garantizar que los usuarios autorizados para tratar datos personales se comprometen, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes. Estos usuarios son informados adecuadamente mediante sesiones de formación y concienciación, planificadas y dirigidas por nuestro Delegado de Protección de Datos.

Certificaciones

Contamos con el certificado Nº CVS-0004/18 de Modelo de Mejora y Evaluación de la Calidad del Ciclo de Vida del Software, para las actividades de Diseño y Desarrollo de Soluciones Software y procesos para aplicaciones standard y a medida, conforme a los requisitos de la norma ISO/IEC 15504 Nivel 3, según los procesos seleccionados de la norma IS0 12207:2008 y evaluado mediante ISO/IEC 15504-2 y ISO/IEC 15504-7. (para más información https://esail.es).

Derechos de los Afectados

Usted tiene derecho a solicitar y obtener gratuitamente información sobre sus datos de carácter personal sometidos a tratamiento, de su origen y de las comunicaciones que puedan afectar a los mismos. Los derechos de protección de datos que usted puede ejercitar son:

• Derecho de acceso, rectificación o supresión: Tiene derecho a acceder a sus datos personales, así como a solicitarnos la rectificación de los datos inexactos o, en su caso, su supresión cuando, entre otros motivos, los datos ya no sean necesarios para los fines que fueron recogidos.

• Derecho de oposición: En circunstancias concretas podrá oponerse al tratamiento de sus datos. En esos casos dejaremos de tratar los datos, salvo por motivos legítimos imperiosos o el ejercicio o la defensa de posibles reclamaciones.

• Derecho a la portabilidad de sus datos: Puede solicitarnos que sus datos personales automatizados sean cedidos o transferidos a cualquier otra entidad que nos indique. Se facilitarán en un formato estructurado, inteligible y automatizado.

• Derecho a solicitar la limitación de su tratamiento: En determinadas circunstancias, usted puede solicitar la limitación del tratamiento de sus datos, en cuyo caso únicamente las reclamaciones.

Los usuarios pueden ejercitar los derechos indicados que les asisten, dirigiendo una comunicación por escrito al domicilio social de eSail It’Solutions® en Alameda Principal, 32 2º B, 29005 de Málaga o a través del correo electrónico de nuestro Delegado de Protección de Datos dpo@esail.esdpo@esail.es, incluyendo en ambos casos fotocopia de su DNI u otro documento identificativo similar haciendo constar su identidad junto con una imagen actualizada. Si considera que no hemos tratado sus datos personales de acuerdo a esta declaración, puede contactar con nuestro Delegado de Protección de Datos a través de los medios indicados. Aun así, le informamos que también puede presentar reclamación de manera directa ante la Autoridad de Control en www.agpd.es.

DPD

eSail It’Solutions® cuenta con un delegado de protección de datos (DPD) nombrado y asignado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados y la práctica en materia de Protección de Datos y a su capacidad para desempeñar las funciones indicadas en la legislación actual de Protección de Datos. Su función es la de asesorarnos en materia de Protección de datos, supervisar su correcta aplicación, formar y concienciar a nuestros usuarios y proveedores y ser el punto de contacto de eSail It’Solutions® con posibles reclamaciones y sugerencias de los interesados, así como actuar de enlace con la Autoridad de Control.

Share This