Política de Seguridad de la Información

En esta política se recoge la información acerca de los tratamientos de datos realizados por ESAIL VITE S.L. (en adelante eSail IT solutions®) como encargado de tratamiento en los servicios a sus clientes que actúan como Responsables de Tratamiento de datos. Todo lo redactado en el presente documento se alinea con lo establecido en el Reglamento Europeo de Protección de datos GDPR 2016/679 y en la Ley Orgánica 03/2018 de Protección de Datos personales y Garantía de los Derechos Digitales, en lo referente a medidas de seguridad adquiridas y la comunicación a sus clientes. Además, el presente documento se ha elaborado conforme a los controles de seguridad y requerimientos de la legislación anterior.

El contenido de este documento es confidencial y sólo para uso de clientes/empresas que hayan contratado los servicios de eSail IT solutions®, por tanto, no puede ser publicado ni cedido a terceras partes privadas o públicas.

Objeto

eSail IT solutions® desarrolla un sistema de gestión de seguridad de la información con el fin de aportar garantías de seguridad en los tratamientos de datos de sus clientes en los servicios que les presta. Esta política sirve como instrumento de cumplimiento del principio de responsabilidad activa establecido por el Reglamento Europeo de Protección de Datos (UE) 2016/679.
Las medidas de seguridad que se describen a continuación se han desarrollado previa realización de un análisis de riesgos y de una evaluación de impacto de los sistemas de tratamiento de datos, infraestructura y software de eSail IT solutions®.
En eSail IT solutions® establecemos contratos de prestación de servicios con nuestros clientes; mantenemos una relación y comunicación constantes, para entender las necesidades de negocio de los clientes y conseguir los mejores índices de satisfacción con nuestros servicios.

Gestión de Software y Servicios

En eSail IT solutions®, realizamos servicios de desarrollo de software, mantenemos y desarrollamos productos propios como MIVE, What’sCity, Make Countertops también como Partner oficial de las plataformas BI de Qlik.

Contamos con certificado para las actividades de Diseño y Desarrollo de Soluciones Software, conforme a los requisitos de la norma ISO/IEC 27001:SI-0381/20 (para más información https://esail.es/).

Un objetivo fundamental y principal de eSail IT solutions® es proteger nuestra información y la de nuestros clientes, para ello cumplimos con controles de protección ante robos, pérdidas, manipulaciones o publicaciones por terceros no autorizados. Estos controles de seguridad y de calidad de servicios TIC, se basan en lo establecido en el Reglamento Europeo de Protección de Datos -UE- 2016/679, la Ley Orgánica 03/2018 de Protección de Datos personales y Garantía de Derechos Digitales, la Ley 34/2002 de Servicios de la Sociedad de la Información y Comercio Electrónico y el resto de legislaciones relacionadas con la actividad que desarrollamos en eSail IT solutions®.

Nuestro Sello de Calidad establece las siguientes bases en seguridad de la información: Gestión de la Configuración, Gestión de la Configuración del Software, Gestión de la infraestructura, Gestión de Riesgos y Gestión de la decisión.

Backup

eSail IT solutions® asegura la información con cierto nivel de relevancia, servidores, dispositivos de red para almacenamiento de información, archivos de configuración de dispositivos de red y seguridad, entre otros, de forma periódica realizando respaldos mediante mecanismos y controles adecuados que garantizan su identificación, protección, integridad y disponibilidad.

Tenemos establecido un plan de restauración de copias de seguridad que son probados a intervalos regulares con el fin de asegurar que son confiables en caso de emergencia y retenidas por un periodo de tiempo determinado.

eSail IT solutions® dispone procedimientos explícitos de respaldo y recuperación de la información que incluyan especificaciones acerca de la frecuencia, identificación y definirá conjuntamente con
los responsables los períodos de retención de la misma. Contamos con los recursos necesarios para permitir la identificación relacionada de los medios de almacenamiento, la información contenida en ellos y la ubicación física de los mismos para permitir un rápido y eficiente acceso a los medios que contienen la información resguardada.

El sitio externo donde se resguardan dichas copias, tiene los controles de seguridad adecuados, y cumplir con máximas medidas de protección y seguridad física apropiados.

Planes de Contingencia

eSail IT solutions®, disponemos de Planes de contingencia que garantizan que toda la información relevante de la empresa, es respaldada en diferentes localizaciones, y que dicha información está disponible y es fiable. Esta información es almacenada en varios sitios externos, y entre ellos está Microsoft Azure®.

Toda la infraestructura virtual de la empresa, está respaldada y probada. Al igual que los backup, cuentan con un plan de restauración de respaldos que son probados a intervalos regulares con el fin de asegurar que son confiables en caso de emergencia y son retenidas por un periodo de tiempo determinado.

Mecanismos de Seguridad

El centro de procesamiento de datos y espacio para equipos de TIC usados por eSail IT solutions®, se encuentra en áreas protegidas físicamente contra el acceso no autorizado, daño o interferencia y cumplen con las políticas de seguridad física.

Los PC’s se bloquean después de 3 minutos de inactividad, tras el cual, el usuario debe autenticarse antes de reanudar su actividad.

Para prevenir la pérdida de información, daño o los compromisos con los activos de información y la interrupción de las actividades de eSail IT solutions®, los equipos están conectados a la toma
regulada de respaldo destinada para tal fin.

Tenemos en cuenta los procesos de instalación y retirada del equipo, de tal manera que estos se realizan de forma controlada y segura. Disponemos de mecanismos de protección de los equipos, incluso cuando se utilizan fuera de la oficina, reduciendo el riesgo no autorizado de acceso a la información y como protección contra pérdida o robo.

eSail IT solutions® utiliza sistemas de cámara de vigilancia en las oficinas internas, con funciones de alarma.

Para el control de los equipos externos, en eSail IT solutions® se realiza un registro del material asignado a los usuarios, debiendo ser firmado por quien recibe dicho material.

Se dispone en todas las oficinas de eSail IT solutions® de sistemas de cortafuegos hardware para prevenir el acceso no autorizado y se establecen comunicaciones seguras entre las distintas sedes.

El acceso externo de los empleados de eSail IT solutions®, se realiza a través de dichos dispositivos, y así se aseguran dichas comunicaciones.

Comunicación y Operaciones

Con el objetivo de mantener un funcionamiento correcto y seguro del tratamiento de datos, en eSail IT solutions® se ha dispuesto una política concreta para la gestión de comunicaciones y operaciones.

Se han establecido para ello los siguientes controles:

Controles para establecimiento de responsabilidad y procedimientos, Controles de servicios por terceros, Planificación y aceptación del sistema con gestión de la capacidad, técnica y humana, Controles contra código malicioso en nuestros servidores y en nuestro entorno de producción, Controles y seguridad en los servicios de red, Control de seguridad en intercambios de información, Retirada de soportes, procedimiento de manipulación y seguridad en la documentación.

Proveedores

En eSail IT solutions® contamos actualmente con importantes proveedores a nivel tecnológico que garantizan soporte, seguridad, robustez y estabilidad, en los servicios de comunicaciones y hospedaje. En los cuales nos apoyamos para el desarrollo de nuestros servicios.

Mantenemos informados a nuestros clientes de la contratación de estos proveedores considerados como sub-encargados del tratamiento en los servicios que eSail IT solutions® les presta. Estos subencargados del tratamiento se comprometen a cumplir por escrito los mismos requisitos formales que eSail IT solutions® tiene comprometidos con sus clientes, en lo que se refiere a garantizar que el tratamiento de datos personales y los derechos de los usuarios afectados, se ajustan a la normativa vigente.

Software

La política específica de Seguridad en el desarrollo de software de eSail IT solutions®, se centra en construir código seguro, tanto en el entorno de aplicaciones, como en el de base de datos. Producción propia interna del software en los módulos del CORE de las plataformas, protección del código fuente mediante funcionalidades del Framework, archivos de configuración encriptados, separación de los entornos de desarrollo, testing, preproducción y producción, procedimientos de operación para el paso hacia distintos entornos, procedimiento definido de control de cambios, copias de seguridad y política de contingencia propia del entorno de desarrollo, traslado de experiencias, desarrollo profesional y formación continua a desarrolladores, seguridad en formularios de entrada de datos, procesamiento interno, integridad de los mensajes y validación de los datos de salida, seguridad en el front-end web, SQL injection, Cross Scripting, etc.

Acceso

En eSail IT solutions® se implementan medidas de seguridad aplicables según el caso, con el fin de evitar la adulteración, pérdida, fuga, consulta, uso o acceso no autorizado o fraudulento. El control de acceso de datos e información sensible se basa en el principio del menor privilegio, lo que implica que no se otorgan acceso a menos que sea explícitamente permitido.

Disponemos de procedimientos formales para controlar la definición de perfiles y la asignación de derechos de acceso a los usuarios, previamente definidos por el responsable del proceso. Dichos procedimientos deben cubrir todas las etapas del ciclo de vida del usuario, desde su registro inicial hasta la eliminación o desactivación del registro a quienes no necesiten el acceso. Se brinda atención y seguimiento especial, donde sea apropiado, a la necesidad del control de asignaciones de accesos privilegiados.

Los usuarios son autorizados por su responsable para el uso del sistema o servicio de información de eSail IT solutions®. Se verifica que el nivel de acceso otorgado es el adecuado para los propósitos de
la empresa, procurando una adecuada segregación de funciones.

A los colaboradores se les proporciona únicamente el acceso a los servicios para los que específicamente se les haya autorizado su uso. Se utilizan métodos apropiados de autenticación para el control de acceso a los usuarios remotos. Existen controles adicionales para el acceso por redes inalámbricas. Hay establecida una adecuada segregación de redes, separando los entornos de red de usuarios y los servicios.

El uso de programas que puedan ser capaces de invalidar los controles del sistema y de las aplicaciones, están restringidos y estrictamente controlados. Las sesiones inactivas se cierran después de un período de inactividad definido. Las cuentas de usuario de herramientas o productos que vengan por omisión son deshabilitadas inmediatamente después de la instalación de los sistemas o del software.

Comunicaciones

Se presta especial atención al manejo de la seguridad en redes, la cual puede extenderse más allá de los límites físicos de eSail IT solutions®. Disponemos de procedimientos y medidas especiales para proteger el paso de información sensible a redes de dominio público. eSail IT solutions® garantiza que los proveedores de servicios de red implementan medidas en cumplimiento con las
características de seguridad, acuerdos de niveles de servicio y requisitos de gestión.

Aplicamos controles especiales para salvaguardar la integridad y confidencialidad de los datos que pasan por redes públicas o redes inalámbricas y para proteger los sistemas y aplicaciones conectadas, garantizando la disponibilidad de los servicios de red y computadores conectados.

Quiebras de Seguridad

En el improbable caso de una quiebra de seguridad en eSail IT solutions® se notificará al cliente afectado, sin dilación indebida, y en cualquier caso antes del plazo máximo de 48 horas, y a través
del sistema de comunicación establecido, la brecha de seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia. No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades
de las personas físicas.

En dicha comunicación se facilitará, como mínimo, la información siguiente:

Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de intereses afectados, y las
categorías y el número aproximado de registros de datos personales afectados.
Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Análisis de Riesgos

En eSail IT solutions® se desarrolla un proceso formal interno de análisis de riesgos, que elabora un inventario de las posibles vulnerabilidades y amenazas sobre los activos de información. Realizamos de forma periódica un estudio del nivel de riesgo de nuestra infraestructura y de nuestros servicios, adoptando soluciones, implementando posibles salvaguardas y controles técnicos adecuados para minimizar estos posibles riesgos.

Compliance

En nuestros sistemas de información y procedimientos técnicos están identificados todos los requerimientos relacionados con la normativa actual de prestación de servicios de la Sociedad de la Información, de Propiedad Intelectual y de Protección de Datos personales. De esta manera eSail IT solutions® garantiza un estricto cumplimiento de las medidas de seguridad, procedimientos
y controles que rigen dichas normativas. La seguridad de los datos con los requerimientos legales adecuados se encuentra también en una constante mejora continua y aseguramiento de su calidad, mediante los procesos internos de auditoría y la revisión anual de las certificaciones que poseemos. La normativa de seguridad relativa a datos personales se rige y estipula hacia sus clientes bajo contrato de prestación de servicios y encargado de tratamiento en las cláusulas de privacidad y protección de datos personales, documentación que se realiza en la contratación de los servicios.

De la misma manera podemos garantizar que los usuarios autorizados para tratar datos personales se comprometen, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes. Estos usuarios son informados adecuadamente mediante sesiones de formación y concienciación, planificadas y dirigidas por nuestro Delegado de Protección de Datos.

Certificaciones

Certificado Nº SI-0381/20

Derechos de los Afectados

Usted tiene derecho a solicitar y obtener gratuitamente la información sobre sus datos de carácter personal sometidos a tratamiento, de su origen y de las comunicaciones que puedan afectar a los mismos. Los derechos de protección de datos que usted puede ejercitar son:

- Derecho de acceso, rectificación o supresión: Tiene derecho a acceder a sus datos personales, así como a solicitarnos la rectificación de los datos inexactos o, en su caso, su supresión cuando, entre otros motivos, los datos ya no sean necesarios para los fines que fueron recogidos.
- Derecho de oposición: En circunstancias concretas podrá oponerse al tratamiento de sus datos. En esos casos dejaremos de tratar los datos, salvo por motivos legítimos imperiosos o el ejercicio o la defensa de posibles reclamaciones.
- Derecho a la portabilidad de sus datos: Puede solicitarnos que sus datos personales automatizados sean cedidos o transferidos a cualquier otra entidad que nos indique. Se facilitarán en un formato estructurado, inteligible y automatizado.
- Derecho a solicitar la limitación de su tratamiento: En determinadas circunstancias, usted puede solicitar la limitación del tratamiento de sus datos.

Los usuarios pueden ejercitar los derechos indicados que les asisten, dirigiendo una comunicación por escrito al domicilio social de eSail IT solutions® en Alameda Principal, 7 2ª Planta, 29001 de Málaga o a través del correo electrónico de nuestro Delegado de Protección de Datos dpo@esail.es, incluyendo en ambos casos fotocopia de su DNI u otro documento identificativo similar haciendo constar su identidad junto con una imagen actualizada. Si considera que no hemos tratado sus datos personales de acuerdo a esta declaración, puede contactar con nuestro Delegado de Protección de Datos a través de los medios indicados. Aun así, le informamos que también puede presentar reclamación de manera directa ante la Autoridad de Control en www.agpd.es.

DPD

eSail IT solutions® cuenta con un delegado de protección de datos (DPD) nombrado y asignado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados y la práctica en materia de Protección de Datos y a su capacidad para desempeñar las funciones indicadas en la legislación actual de Protección de Datos. Su función es la de asesorarnos en materia de Protección de datos, supervisar su correcta aplicación, formar y concienciar a nuestros usuarios y proveedores y ser el punto de contacto de eSail IT solutions® con posibles reclamaciones y sugerencias de los interesados, así como actuar de enlace con la Autoridad de Control.