Prueba

Política de seguridad

El grupo EVICERTIA es un Prestador de Servicios de Confianza y la seguridad es parte principal del objeto social y de su negocio.

EVICERTIA es consciente de la necesidad de la protección de los servicios que presta y de la información que custodia, así como del compromiso de mantener, mediante principios de gestión del riesgo, calidad, sostenibilidad y mejora continua, un entorno de máxima seguridad y garantía jurídica.

La DIRECCIÓN de EVICERTIA establece los siguientes objetivos:

  • Garantizar que los riesgos se mantienen en su nivel aceptable buscando un equilibrio entre los controles de seguridad, el contexto de amenazas y la naturaleza de cada activo, siguiendo principios de gestión del riesgo y de proporcionalidad.
  • Asegurar el cumplimiento de la legislación, el cumplimiento de las medidas de seguridad derivadas de esta política, así como el cumplimiento de cualquier otro requisito de negocio, sectorial o contractual, que afecten a la seguridad, en especial los requisitos relacionados con la protección de datos de carácter personal.
  • Proteger todos los recursos frente amenazas internas o externas, deliberadas o accidentales, siguiendo principios de confidencialidad, integridad y disponibilidad.
  • Mejorar de forma continua el grado de eficacia de los controles de seguridad implantados para soportar una adaptación a la constante evolución del riesgo y del entorno tecnológico, incluyendo la actualización de la Política.
  • Generar un ambiente de trabajo donde se conciencie, reconozca y se implique con estos objetivos, a través de la comunicación de la Política y su entendimiento, fomentando la participación, involucración y el sentido de la responsabilidad de cumplir esta Política y la normativa según aplique a cada puesto de trabajo.

Para garantizar el cumplimiento de estos objetivos, se implanta un Sistema de Gestión de la Seguridad de la Información (en adelante SGSI) que debe cumplir los siguientes requisitos:

  • Aceptar como activos de la organización, los diferentes servicios de aplicaciones de EVICERTIA como los servicios de firma electrónica, correo certificado, y custodia, incluyendo la información recibida de las partes interesadas, las evidencias generadas, así como los sistemas y redes que la soportan.
  • Cumplir con las necesidades y expectativas de las partes interesadas involucradas en el alcance del SGSI, que debe contemplar clientes, proveedores, empleados, socios y organismos reguladores.
  • Definir y aplicar un proceso de gestión de riesgos de seguridad que permita identificar, analizar y evaluar mediante criterios de aceptación su tratamiento, permitiendo alcanzar los niveles de seguridad necesarios que certifiquen de forma rentable la protección de los activos.
  • Implantar controles y medidas de seguridad orientadas a garantizar la Disponibilidad, Integridad y Confidencialidad de la información, cuyo alcance debe definirse mediante una Declaración de Aplicabilidad, y debe incluir al menos:
    • Un plan de comunicación y de concienciación
    • La gestión de incidentes en materia de seguridad
    • Controles de acceso y gestión de usuarios
    • Controles de seguridad en redes y comunicaciones
    • Controles de seguridad en las operaciones
    • Controles de seguridad en el desarrollo
    • Controles de seguridad criptográficos
  • Asignar de forma eficaz los recursos y establecer las responsabilidades que permitan coordinar las actividades relacionadas con la Seguridad de la Información de la organización, así como de los elementos que se encuentren dentro del alcance del SGSI, permitiendo conseguir de esta manera una mejora continua del SGSI.
  • Evolucionar y mejorar de forma continua el SGSI, con el fin de adecuarse a las exigencias de las partes interesadas, mediante:
    • Revisión continua del SGSI.
    • Establecimiento de un proceso de revisión de la seguridad mediante un proceso de análisis de riesgos.
    • Establecimiento de indicadores que permitan medir y comparar el grado de evolución de la seguridad.
    • Formación, concienciación y capacitación del personal de EVICERTIA.
    • Ejecución de un proceso de auditoría de seguridad, que permita conocer el grado de cumplimiento de los indicadores de seguridad.

La responsabilidad del SGSI recaerá sobre el Responsable de Seguridad, siendo responsabilidad última de la DIRECCIÓN como máximo responsable de la seguridad de la información.

 

En Madrid, a 19 de Abril de 2018

Jacobo van Leeuwen García

Consejero Delegado