Texto aprobado el día 12 de diciembre de 2023 por la Dirección. Esta Política de Seguridad de la Información es efectiva desde dicha fecha y hasta que sea reemplazada por una nueva Política.
Este documento expone la Política de Seguridad de las entidades del Buangh InStyle Design Group LLC, y de todas las divisiones cuales pertenecen al "Grupo Buangh InStyle Design Group LLC" que asumen como propia esta Política de Seguridad como el conjunto de principios básicos y líneas de actuación a los que ambas organizaciones se comprometen, en el marco de las normas vijentes. En adelante en el documento nos referiremos a las entidades como "la organización".
La organización depende de los sistemas informaticas para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o los servicios prestados.
La información es un activo crítico, esencial y de un gran valor para el desarrollo de la actividad de la organización. Este activo debe ser adecuadamente protegido, independientemente de los formatos, soportes, medios de transmisión, sistemas, o personas que intervengan en su conocimiento, procesado o tratamiento.
El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes, con la finalidad de asegurar la calidad de la información y la continuidad del negocio, minimizar el riesgo y permitir maximizar el retorno de las inversiones y las oportunidades de negocio.
Los sistemas informaticas deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que los departamentos deben aplicar las medidas mínimas de seguridad exigidas, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.
Los diferentes departamentos deben cerciorarse de que la seguridad es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación deben ser identificados e incluidos en la planificación, en la solicitud de ofertas a proveedores, y en las memorias técnicas para proyectos.
De igual modo, el sistema mantendrá disponibles los servicios durante todo el ciclo vital de la información digital, a través de una concepción y procedimientos que sean la base para la preservación del patrimonio digital.
La dirección de la organización, consciente del valor de la información, está profundamente comprometida con la política descrita en este documento.
2.1 Prevención
Los departamentos deben evitar, o al menos prevenir en la medida de la posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello, los departamentos deben implementar las medidas mínimas de seguridad determinadas, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Adicionalmente, y con la intención clara de mejorar dicha prevención, los departamentos también deberán implementar todos los requisitos necesarios para dar cumplimento a las normas. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados.
Para garantizar el cumplimento de la política, los departamentos deben:
2.2 Detección
Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una simple desaceleración hasta su detención, los servicios deben monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo dispuesto en el Artículo 9. Reevaluación periódica, del ENS, que indica lo siguiente: "Las medidas de seguridad se reevaluarán y actualizarán periódicamente, para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección, llegando incluso a un replanteamiento de la seguridad, si fuese necesario".
La monitorización es especialmente relevante cuando se establecen líneas de defensa. Se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales.
se establece:
Líneas de defensa:
2.3 Respuesta
Los departamentos deben:
Para cualquier tipo de comunicación, internas y/o externas, se deberá seguir lo indicado en los datos de contacto de Buangh InStyle Design Group LLC, elaborado por y para la organización.
2.4 Recuperación
Para garantizar la disponibilidad de los servicios críticos, la organización se ha dotado de una copia de seguridad, valorando los posibles escenarios de desastre y estrategia de recuperación, y estableciendo planes de emergencia que se revisan periódicamente.
La presente Política de Seguridad se aplica a los sistemas de información que soportan los procesos de instalación y operación de los siguientes servicios de confianza en modalidad cloud, web, web con datos en la nube:
La Política de Seguridad de la Información es aprobada por la Dirección de la organización y su contenido y el de las normas y procedimientos que la desarrollan es de obligado cumplimiento:
Tal y como se ha avanzado, el propósito de esta Política de Seguridad de la Información es proteger los activos de información de la organización, asegurando para ello la disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad de la información y de las instalaciones, sistemas y recursos que los procesan, gestionan, transmiten y almacenan, siempre de acuerdo con los requerimientos del negocio y la legislación vigente.
La información debe ser protegida durante todo su ciclo de vida, desde su creación hasta su eventual borrado o destrucción. Para ello, se establecen los siguientes principios mínimos:
De acuerdo con lo dispuesto en la normativa de protección de datos aplicable (REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales o RGPD y a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales) Buangh InStyle Design Group LLC en su condición de Responsables del Tratamiento o Corresponsables según proceda y de Encargados del Tratamiento de los datos de sus clientes se comprometen a:
– que los datos de carácter personal, tanto de clientes como de los demás trabajadores y colaboradores de éste se tratarán de acuerdo con los principios de licitud, lealtad y transparencia. Los datos recabados y usados serán recogido para finalidades, explicitas y legitimas. Los datos recabados serán pertinentes, adecuados y limitados en relación con los finalidades establecidas para dichos tratamientos. Se cumplirá el principio de exactitud y se adoptarán todas las medidas necesarias para su rectificación cuando resultara necesario. Los datos no se conservarán más tiempo del necesario en relación a los fines del tratamiento salvo para el cumplimiento de fines legales.
– que todas las medidas de seguridad referenciadas en la presente Política de Seguridad de la Información tendrán en cuenta proteger la privacidad de la información.
– que respecto de los datos personales cuyo tratamiento se realice en su condición de Encargados de Tratamiento, los empleados de éstos se comprometen a cumplir y hacer cumplir según sus responsabilidades todas aquellas medidas dispuestas en la presente Política que puedan afectar a los datos de carácter personal que puedan tener acceso con razón de su actividad laboral. Del mismo modo, se cumplirá con lo anterior respecto de los datos personales cuyo tratamiento se realice por parte de cualquiera entidad del Grupo Buangh en su condición de Responsable del Tratamiento.
– que tanto las entidades del Grupo Buangh como sus empleados respectivos y colaboradores externos cuando, para poder prestar los servicios contratado por sus clientes, precisen acceder a datos de carácter personal, cuyo almacenamiento en ficheros y tratamiento sea responsable el cliente (condiciones del acceso a datos por encargo del tratamiento).
– que tanto las entidades del Grupo Buangh como su personal respectivo y colaboradores externos participarán de manera proactiva y comunicarán según los canales de comunicación internos y externos, cualquier incidente o brecha de seguridad de la que tengan conocimiento con especial relevancia de aquellas que puedan afectar a los datos de carácter personal y colaborarán en su gestión y resolución según el grado de responsabilidad que tengan asignado.
En todo lo no recogido expresamente en esta Política, las entidades del Grupo Buangh se comprometen asi como el personal que las integra al más estricto cumplimiento de todas las disposiciones y principios establecidos en la normativa de protección de datos vigente actualmente, citada al comienzo del presente apartado, y aquellas normativas que la modifique o reemplace.
La organización, garantiza que realizará los controles periódicos y las auditorías de seguridad necesarias para comprobar que los controles y mediadas de seguridad implantados con efectivos para el tratamiento de riesgos para que el que se hayan implantado en cada caso.
Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se realizará regularmente, al menos una vez al año. Además, se podrá repetir en los casos siguientes:
La metodología empleada para la valoración del riesgo y permite gestionar de manera efectiva los incidentes que podrían presentarse en los diferentes activos de información y afectar a cualesquiera de los principios de confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad.
Esta Política de Seguridad de la Información complementa las políticas de seguridad de la organización en diferentes materias:
Esta Política se desarrollará por medio de normativa de seguridad que afronte aspectos específicos. La normativa de seguridad estará a disposición de todos los miembros de la organización que necesiten conocerla, y en particular de aquellos que utilicen, operen o administren los sistemas de información y comunicaciones.
Dicha normativa (procesos, procedimientos, instrucciones de trabajo y cualquier otra documentación necesaria) estará publicada en la pagina Web del Grupo Buangh.
Todos los miembros de la organización tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad.
Todos los miembros de la organización, atenderán a una sesión de concienciación en materia de seguridad, al menos, una vez al año. Se establecerá un programa de concienciación continuo, basado en la difusión periódica de correos en materia de seguridad de la información, para atender a todos los miembros de la organización, en particular a los de nueva incorporación. Para este personal, además, se realizará una formación específica y evaluación de los conocimientos adquiridos, como parte del proceso de incorporación a la organización.
Las personas con responsabilidad en el uso, operación o administración de sistemas recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.
Cuando cualquier entidad del Grupo Buangh preste servicios a otros organismos o maneje información de otros organismos, se les hará partícipes de esta Política de Seguridad de la información, se establecerán canales para reporte y coordinación de los respectivos responsables y se establecerán procedimientos de actuación, de acuerdo con la gestión de incidentes de la organización, para la reacción ante posibles incidentes de seguridad que pudieran producirse.
Cuando las entidades del Grupo Buangh utilicen servicios de terceros o cedan información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en la presente normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política. Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se indica en los párrafos anteriores, el Responsable de Seguridad, junto con el responsable del servicio, se reunirán para definir y precisar los riesgos en que se incurre y la forma de tratarlos.
snirpiWQC, de Buangh LLC, es su aliado confiable en control y calidad del agua. Nos especializamos en la labor de aydarle que tenga segura el agua potable, en piscinas públicas y privadas. Ofrecemos servicios integrales, destacando nuestra experiencia en la evaluación de riesgos relacionados con Legionella Pneumophila.
Copyright © 2001 - snirpiWQC - Water Quality Control! - Water is life! Buangh LLC