Política de Seguridad SGSI

Información actualizada a fecha del 10/12/2021

 

OBJETIVO

En UNIWAY TECHNOLOGIES, S.L., el objetivo global de Seguridad de la Información es garantizar los criterios de Confidencialidad, Integridad y Disponibilidad de la información, así como la continuidad de los servicios ofrecidos a nuestros clientes en caso de ocurrencia de eventos disruptivos en los mismos, articulando para ello un conjunto de procesos internos para responder de forma ordenada ante un suceso, reduciendo al mínimo el impacto sobre el negocio, la información y los clientes.

Nuestra Política de Seguridad se basa en dos pilares fundamentales, por un lado, empleamos la Política del Sistema de Gestión de la Seguridad de la Información (SGSI) y por otro lado, nuestra Política de Seguridad se basa en los requisitos establecidos en el Esquema Nacional de Seguridad (ENS), el cual, tiene como base de actuación, asegurar la autenticidad, confidencialidad, integridad, disponibilidad y trazabilidad de los sistemas de información de UNIWAY TECHNOLOGIES, S.L. y por supuesto, garantizar en todo momento el cumplimiento de todas las obligaciones legales que le son aplicables.

 

ALCANCE

Los servicios prestados por UNIWAY TECHNOLOGIES, S.L., incluidos en el alcance del SGSI y del ENS son:

  • Cloud Hosting.

  • Plataforma e-commerce.

  • Servicios de Backup.

  • Servicios de Almacenamiento S3.

  • OneVision.

  • Plataforma Cloud Computing ubicada en el Datacenter con la cual damos servicio a clientes y distribuidores.

 

RESPONSABILIDADES

La principal figura responsable de la Política es el Comité del Sistema de Gestión de Seguridad de la Información (SGSI) y el Responsable del Sistema, pues son los encargados de revisar y aprobar las diferentes estrategias y procesos de seguridad de la información, velando por su calidad y efectividad.

Las funciones y obligaciones para coordinar y ejecutar los principios de Seguridad de la Información están desarrollados en los documentos SGSI.

 

PRINCIPIOS DE SEGURIDAD DE LA INFORMACIÓN

Nuestra Política de Seguridad, se establece en base a los requisitos dispuestos en el estándar de seguridad de la información UNE-ISO/IEC 27001:2013 y conforme al Esquema Nacional de Seguridad. Asegurando así la confidencialidad, integridad y disponibilidad de los sistemas de información de UNIWAY TECHNOLOGIES, S.L., garantizando a su vez, el cumplimiento de todas las obligaciones legales aplicables.

De esta forma, como punto fundamental de la Seguridad de la Información de UNIWAY TECHNOLOGIES, S.L., podemos enumerar los siguientes aspectos básicos conforme al SGSI basado en la ISO 27001 y ENS:

  • Compromiso de los órganos superiores: La seguridad de la información cuenta con el compromiso y apoyo de todos los niveles directivos de forma que pueda estar coordinada e integrada con el resto de las iniciativas estratégicas de UNIWAY TECHNOLOGIES, S.L., para de esta forma conformar un “todo”, que sea coherente y eficaz, en muestra de este compromiso la Dirección General velará por el cumplimiento del presente documento, manteniéndolo actualizado y aprobado. Así también, proporcionará todos los medios económicos y logísticos para la constitución, implantación, mantenimiento y evolución del SGSI y del ENS..

  • Proceso integral: La seguridad se entenderá como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con el sistema, evitando, salvo casos de urgencia o necesidad, cualquier actuación puntual o tratamiento coyuntural. La seguridad de la información debe considerarse como parte de la operativa habitual de UNIWAY TECHNOLOGIES, S.L., estando presente y aplicándose desde el diseño inicial de los sistemas de información. Asegurándose de promover conocimiento y concienciación en Seguridad de la Información entre sus empleados.

  • Gestión de la seguridad basada en Riesgos: Se desarrolla el estudio y la evaluación de los riesgos que puedan poner en peligro la seguridad de la información. Así mismo, se aplicarán las medidas necesarias para mitigar estos riesgos en base a su criticidad. Realizando evaluaciones periódicas que permitan obtener el estado de la gestión del tratamiento del riesgo y principalmente tras incidentes de seguridad.

  • Prevención, reacción y recuperación: La seguridad del sistema contemplará aspectos de prevención, detección y corrección, para conseguir que las amenazas no afecten a la información y los servicios que presta, para ello se efectuarán ciclos de gestión basados en la planificación de los riesgos y su medida, la implantación de las medidas de seguridad y en la posterior reevaluación de las mismas.

  • Línea de defensa: Se implementarán los mecanismos apropiados para asegurar la disponibilidad de los sistemas de información y mantener la continuidad de sus procesos de negocio, de acuerdo con las necesidades de nivel de servicio de sus usuarios, teniendo por prioridad ganar tiempo para una reacción adecuada ante los incidentes, reduciendo la probabilidad de que el sistema sea comprometido y que minimice el impacto final sobre el mismo.

  • Reevaluación periódica: La Dirección General realizará una revaloración periódica de las medidas de seguridad para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección, realizando auditoria y marcándose objetivos como compromiso de mejora continua del sistema.

  • Responsabilidad diferenciada: En los sistemas de información se diferenciará el responsable de la información, que determina los requisitos de seguridad de la información tratada; el responsable del servicio, que determina los requisitos de seguridad de los servicios prestados; el responsable del sistema, que tiene la responsabilidad sobre la prestación de los servicios y el responsable de seguridad, que determina las decisiones para satisfacer los requisitos de seguridad.

POLÍTICA DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

  • Garantizar que los servicios acordados con los diferentes clientes se prestan ante la ocurrencia de un desastre en UNIWAY TECHNOLOGIES, S.L. y los procesos de negocio que lo sustentan.

  • Proteger la seguridad de los recursos de UNIWAY TECHNOLOGIES, S.L.., ya sea en la gestión diaria como en caso de emergencia de la compañía.

  • Establecer periódicamente objetivos de mejora alineados con la presente política.

  • La Dirección de UNIWAY TECHNOLOGIES, S.L. se responsabilizará de la gestión de los riesgos clave para la seguridad de la información y la continuidad operativa de los procesos considerados críticos para la organización.

  • Elaborar un Plan de Continuidad que permita recuperarse ante un desastre, en el menor tiempo posible.

  • Formar y concienciar a todos los empleados en materia de seguridad de la información.

  • UNIWAY TECHNOLOGIES, S.L. velará que todos los recursos internos estén plenamente informados de las responsabilidades que le competen en el marco de la Seguridad de la Información.

  • UNIWAY TECHNOLOGIES, S.L. debe minimizar los riesgos de seguridad de la información, asegurando planes de respuesta eficaces ante incidentes.

  • UNIWAY TECHNOLOGIES, S.L. garantizará la elaboración de planes de comunicación apropiados, tanto internos como externos, que serán revisados y actualizados de forma periódica.

  • Hacer patente el compromiso de la Dirección en relación a la Seguridad de la Información en consonancia con la estrategia de negocio, mediante su apoyo al Comité del SGSI dotándole de los medios y facultades necesarias para la realización de sus funciones.

  • Definir, desarrollar e implantar los controles técnicos y organizativos que resulten necesarios para garantizar la Confidencialidad, Integridad y Disponibilidad de la información gestionada en la organización.

  • Garantizar el cumplimiento de la legislación vigente en materia de protección de datos de carácter personal, propiedad intelectual y sociedad de la información, así como de todos aquellos requerimientos legales, reglamentarios y contractuales que resulten aplicables.

  • Crear una “cultura de seguridad” tanto internamente, en relación con todo el personal, como externamente, en relación con los clientes y proveedores.

  • Considerar el Sistema de Gestión de Seguridad de la Información como un proceso de mejora continua, realizando revisiones periódicas con el objetivo de alcanzar niveles de seguridad de la información cada vez más avanzados.

 

Adicionalmente, en UNIWAY TECHNOLOGIES, S.L., contamos con procedimientos de apoyo que incluyen el modo especifico en que se deben acometer las directrices generales indicadas en la presente Política de Seguridad por parte de los responsables designados.

El cumplimiento de la presente política de seguridad de la información y cualquier procedimiento o documentación que se incluya dentro del SGSI y ENS, es obligatoria y atañe a todo el personal de la organización.

Así también, las visitas y personal externo que acceda a nuestras instalaciones no están exentos del cumplimiento de las obligaciones indicadas en la documentación del SGSI y ENS. Ese cumplimiento será supervisado por el personal interno de la organización.

En caso de cualquier duda, aclaración o para más información sobre el uso y aplicación de la presente Política de Seguridad, por favor, no dude en consultar por teléfono o e-mail al responsable/s del SGSI y ENS designado formalmente en el organigrama corporativo.