POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Transcripción

1 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN ALCANCE El presente documento tiene como objetivo definir la política de seguridad de la información de los tratamientos realizados por CUALTIS como Encargado de tratamiento en los servicios a sus clientes Responsables de Tratamiento. Este documento es un Anexo del acuerdo entre el CLIENTE y CUALTIS (Acuerdo de Encargo de Tratamiento y/ Data Processing Agreement. El contenido de este documento es acorde al Reglamento Europeo de Protección de datos GDPR 2016/679 en cuanto a la obligación de mantener compendio de medidas de seguridad y un registro de actividades y comunicarlo en la relación con sus clientes. Además el presente documento se ha elaborado conforme a los controles de seguridad y requerimiento del Sistema de Gestión de Seguridad de la Información ISO 27001:2013, certificación en vigor conseguida y mantenidas por CUALTIS. Este documento es de uso confidencial para clientes empresas de los servicios de CUALTIS. Este documento no puede ser cedido a terceras partes ni publicado en sistemas de información o documentales privados o públicos. Documento confidencial. Prohibida su copia parcial o completa, reproducción, divulgación y distribución 2018 CUALTIS Página 1 de 6

2 1 Introducción CUALTIS implementa, opera y evoluciona un sistema de gestión de seguridad de la información para garantizar la seguridad lógica, física y operacional del tratamiento de la información de sus clientes en sus productos de la gestión de Prevención de Riesgos Laborales (acércate empresas, acércate salud, acércate CAE, acércate asesorías y CanalAlerta). Esta política se define también como instrumento de responsabilidad proactiva definido en el Reglamento Europeo de Protección de Datos GDPR 2016/679, de manera que las medidas de seguridad aquí descritas se han definido y desarrollado tras procesos de análisis de riesgos e impacto de nuestra plataforma de infraestructura y de aplicaciones. 2 Política de gestión de servicios TI En CUALTIS creemos que la Calidad consiste en conocer quién es nuestro Cliente brindando servicios y soluciones que satisfagan plenamente sus expectativas y al mismo tiempo dotar de nuestros servicios tecnológicos de una plataforma de servicio puntera en cuanto al propio producto y a la gestión de servicios suministrados por terceros. De igual forma creemos que la información interna y la de nuestros clientes es un activo de vital importancia para nuestro negocio, por ello la alta disponibilidad, la protección de la información y por tanto la seguridad, forma parte del valor principal que la organización inculca en sus procesos de producción y gestión. Es por ello que en CUALTIS ofrecemos servicios de alta disponibilidad y protegemos toda nuestra información y la de nuestros clientes cumpliendo con controles de protección ante pérdidas, manipulaciones o divulgaciones no autorizadas. Estos niveles de seguridad y calidad de servicios TI están basados en los controles y objetivos establecidos en las Normas UNE-ISO/IEC 27001:2013, las legislaciones aplicables a la seguridad de la información en general, la LSSI, la legislación sobre prevención de riesgos laborales y las relacionadas con protección de datos de carácter personal. Nuestro Sistema de Gestión establece como principal objetivo de Seguridad de la Información y gestión de servicios TI las siguientes bases: Disponibilidad: Para asegurar que todas las personas autorizados y procesos tengan acceso a la información cuando lo requieran. Integridad: Para preservar la veracidad, completitud de la información y los métodos de procesamiento. Confidencialidad: Para asegurar que a la información solo pueda ser accesible a las personas y procesos que cuenten con la autorización o con el permisos respectivos. Documento confidencial. Prohibida su copia parcial o completa, reproducción, divulgación y distribución 2018 CUALTIS Para ello, la Dirección adquiere el compromiso de: Desarrollar controles y objetivos de control que permitan identificar y evaluar los riesgos de los activos de información. Cumplir con los requisitos de negocio, disposiciones legales, reglamentarias y obligaciones contractuales de seguridad. Dotar de los recursos y responsabilidades para implantar y mantener el proceso de mejora continua de la Gestión de la Seguridad de la Información y la Calidad de los Servicios TI. Al igual que las políticas de seguridad y protección de datos, la evolución del producto y servicio en la plataforma de aplicaciones también es de vital importancia para CUALTIS, por ello y con el afán de ofrecer a nuestros Clientes la mejor solución para la gestión de su negocio, nuestra organización evoluciona el producto basándose en tres pilares fundamentales: Nuestros Clientes: Valoramos y estudiamos los requerimientos solicitados por nuestros clientes y si estos aportan una mejora para el producto o para el servicio, se desarrollan i se incluyen en el estándar, de esta forma la aplicación crece para todos nuestros clientes. Cambios legales: Estamos muy pendientes de los cambios legales que se puedan producir en los países donde tenemos presencia para actualizar el producto y que éste se adecue a les normativas y leyes vigentes de cada país. Nuevas funcionalidades: Comprometidos con la constante Investigación el diseño y la implementación (I+D+I) de nuevas tecnologías para brindar nuevas funcionalidades que puedan aportar un valor añadido a nuestro producto. Coherente con la responsabilidad asumida, la Dirección de CUALTIS ha implantado en su Sistema de Gestión alineado al negocio, a la seguridad de la información y a las necesidades de nuestros clientes derivando este documento hacia todas las partes interesadas. 3 Gestión de relaciones con nuestros clientes En CUALTIS establecemos y mantenemos una constante relación con nuestros clientes y trabajadores, basándonos en un adecuado entendimiento de sus necesidades técnicas y de los fundamentos de su negocio. Establecemos contratos de prestación de servicios identificando los actores principales, manteniendo una constante comunicación con el fin de medir la satisfacción de los servicios prestados y la posible captación de mejoras en nuestro acuerdo. Página 2 de 6

3 4 Política de copias de seguridad Backup de base de datos Diariamente se realiza una copia de seguridad total (Full BackUp) de todas las bases de datos, tanto de clientes como de gestión. Las retenciones de las copias son: Copia diaria: Se guarda una copia diaria durante 7 días de forma cíclica. Copia semanal: Se guarda una copia semanal realizada el jueves, con una retención de 4 semanas. Copia mensual: Se guarda una copia mensual, realizada el último jueves de cada mes con una retención de 12 meses. Copia anual: Se guarda una copia anual de cada base de datos con una retención de 5 años. Back-up de archivos Almacena los archivos de configuración y los documentos de contenidos en las carpetas de los clientes. Copia diaria: Se guarda una copia diaria durante 7 días de forma cíclica. Copia semanal: Se guarda una copia semanal realizada el jueves, con una retención de 4 semanas. 5 Plan de contingencia Nuestra plataforma de aplicaciones está hospedada en uno de los mejores datacenters de España, actualmente ESPACIORACK gestionado por OMEGA PERIPHERLAS en sus centros de datos propietarios. La redundancia de servidores en los sistemas de información de los datacenters afianza la alta disponibilidad del sistema a nivel de replicación de datos. El sistema está dimensionado de tal forma que permite al cliente contar con una alta disponibilidad del servicio, permitiendo desconectar o parar máquinas para su mantenimiento, sin que afecte al servicio. En caso de incidencia mayor en nuestros sistemas de información nuestra política de back-ups garantizan la recuperación de datos en el entorno productivo de cómo mínimo 24 horas. En caso de desastre mayor de nuestros datacenters CUALTIS ha desarrollado un plan de contingencia con replicación y despliegue de máquinas, aplicaciones y datos en datacenters independientes en Europa. 6 Seguridad física y ambiental Seguridad física y ambiental con el objetivo de prevenir los accesos físicos no autorizados, los daños e intromisiones en las instalaciones y en la información de la organización, tanto en nuestra propias instalaciones como en la de nuestros proveedores. Estos controles se exigen e implementan en los datacenters que como suministradores de servicio CUALTIS utiliza para el alojamiento de los servidores y aplicaciones de sus productos y servicios. Para ello implementamos una serie de controles cuyo detalle se encuentra en la declaración de aplicabilidad del sistema de gestión de Seguridad de la información ISO (dominio de control A9): Perímetro de seguridad física, controles físicos de entrada, seguridad en oficinas y despachos Protección contra las amenazas externas y de origen ambiental. Seguridad en los equipos (emplazamiento, instalaciones, seguridad del cableado, mantenimiento de equipos, seguridad de los equipos fuera de las instalaciones y reutilización y retirada segura de equipos) 7 Gestión de las comunicaciones y operaciones gestión de comunicaciones y operaciones con el objetivo de asegurar el funcionamiento correcto y seguro de los recursos de tratamiento. Para ello implementamos una serie de controles cuyo detalle se encuentra en la declaración de aplicabilidad del sistema de gestión de Seguridad de la información ISO 27001: Establecimiento de responsabilidad y procedimientos de operación. Gestión de la provisión de servicios por terceros. Planificación y aceptación del sistema con gestión de la capacidad, técnica y humana. Protección contra el código malicioso y descargable, en nuestro servidores de producción como en nuestro entorno de producción. Gestión de la seguridad de las redes (controles y seguridad en los servicios de red). Página 3 de 6

4 Seguridad en la manipulación de los soportes (retirada de soportes, procedimiento de manipulación y seguridad en la documentación del sistema). Seguridad en el intercambio de información. 8 Gestión de suministradores En CUALTIS contamos actualmente con importantes proveedores a nivel tecnológico que aportan innovación puntera en el sector de las comunicaciones, hospedaje y virtualización, y soporte y knowledge humano, ya que disponen de un equipo técnico muy cualificado para poder resolver en el menor tiempo posible cualquier incidencia. Nuestro objetivo máximo en la evaluación y contratación de proveedores es la de garantizar la provisión de sus servicios sin interrupciones que pongan en peligro la disponibilidad de nuestro entorno de aplicaciones hacia nuestros cliente final. Disponemos de un proceso interno de validación, contratación y monitorización de los servicios suministradores por nuestros proveedores donde definimos exhaustivamente el alcance, nivel de servicio y procesos de comunicación que nos suministran. Los acuerdos de nivel de servicios, SLA (Service Level Agreement) acordados son adecuados con nuestros acuerdos hacia nuestros clientes, esta convergencia en los acuerdos de nivel de servicio es la base para poder medir la eficacia del proceso. Además contamos con un proceso definido por una potencial finalización del servicio con el proveedor y la transferencia del mismo a un tercero, de esta manera estamos preparados a cualquier posible eventualidad. 9 Seguridad en el desarrollo del software Seguridad en el desarrollo de software con el objetivo de construir de base código seguro, tanto en el entorno de aplicación, como en el de base de datos. Nuestra organización desarrolla el software en los diversos módulos y aplicaciones web. De esta manera una de las piezas fundamentales ha sido y sigue siendo construir nuestro producto seguro para minimizar cualquier incidencia. Para ello implementamos una serie de controles basados en buenas prácticas de ISO y de OWASP: Protección del código fuente mediante funcionalidades del framework. Separación entornos de desarrollo, testing, preproducción y producción. Procedimientos de operación para el paso hacia distintos entornos. Procedimiento definido de control de cambios. Copias de seguridad y política de contingencia propia del entorno de desarrollo. Expertise, desarrollo profesional y formación contínua a desarrolladores. Seguridad en formularios de entrada de datos, procesamiento interno, integridad de los mensajes y validación de datos de salida Seguridad en el front end web. SQL injection, Cross Scripting, etc. Archivos de configuración encriptados. 10 Control de acceso control de acceso con el objetivo de asegurar un depurado sistema de identificación y autenticación en la plataforma de aplicaciones de prevención de riesgos, tanto en el frontend del cliente como en la infraestructura interna de sistemas de información. La política es revisada y se basa en requisitos de los clientes y en otros aspectos que nos son direccionados por distintas vías, como son por ejemplo las medidas de seguridad que la legislación sobre Protección de datos personales indica sobre este ámbito de seguridad. Para ello implementamos una serie de controles cuyo detalle se encuentra en la declaración de aplicabilidad del sistema de gestión de Seguridad de la información ISO 27001: Control de acceso a las aplicaciones y a la información (identificación y autenticación, registro de usuario, gestión de privilegios, gestión de contraseñas y revisión de los derechos de acceso del usuario). Control de acceso a la red (identificación de equipos, diagnóstico remoto, protección de los puertos de configuración, segregación de las redes). Registro de accesos, auditoría de sesión. Registro de accesos, auditoria de procesos. Control de acceso al entorno de administración de servidores Producción propia interna del software en los módulos del core de la plataforma, con API propietario. Página 4 de 6

5 11 Cifrado en las comunicaciones La transmisión telemática de la información contenida en la plataforma Acércate se realiza de manera cifrada con certificado de seguridad en los servidores mediante SSL cifrado RSA 2048 bits (sistema que garantiza que la información no sea inteligible ni manipulada por terceros). 12 Gestión de peticiones de servicios, incidencias y problemas Los servidores hospedados en los Datacenters, están monitorizados continuamente mediante herramientas de monitorización adecuadas a la tecnología Cloud. Mediante estas herramientas se monitorizan distintos valores de la infraestructura utilizando indicadores en tiempo real que nos permiten adelantarnos a potenciales problemas futuros en la infraestructura. Estos indicadores monitorizan valores tales como: Estado de la CPU de los Servidores, Agentes SQL Server, Puertos de conexión para el FLBClient, estado de la memoria, espacio en disco y demás aspectos técnicos. Si alguno de estos valores muestra un valor distinto al configurado, desencadena una alerta de forma automática a los responsables del sistema para tomar las acciones correctivas necesarias. Disponemos de un sistema interno de gestión de peticiones de servicio, incidencias y problemas según nuestro proceso ITIL mediante las herramientas internas que se permiten escalar los tickets con prioridades, personal implicado, indicadores de calidad basados en tiempo, reporting sobre activos, etc. 13 Análisis de riesgos Disponemos de un proceso formal interno de análisis de riesgos tecnológicos donde estudiamos en nuestro inventario las posibles vulnerabilidades y amenazas sobre los activos de información. Periódicamente realizamos un estudio del nivel de riesgo de la infraestructura y de los servicios, tomando conclusiones implementando posibles salvaguardas y controles técnicos adecuados para minimizar estos posibles riesgos. La metodología utilizada se basa en los requerimientos de las normas ISO 27001:2013 e ISO 31000, realizando no sólo análisis de riesgos sobre los activos tecnológicos, sino también sobre los procesos, personas y proveedores que tratan la información de nuestra infraestructura. 14 Compliance CUALTIS cuenta con un apurado sistema de identificación legal de ciertos requerimientos relacionados con la Protección de datos Personales, prestación de servicios de la Sociedad de la Información y Propiedad Intelectual. En nuestros sistemas de información y procedimientos técnicos están identificados estos requerimientos integrando en el mismo sistema de gestión la normativa y la legislación. CUALTIS garantiza un estricto cumplimiento de las medidas de seguridad, procedimientos y controles que rige la normativa actual de protección de datos de carácter personal sobre la legislación en el ámbito del estado español: Reglamento Europeo de Protección de datos GDPR 2016/679. Nuestro sistema de gestión de seguridad de la información garantiza el nivel medio de seguridad, manteniendo las obligaciones de las medidas a posibles terceros suministradores y personal relacionado en el tratamiento de la información. La seguridad de los datos con los requerimientos legales adecuados se encuentra también en una constante mejora contínua y aseguramiento de su calidad, mediante los procesos internos de auditoría y la revisión anual de las certificaciones ISO/IEC La normativa de seguridad relativa a datos personales se rige y estipula hacia sus clientes bajo contrato de prestación de servicios y encargado de tratamiento en las cláusulas de privacidad y protección de datos personales, documentación que se realiza en la contratación de los servicios. 15 Organización de la seguridad En CUALTIS gestionamos la seguridad de manera interna y hacia nuestros proveedores a través de un inicial y constante compromiso de nuestra dirección. Disponemos de directrices internas claras, un compromiso demostrado, asignaciones explícitas y el reconocimiento de las responsabilidades de seguridad de la información. Las actividades relativas a la seguridad de la información son coordinadas entre nuestros departamento internos y proveedores con sus correspondientes roles y funciones de trabajo. De igual manera que gestionamos la seguridad internamente lo hacemos con terceras partes, identificando los posibles riesgos derivados de acceso a terceros, estableciendo acuerdos de confidencialidad y normativas hacia los usuarios remotos. Página 5 de 6

6 16 Delegado de Protección de datos CUALTIS cuenta con un delegado de protección de datos, DPD, nombrado y asignado a la organización IT AUDIT AND INNOVATION dsdgrupocualtis@cualtis.com. 17 Certificaciones. CUALTIS está certificada en la norma ISO 27001:2013 de seguridad de la información por la empresa TUV RHEINLAND con el Número de Certificado y se realizan auditorías bajo las responsabilidades del DPD, Delegado de Protección de datos. Este doble proceso de auditoría y evaluación nos asegura que nuestra política y controles de servicio y seguridad de la información son acordes a los estándares y hacia los requerimientos de nuestros clientes, de la industria y de los requisitos legales, utilizando las normas de calidad, no sólo como fines en la consecución de las certificaciones, sino como instrumento real de mejora de los servicios a los clientes y la gestión interna de los procesos tecnológicos y de soportes necesarios para el desarrollo y la prestación de nuestros servicios Página 6 de 6