POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Transcripción

1 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN ALCANCE El presente documento tiene como objetivo establecer la política de Seguridad de la Información de la infraestructura tecnológica y de servicios TI de Freematica, sistemas de información que dan soporte a las aplicaciones y productos de software que ofrece la organización a sus clientes en el ámbito internacional. La política se define también en los términos y obligaciones del Reglamento Europeo de Protección de datos GDPR 2016/679. Este documento es de uso confidencial para clientes de Freematica,Consulting Service Partners, CSP y clientes finales. Este documento no puede ser cedido a terceras partes ni publicado en sistemas de información o documentales privados o públicos. divulgación y distribución 2018 Freematica España S.L Página 1 de 9

2 INDICE DE CONTENIDOS 1 Introducción Política de gestión de servicios TI Gestión de relaciones con nuestros clientes Política de copias de seguridad Plan de contingencia Seguridad física y ambiental Gestión de las comunicaciones y operaciones Gestión de suministradores Seguridad en el desarrollo del software Control de acceso Cifrado en las comunicaciones Gestión de peticiones de servicios, incidencias y problemas Análisis de riesgos Compliance Organización de la seguridad Certificaciones. Aseguramiento de la calidad... 8 Página 2 de 9

3 1 Introducción Freematica implementa, opera y evoluciona un sistema de gestión de seguridad de la información para garantizar la seguridad lógica, física y operacional del tratamiento de la información de sus clientes en sus productos de software. La seguridad de la información contempla todo el ciclo de vida del software, siendo el alcance del sistema el Desarrollo, mantenimiento y alquiler de la aplicación ERP en modalidad SaaS, Soporte, HelpDesk y Formación, Administración de infraestructura del Data Center para el correcto funcionamiento de las herramientas Cloud. El sistema de gestión, su declaración de aplicabilidad y su análisis de riesgos está auditado por asesores expertos en la materia y está certificado por la entidad internacional de certificación TÜV Rheinland, con acreditación DaKKs. El sistema operado con el estándar internacional ISO/IEC 27001:2013 está reforzado con metodología ITIL y procesos ISO/IEC 20000:2011 y el producto Pegasus-eMoviFree, certificaciones también conseguidas y mantenidas por la organización. La normativa de seguridad de la información se rige y estipula hacia sus clientes bajo la política de seguridad y calidad de servicios TI y el contrato de prestación de servicios y acuerdo de nivel de servicio, documentación que se realiza en la contratación de los servicios. Esta política se define también como instrumento de responsabilidad proactiva definido en el Reglamento Europeo de Protección de datos GDPR 2016/679, de manera que las medidas de seguridad aquí descritas se han definido y desarrollado tras procesos de análisis de riesgos e impacto de nuestra plataforma de infraestructura y de aplicaciones. 2 Política de gestión de servicios TI En FREEMATICA creemos que la Calidad consiste en conocer quién es nuestro Cliente brindando servicios y soluciones que satisfagan plenamente sus expectativas y al mismo tiempo dotar de nuestros servicios tecnológicos de una plataforma de servicio puntera en cuanto al propio producto y a la gestión de servicios suministrados por terceros. De igual forma creemos que la información interna y la de nuestros clientes es un activo de vital importancia para nuestro negocio, por ello la alta disponibilidad, la protección de la información y por tanto la seguridad, forma parte del valor principal que la organización inculca en sus procesos de producción y gestión. Es por ello que en FREEMATICA ofrecemos servicios de alta disponibilidad y protegemos toda nuestra información y la de nuestros clientes cumpliendo con controles de protección ante pérdidas, manipulaciones o divulgaciones no autorizadas. Estos niveles de seguridad y calidad de servicios TI están basados en los controles y objetivos establecidos en las Normas UNE-ISO/IEC 27001:2013 y UNE-ISO/IEC :2011, las legislaciones aplicables a la seguridad de la información en general, la LSSI, la legislación sobre facturación electrónica y las relacionadas con protección de datos de carácter personal. Nuestro Sistema de Gestión establece como principal objetivo de Seguridad de la Información y gestión de servicios TI las siguientes bases: Disponibilidad: Para asegurar que todas las personas autorizados y procesos tengan acceso a la información cuando lo requieran. Integridad: Para preservar la veracidad, completitud de la información y los métodos de procesamiento. Confidencialidad: Para asegurar que a la información solo pueda ser accesible a las personas y procesos que cuenten con la autorización o con el permisos respectivos. Para ello, la Dirección adquiere el compromiso de: Desarrollar controles y objetivos de control que permitan identificar y evaluar los riesgos de los activos de información. Cumplir con los requisitos de negocio, disposiciones legales, reglamentarias y obligaciones contractuales de seguridad. Dotar de los recursos y responsabilidades para implantar y mantener el proceso de mejora continua de la Gestión de la Seguridad de la Información y la Calidad de los Servicios TI. Página 3 de 9

4 Al igual que las políticas de seguridad y protección de datos, la evolución del producto y servicio SaaS también es de vital importancia para FREEMATICA, por ello y con el afán de ofrecer a nuestros Clientes la mejor solución para la gestión de su negocio, FREEMATICA evoluciona el producto basándose en tres pilares fundamentales: Nuestros Clientes: Valoramos y estudiamos los requerimientos solicitados por nuestros clientes y si estos aportan una mejora para el producto o para el servicio, se desarrollan i se incluyen en el estándar, de esta forma la aplicación crece para todos nuestros clientes. Cambios legales: Estamos muy pendientes de los cambios legales que se puedan producir en los países donde tenemos presencia para actualizar el producto y que éste se adecue a les normativas y leyes vigentes de cada país. Nuevas funcionalidades: Comprometidos con la constante Investigación el diseño y la implementación (I+D+i) de nuevas tecnologías para brindar nuevas funcionalidades que puedan aportar un valor añadido a nuestro producto. Coherente con la responsabilidad asumida, la Dirección de FREEMATICA ha implantado en su Sistema de Gestión alineado al negocio, a la seguridad de la información y a las necesidades de nuestros clientes derivando este documento hacia todas las partes interesadas. 3 Gestión de relaciones con nuestros clientes En Frematica establecemos y mantenemos una constante relación con nuestros clientes y CSP, (Consulting Service Provider), basándonos en un adecuado entendimiento de sus necesidades técnicas y de los fundamentos de su negocio. Establecemos contratos de prestación de servicios y acuerdos SLA (Service Level Agreement) identificando los actores principales manteniendo una constante comunicación con el fin de medir la satisfacción de los servicios prestados y la posible captación de mejoras en nuestro acuerdo. 4 Política de copias de seguridad Backup de base de datos Diariamente se realiza una copia de seguridad total (Full BackUp) de todas las bases de datos, tanto de clientes como de gestión. Las retenciones de las copias son: Copia diaria: Se guarda una copia diaria durante 15 días de forma cíclica. Copia mensual: Se guarda una copia mensual, ésta se realiza el último domingo de cada mes con una retención de 12 meses. Copia anual: Se guarda una copia anual de cada base de datos con una retención de 5 años. Back-up de archivos Almacena los archivos de configuración y los documentos de contenidos en las carpetas de los clientes. La retención de esta copia es de 15 días de forma cíclica. 5 Plan de contingencia Nuestro servicio SaaS, está hospedado en los mejores Datacenters de España, actualmente TELEFÓNICA ESPAÑA en sus centros de datos propietarios. La duplicación de servidores en los sistemas de información de los datacenters garantizan la alta disponibilidad del sistema a nivel de replicación de datos. El sistema esta dimensionado de tal forma que permite al cliente contar siempre con una alta disponibilidad del servicio, permitiendo desconectar o parar máquinas para su mantenimiento, sin que afecte al servicio. En caso de incidencia mayor en nuestros sistemas de información nuestra política de back-ups garantizan la recuperación de datos en el entorno productivo de cómo mínimo 24 horas. En caso de desastre mayor de nuestros datacenters Freematica ha desarrollado un plan de contingencia cuyo resumen es el siguiente. Página 4 de 9

5 1. NIVEL 1. Recuperación de la COPIA DE SEGURIDAD en un entorno completo en un servidor alojado en datacenters completamente independientes en Europa Sureste de Acens / Telefónica España y Europa Noroeste Equinix Reino Unido. 2. NIVEL 2. Recuperación de la COPIA DE SEGURIDAD en un entorno PROPIO DEL CLIENTE, suministrador por él mismo, de manera que en el plazo de 24 horas (España), 24 horas (Portugal), 48 horas (USA), 60 horas (Centro América), un técnico especializado se desplaza a la ubicación del cliente e instala y pone en marcha el sistema completo (aplicación y datos). 3. NIVEL 3. Recuperación de la COPIA DE SEGURIDAD en un entorno DE FREEMATICA, servidor dedicado instalado al 100%, suministrador por nuestra propia organización, de manera que en el plazo de 18 horas (España), 24 horas (Portugal), 24 horas (USA), 30 horas (Centro América), es enviado a la organización el equipo funcionando el entorno (aplicación y datos). 6 Seguridad física y ambiental En Freematica disponemos de una política específica de Seguridad física y ambiental con el objetivo de prevenir los accesos físicos no autorizados, los daños e intromisiones en las instalaciones y en la información de la organización, tanto en nuestra propias instalaciones como en la de nuestros proveedores. Estos controles se exigen e implementan en los diferentes Datacenters que como suministradores de servicio Freematica utiliza para el alojamiento de los servidores y aplicaciones de sus productos y servicios. Protección contra las amenazas externas y de origen ambiental. Seguridad en los equipos (emplazamiento, instalaciones, seguridad del cableado, mantenimiento de equipos, seguridad de los equipos fuera de las instalaciones y reutilización y retirada segura de equipos) 7 Gestión de las comunicaciones y operaciones En Freematica disponemos de una política específica de gestión de comunicaciones y operaciones con el objetivo de asegurar el funcionamiento correcto y seguro de los recursos de tratamiento. Para ello implementamos una serie de controles cuyo detalle se encuentra en la declaración de aplicabilidad del sistema de gestión de Seguridad de la información ISO 27001: Establecimiento de responsabilidad y procedimientos de operación Gestión de la provisión de servicios por terceros Planificación y aceptación del sistema con gestión de la capacidad, técnica y humana Protección contra el código malicioso y descargable, en nuestro servidores de producción como en nuestro entorno de producción. Gestión de la seguridad de las redes (controles y seguridad en los servicios de red) Seguridad en la manipulación de los soportes (retirada de soportes, procedimiento de manipulación y seguridad en la documentación del sistema) Seguridad en el intercambio de información Para ello implementamos una serie de controles cuyo detalle se encuentra en la declaración de aplicabilidad del sistema de gestión de Seguridad de la información ISO (dominio de control A9): Perímetro de seguridad física, controles físicos de entrada, seguridad en oficinas y despachos Página 5 de 9

6 8 Gestión de suministradores En Freematica contamos actualmente con importantes proveedores a nivel tecnológico que aportan innovación puntera en el sector de las comunicaciones, hospedaje y virtualización, y soporte y knowledge humano, ya que disponen de un equipo técnico muy cualificado para poder resolver en el menor tiempo posible cualquier incidencia. Nuestro objetivo máximo en la evaluación y contratación de proveedores es la de garantizar la provisión de sus servicios sin interrupciones que pongan en peligro la disponibilidad de nuestro entorno de aplicaciones hacia nuestros cliente final. Disponemos de un proceso interno de validación, contratación y monitorización de los servicios suministradores por nuestros proveedores donde definimos exhaustivamente el alcance, nivel de servicio y procesos de comunicación que nos suministran. Los SLAs acordados son adecuados con nuestros SLAs hacia nuestros clientes, esta convergencia en los acuerdos de nivel de servicio es la base para poder medir la eficacia del proceso. Además contamos con un proceso definido por una potencial finalización del servicio con el proveedor y la transferencia del mismo a un tercero, de esta manera estamos preparados a cualquier posible eventualidad. 9 Seguridad en el desarrollo del software En Freematica disponemos de una política específica de Seguridad en el desarrollo de software con el objetivo de construir de base código seguro, tanto en el entorno de aplicación, como en el de base de datos. Nuestra organización desarrolla el software ERP que ofrecemos en entorno SaaS en los diversos módulos y aplicaciones web y en las app como emovifree. De esta manera una de las piezas fundamentales ha sido y sigue siendo construir nuestro producto seguro para minimizar cualquier incidencia. Para ello implementamos una serie de controles basados en buenas prácticas de ISO y de OWASP: Producción propia interna del software no existiendo subcontratación a terceros en los módulos del core de la plataforma. Framework propio de desarrollo, API propietario Protección del código fuente mediante funcionalidades del framework. Separación entornos de desarrollo, testing, preproducción y producción. Procedimientos de operación para el paso hacia distintos entornos. Procedimiento definido de control de cambios. Copias de seguridad y política de contingencia propia del entorno de desarrollo. Expertise, desarrollo profesional y formación contínua a desarrolladores. Seguridad en formularios de entrada de datos, procesamiento interno, integridad de los mensajes y validación de datos de salida Seguridad en el front end web. SQL injection, Cross Scripting, etc. Archivos de configuración encriptados. 10 Control de acceso En Freematica disponemos de una política específica de control de acceso con el objetivo de asegurar un depurado sistema de identificación y autenticación en sus servicios SaaS, tanto en el front-end del cliente como en la infraestructura interna de sistemas de información. La política es revisada y se basa en requisitos de los clientes y en otros aspectos que nos son direccionados por distintas vías, como son por ejemplo las medidas de seguridad que la legislación sobre Protección de datos personales indica sobre este ámbito de seguridad. Para ello implementamos una serie de controles cuyo detalle se encuentra en la declaración de aplicabilidad del sistema de gestión de Seguridad de la información ISO 27001: Control de acceso a las aplicaciones y a la información (sistema FLBClient y Cloud Desktop, identificación y autenticación, registro de usuario, gestión de privilegios, gestión de contraseñas y revisión de los derechos de acceso del usuario) Control de acceso a la red (identificación de equipos, diagnóstico remoto, protección de los puertos de configuración, segregación de las redes. Registro de accesos, auditoría de sesión Registro de accesos, auditoria de procesos. Control de acceso al entorno de administración de servidores (alta seguridad por doble encriptación) Página 6 de 9

7 11 Cifrado en las comunicaciones La transmisión telemática de la información contenida en la aplicación e-satellite se realiza de manera cifrada mediante el sistema FLBClient y Cloud Desktop, utilizándose técnicamente los sistemas de encriptación de Terminal Server, cifrado simétrico RC4 de 128 bits (FLBClient) y certificado de seguridad en los servidores mediante SSL cifrado RSA 2048 bits (Cloud desktop). Ambos sistemas garantizan que la información no sea inteligible ni manipulada por terceros. 12 Gestión de peticiones de servicios, incidencias y problemas Los servidores hospedados en los Datacenters, están monitorizados continuamente mediante herramientas de monitorización adecuadas a la tecnología Cloud. Mediante estas herramientas se monitorizan distintos valores de la infraestructura utilizando indicadores en tiempo real que nos permiten adelantarnos a potenciales problemas futuros en la infraestructura. Estos indicadores monitorizan valores tales como: Estado de la CPU de los Servidores, Agentes SQL Server, Puertos de conexión para el FLBClient, estado de la memoria, espacio en disco y demás aspectos técnicos. Si alguno de estos valores muestra un valor distinto al configurado, desencadena una alerta de forma automática a los responsables del sistema para tomar las acciones correctivas necesarias. Disponemos de un sistema interno de gestión de peticiones de servicio, incidencias y problemas según nuestro proceso ITIL mediante las herramientas internas HELPDESK, WIKI e INTRANET se permiten escalar los tickets con prioridades, personal implicado, indicadores de calidad basados en tiempo, reporting sobre activos, etc. El mismo entorno de gestión permite disponer de una adecuado inventario de nuestros activos, CMDB, gestionando las peticiones de servicio sobre cada uno de ellos. 13 Análisis de riesgos Disponemos de un proceso formal interno de análisis de riesgos tecnológicos donde estudiamos en nuestro inventario y CMDB (Configuration Management database) las posibles vulnerabilidades y amenazas sobre los activos de información. Periódicamente realizamos un estudio del nivel de riesgo de la infraestructura y de los servicios, tomando conclusiones implementando posibles salvaguardas y controles técnicos adecuados para minimizar estos posibles riesgos. La metodología utilizada se basa en los requerimientos de las normas ISO 27001:2013 e ISO 31000, realizando no sólo análisis de riesgos sobre los activos tecnológicos, sino también sobre los procesos, personas y proveedores que tratan la información de nuestra infraestructura. 14 Compliance Freematica cuenta con un apurado sistema de identificación legal de ciertos requerimientos relacionados con la Protección de datos Personales, prestación de servicios de la Sociedad de la Información y Propiedad Intelectual. En nuestros sistemas de información y procedimientos técnicos están identificados estos requerimientos integrando en el mismo sistema de gestión la normativa y la legislación. Freematica garantiza un estricto cumplimiento de las medidas de seguridad, procedimientos y controles que rige la normativa actual de protección de datos de carácter personal sobre la legislación en el ámbito del estado español: Reglamento Europeo de Protección de datos GDPR 2016/679. Nuestro sistema de gestión de seguridad de la información garantiza el nivel medio de seguridad, manteniendo las obligaciones de las medidas a posibles terceros suministradores y personal relacionado en el tratamiento de la información. La seguridad de los datos con los requerimientos legales adecuados se encuentra también en una constante mejora contínua y aseguramiento de su calidad, mediante los procesos internos de auditoría y la revisión anual de las certificaciones ISO/IEC 27001, ISO/IEC y certificación de producto Pegasus-eMovifree. La normativa de seguridad relativa a datos personales se rige y estipula hacia sus clientes bajo contrato de prestación de servicios y encargado de tratamiento en las claúsulas de Página 7 de 9

8 privacidad y protección de datos personales, documentación que se realiza en la contratación de los servicios. 15 Organización de la seguridad En Freematica gestionamos la seguridad de manera interna y hacia nuestros proveedores a través de un inicial y constante compromiso de nuestra dirección. Disponemos de directrices internas claras, un compromiso demostrado, asignaciones explícitas y el reconocimiento de las responsabilidades de seguridad de la información. Las actividades relativas a la seguridad de la información son coordinadas entre nuestros departamento internos y proveedores con sus correspondientes roles y funciones de trabajo. De igual manera que gestionamos la seguridad internamente lo hacemos con terceras partes, identificando los posibles riesgos derivados de acceso a terceros, estableciendo acuerdos de confidencialidad y normativas hacia los usuarios remotos. 16 Certificaciones :2011 Sistemas de Gestión de Servicios, ISO 27001:2013 Gestión de Seguridad de la Información y certificación de producto emovifree. Ambas certificaciones de sistemas de gestión fueron conseguidas en julio de 2011 y en 2013 la certificación de producto Pegasus- emovifree. Anualmente las son revisadas por la entidad de certificación TÜV Rheinland para su correcta adecuación a los requisitos de los estándares, pasando satisfactoriamente las pertinentes auditorías de seguimiento, Además de este proceso externo, nuestro sistema de gestión de servicios TI y de seguridad de la información es evaluado por la organización IT360.es (IT AUDIT AND INNOVATION) con profesionales cualificados (CISA, CISMM, ISO ISO 2000 Lead Auditors). Este doble proceso de auditoría y evaluación nos asegura que nuestra política y controles de servicio y seguridad de la información son acordes a los estándares y hacia los requerimientos de nuestros clientes, de la industria y de los requisitos legales, utilizando las normas de calidad, no sólo como fines en la consecución de las certificaciones, sino como instrumento real de mejora de los servicios a los clientes y la gestión interna de los procesos tecnológicos y de soportes necesarios para el desarrollo y la prestación de nuestros servicios Freematica está certificada por la entidad de certificación TÜV Rheinland en las normas ISO Página 8 de 9

9 divulgación y distribución 2018 Freematica España S.L Página 9 de 9