POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE MINT TECHNOLOGY CLOUD, S.L.
Edición 01.3 Fecha 01.07.2024
«El propósito de esta Política de alto nivel es definir el objetivo, dirección, principios y reglas básicas para la gestión de la seguridad de la información de MINT TECHNOLOGY CLOUD, S.L.
La Dirección de la empresa quiere dar a conocer a todos los usuarios de este documento (trabajadores, clientes, colaboradores, proveedores y otras partes interesadas) su convencimiento de que la seguridad de la información es un factor clave para el desarrollo de la organización. Esta Política se aplica a todo el Sistema de Gestión de Seguridad de la Información, según se define en su alcance:
-
Procesos y servicios. Los Sistemas de Información que dan soporte a los servicios de telecomunicaciones (telefonía fija y móvil, acceso a internet, números 800 y 900, envío de SMS y correo electrónico certificado o no) y sistemas de atención a clientes en la nube (centralita virtual, IVR, Chat y voice bot, contact center y firma electrónica).
-
Unidades organizativas. Se consideran todas las unidades organizativas de MINT TECHNOLOGY CLOUD: Dirección, Sistemas de Información, Administración, Soporte, Ventas y Desarrollo.
-
Ubicaciones. Se considera la oficina de la sede social en Avenida Leonardo Da Vinci número 8, oficina 134, Edificio Alaja, 28906 Getafe (Madrid).
-
Redes e infraestructura de TI. Se consideran todas las redes e infraestructuras de TI de la organización en las oficinas de la sede social.
MINT TECHNOLOGY CLOUD, S.L. considera que la gestión de la seguridad de la información, junto con la dotación de formación y recursos necesarios para el desarrollo de la actividad propia de esta organización, y la implantación o utilización de sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos y que soporten dichos servicios, son los principales pilares en los que se fundamentan el trabajo y esfuerzo diarios.
La empresa depende de los sistemas TIC para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad (característica de la información por la cual solo pueden acceder las personas autorizadas cuando sea necesario), integridad (característica de la información por la cual solo es modificada por personas o sistemas autorizados y de una forma permitida) y confidencialidad de la información tratada o los servicios prestados (característica de la información por la cual solo está disponible para personas o sistemas autorizados).
El objetivo general de la seguridad de la información es asegurar la satisfacción de nuestros clientes, garantizando la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes para reducir sus daños potenciales. Las metas están en línea con los objetivos comerciales, con la estrategia y los planes de negocio de MINT TECHNOLOGY CLOUD, S.L.
El Sistema de Seguridad de la Información de MINT TECHNOLOGY CLOUD, S.L. basa sus actuaciones en planificar, establecer, implementar, operar, monitorear, revisar, mantener y mejorar para preservar la calidad de los servicios, así como proteger la disponibilidad, integridad y confidencialidad de la información que soporta los procesos de la empresa.
Para ello, el Sistema de Gestión de Seguridad de la Información tiene como objetivos:
-
Gestión de la Seguridad de la Información, de acuerdo con la Norma Internacional UNE-EN ISO/IEC 27001:2017, mediante la responsabilidad y la participación de todos los integrantes de la empresa.
-
Asignación eficaz de funciones y responsabilidades.
-
Gestión y control eficaz del proceso productivo mediante personal cualificado y especializado en telecomunicaciones y servicios cloud, en la búsqueda de la mejora continua de los procesos, procedimientos, productos entregados y servicios prestados al cliente, alcanzando a lo largo del tiempo una mayor madurez en la gestión y ejecución.
-
Formación necesaria del personal conforme a los cambios técnicos e innovaciones tecnológicas a la que la actividad de la empresa se viera sometida, para una ejecución del trabajo con los niveles de calidad y seguridad de la información exigible, y fomento de la formación del personal en los aspectos débiles que se detecten.
-
Prevención de posibles defectos e incidentes de seguridad de la información antes de que ocurran, trabajando orientados hacia la mejora y la comunicación.
-
Evolución continua del Sistema, con el fin de adecuarnos a las exigencias de nuestros clientes, a través de revisiones periódicas de este, cumpliendo con los requisitos legales y normativos importantes para la organización en el ámbito de la seguridad de la información, como también con las obligaciones contractuales.
-
Establecimiento de indicadores de seguridad que nos permitan conocer el grado de eficacia y seguridad de nuestros procesos productivos.
-
Implantación de nuevos modelos, métodos y sistemas de gestión empresarial y búsqueda y desarrollo de nuevos documentos que describan con claridad las actividades de la organización y a su posterior implantación.
-
Implementación de metodologías continuas encaminadas al conocimiento del grado de satisfacción y cumplimiento de las necesidades y expectativas de nuestros clientes.
-
Establecer el nivel de seguridad basándose en el análisis de riesgos.
-
Realización de auditorías de seguridad periódicas para conocer el grado de cumplimiento de la política de seguridad.
-
Realizar una buena gestión de nuestros recursos, tanto humanos (personal especializado) como materiales (económicos y financieros), para conseguir optimizar los resultados identificando los costes de la no calidad y la seguridad.
-
Concienciación y motivación del personal sobre la importancia de la implantación y desarrollo de un Sistema de Seguridad de la Información.
Esta Política servirá como marco para el establecimiento de los objetivos y sus correspondientes controles individuales o grupos de controles de seguridad, que serán propuestos por el Responsable de Seguridad de la Información y aprobados por Dirección. El proceso de escoger los controles está definido en la metodología de evaluación y tratamiento de riesgos. Los controles seleccionados y su estado de implementación se detallan en la Declaración de Aplicabilidad.
Las responsabilidades para el Sistema de Seguridad de la Información de MINT TECHNOLOGY CLOUD, S.L. son las siguientes:
Responsable del Sistema de Seguridad de la Información:
-
Garantizar que el Sistema sea implementado y mantenido de acuerdo con esta Política y que todos los recursos necesarios estén disponibles.
-
Coordinación operativa del Sistema, como también de informar sobre el desempeño y de realizar al menos una vez por año una auditoría interna del sistema.
-
Implementar programas de formación y concienciación que corresponde a todas las personas que cumplen una función en la gestión de la seguridad de la información.
-
Definir qué información relacionada con la seguridad de la información será comunicada a qué parte interesada (tanto interna como externa), por quién y cuándo.
-
Asegurar que esta Política es comunicada a todos los empleados de la empresa, como también a los participantes externos correspondientes.
-
Definir el método para medir el cumplimiento de los objetivos, así como de analizar, evaluar y reportar los resultados para la revisión por la Dirección, registrando los detalles sobre la medición, periodicidades y resultados obtenidos.
-
Recibir información de todos los incidentes o debilidades de seguridad para su tratamiento y reporte a la Dirección.
La Dirección debe revisar el Sistema de Seguridad de la Información al menos una vez al año o cada vez que se produzca una modificación significativa con objeto de establecer la conveniencia, adecuación y eficacia de éste.
Todos los objetivos deben ser revisados al menos una vez al año por el Responsable del Sistema de Gestión y aprobados por la Dirección.
La protección de la integridad, disponibilidad y confidencialidad de los activos es responsabilidad del propietario de cada activo.
A través del presente documento, la Dirección declara que en la implementación y mejora continua del Sistema de Seguridad de la Información se contará con el apoyo de los recursos adecuados para lograr los objetivos establecidos en esta Política, como también para cumplir con todos los requisitos identificados. Será revisada anualmente a iniciativa del Responsable del Sistema, que debe verificar y, si es necesario, actualizar el documento para su aprobación por la Dirección.
Al evaluar la efectividad y adecuación de esta Política, tendrá en cuenta entre otros los siguientes criterios:
-
El personal propio y externo que cumplen una función en el Sistema de Gestión pero que no están familiarizados con el presente documento.
-
No cumplimiento del Sistema de Gestión con las leyes y normas, las obligaciones contractuales y con los demás documentos internos de la organización.
-
Ineficacia de la implementación y mantenimiento del Sistema de Gestión.
-
Responsabilidades ambiguas para la implementación del Sistema de Gestión».
Madrid, uno de julio de 2024
Fdo.: Mariano López García
Dirección MINT TECHNOLOGY CLOUD, S.L.