Pirsonal’s Information Security System Policy
Updated: January 1, 2023
Introducción
La Política de Seguridad de la Información (en adelante, Política) persigue la adopción de un conjunto de medidas destinadas a preservar la confidencialidad, integridad y disponibilidad de la información, que constituyen los tres componentes básicos de la seguridad de la información, y tiene como objetivo establecer los requisitos para proteger la información, los equipos y servicios tecnológicos que sirven de soporte para la mayoría de los procesos de negocio de PIRSONAL DIGITAL, S.L.
Esta Política de Seguridad de la Información es la pieza angular por la que se rige el Cuerpo Normativo de Seguridad de Pirsonal Digital, S.L.. El Cuerpo Normativo de Seguridad (en adelante, CNS) es un conjunto de documentos a diferentes niveles que conforman los requerimientos, directrices y protocolos que debe seguir el Pirsonal Digital, S.L. en materia de seguridad. El CNS deberá ser desarrollado por Pirsonal Digital, S.L. mediante un conjunto de documentos (normas de uso, estándares normativos, procedimientos, manuales, guías, buenas prácticas, etc.) de tal manera que cubran todos los aspectos que se presentan en la Política, llegando a nivel de proceso operativo.
En la actualidad, las tecnologías de la información se enfrentan a un creciente número de amenazas, lo cual requiere de un esfuerzo constante por adaptarse y gestionar los riesgos introducidos por estas.
Objetivo
El objetivo principal de la presente Política de alto nivel es definir los principios y las reglas básicas para la gestión de la seguridad de la información. El fin último es lograr que Pirsonal Digital, S.L. garantice la seguridad de la información y minimice los riesgos de naturaleza no financiera derivados de un impacto provocado por una gestión ineficaz de la misma.
Alcance
La Política es aplicable para todo el Pirsonal Digital, S.L., que deberá cumplir este mínimo requisito sin perjuicio de tener políticas más restrictivas y mejorar la seguridad en la medida de lo posible. El alcance de la presente Política abarca toda la información de Pirsonal Digital, S.L. con independencia de la forma en la que se procese, quién acceda a ella, el medio que la contenga o el lugar en el que se encuentre, ya se trate de información impresa o almacenada electrónicamente.
Principios de la Política de la Información
La presente Política responde a las recomendaciones de las mejores prácticas de Seguridad de la Información recogidas en el Estándar Internacional ISO/IEC 27001, así como al cumplimiento de la legislación vigente en materia de protección de datos personales y de las normativas que, en el ámbito de la Seguridad de la Información, puedan afectar a Pirsonal Digital, S.L..
Además, Pirsonal Digital, S.L. establece los siguientes principios básicos como directrices fundamentales de seguridad de la información que han de tenerse siempre presentes en cualquier actividad relacionada con el tratamiento de información:
- Alcance estratégico: La seguridad de la información deberá contar con el compromiso y apoyo de todos los niveles directivos de las sociedades del Pirsonal Digital, S.L. de forma que pueda estar coordinada e integrada con el resto de las iniciativas estratégicas para conformar un marco de trabajo completamente coherente y eficaz.
- Seguridad integral: La seguridad de la información se entenderá como un proceso integral constituido por elementos técnicos, humanos, materiales y organizativos, evitando, salvo casos de urgencia o necesidad, cualquier actuación puntual o tratamiento coyuntural. La seguridad de la información deberá considerarse como parte de la operativa habitual, estando presente y aplicándose durante todo el proceso de diseño, desarrollo y mantenimiento de los sistemas de información
- Gestión de riesgos: El análisis y gestión de riesgos será parte esencial del proceso de seguridad de la información. La gestión de riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. La reducción de estos niveles se realizará mediante el despliegue de medidas de seguridad, que establecerá un equilibrio entre la naturaleza de los datos y los tratamientos, el impacto y la probabilidad de los riesgos a los que están expuestos y la eficacia y el coste de las medidas de seguridad.
- Proporcionalidad: El establecimiento de medidas de protección, detección y recuperación deberá ser proporcional a los potenciales riesgos y a la criticidad y valor de la información y de los servicios afectados.
- Mejora continua: Las medidas de seguridad se reevaluarán y actualizarán periódicamente para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección. La seguridad de la información será atendida, revisada y auditada por personal cualificado.
- Seguridad por defecto: Los sistemas deberán diseñarse y configurarse de forma que garanticen un grado suficiente de seguridad por defecto.
El Pirsonal Digital, S.L. considera que las funciones de Seguridad de la Información deberán quedar integradas en todos los niveles jerárquicos de su personal.
Puesto que la Seguridad de la Información incumbe a todo el personal del Pirsonal Digital, S.L., esta Política deberá ser conocida, comprendida y asumida por todos sus empleados.
Para la consecución de los objetivos de esta Política, el Pirsonal Digital, S.L. deberá establecer una estrategia preventiva de análisis sobre los riesgos que pudieran afectarle, identificándolos, implantando controles para su mitigación y estableciendo procedimientos regulares para su reevaluación.
Compromiso de la Dirección
La Dirección del Pirsonal Digital, S.L., consciente de la importancia de la seguridad de la información para llevar a cabo con éxito sus objetivos de negocio, se compromete a:
- Promover en la organización las funciones y responsabilidades en el ámbito de seguridad de la información.
- Facilitar los recursos adecuados para alcanzar los objetivos de seguridad de la información.
- Impulsar la divulgación y la concienciación de la Política de Seguridad de la Información entre los empleados del Pirsonal Digital, S.L..
- Exigir el cumplimiento de la Política, de la legislación vigente y de los requisitos de los reguladores en el ámbito de la seguridad de la información.
- Considerar los riesgos de seguridad de la información en la toma de decisiones.
Roles y responsabilidades
El Pirsonal Digital, S.L. se compromete a velar por la Seguridad de todos los activos bajo su responsabilidad mediante las medidas que sean necesarias, siempre garantizando el cumplimiento de las distintas normativas y leyes aplicables.
Gestión de la Seguridad de los Recursos Humanos
El departamento de Recursos Humanos deberá realizar su gestión teniendo en cuenta los criterios de seguridad establecidos en la Política de Seguridad de la Información, siendo este un punto clave para asegurar su cumplimiento.
Se deberán salvaguardar los requisitos establecidos en la presente Política en todo momento, incluyendo en la fase previa a la contratación, fase de contratación, y fase de desistimiento de contratos de los empleados.
Formación y concienciación
El Pirsonal Digital, S.L. deberá asegurar que todo el personal recibe un nivel de formación y concienciación adecuado en materia de Seguridad de la Información en los plazos que exija la normativa vigente, especialmente en materia de confidencialidad y prevención de fugas de información.
Asimismo, los empleados deberán ser informados de las actualizaciones de las políticas y procedimientos de seguridad en los que se vean afectados y de las amenazas existentes, de manera que pueda garantizarse el cumplimiento de esta Política.
Por otro lado, los empleados tienen la obligación de obrar con diligencia con respecto a la información, debiéndose asegurar que dicha información no caiga en poder de empleados o terceros no autorizados.
Política de mesas limpias
Se establecen los siguientes requisitos con el objetivo de mantener la seguridad en los puestos de trabajo:
- Se deberá bloquear la sesión de los equipos cuando el empleado deje el puesto, tanto por medios manuales (bloqueo por parte del usuario), como de forma automatizada mediante la configuración del bloqueo de pantalla.
- Se deberá dejar recogido el entorno de trabajo al finalizar la jornada. Esto incluye la necesidad de que todo documento o soporte de información quede fuera de la vista, guardando bajo llave los que por su clasificación sean confidenciales o secretos (véase el Anexo: Niveles de clasificación).
- Se deberá mantener ordenado el puesto de trabajo y despejado de documentos o soportes de información que puedan ser vistos o accesibles por otras personas.
Gestión de activos
Se deberán tener identificados e inventariados los activos de información necesarios para la prestación de los procesos de negocio del Pirsonal Digital, S.L.. Adicionalmente, se deberá mantener actualizado el inventario de activos.
Se deberá realizar la clasificación de los activos en función del tipo de información que se vaya a tratar, de acuerdo con lo dispuesto en el apartado 7. Clasificación de la información.
Se deberá asignar un responsable encargado de realizar la gestión propia de los activos de información durante todo el ciclo de vida. El responsable deberá mantener un registro formal de los usuarios con acceso autorizado a dicho activo.
Además, para cada activo o elemento de información deberá existir un responsable o propietario, el cual tendrá la responsabilidad de asegurar que el activo esté inventariado, correctamente clasificado y adecuadamente protegido.
Se deberán actualizar de manera periódica las configuraciones de los activos para permitir el seguimiento de estos y facilitar una correcta actualización de la información.
Gestión de dispositivos BYOD o dispositivos personales
El Pirsonal Digital, S.L. permitirá la política conocida como BYOD (Bring Your Own Device), que permite a los empleados utilizar sus recursos o dispositivos móviles personales para acceder a recursos o información del Pirsonal Digital, S.L..
Adicionalmente, los usuarios deberán tener en cuenta una serie de requisitos establecidos en esta Política:
- Se deberán aplicar las mismas medidas y configuraciones de seguridad a los dispositivos BYOD que tratan información igual que al resto de dispositivos del Pirsonal Digital, S.L..
- El usuario será responsable de los equipos BYOD.
- Los usuarios deberán mantener actualizado el dispositivo BYOD personal donde traten información de cualquier tipo del Pirsonal Digital, S.L.. Asimismo, deberán tener instaladas aplicaciones de seguridad mediante software MDM (Mobile Device Management) proporcionadas por el departamento de IT para evitar brechas de seguridad en esos dispositivos.
- Los empleados deberán recibir autorización de su responsable de área para utilizar dispositivos BYOD.
- Cualquier incidencia que pueda afectar a la confidencialidad, integridad o disponibilidad de estos dispositivos debe ser reportada al responsable de seguridad.
Gestión del ciclo de vida de la información
El Pirsonal Digital, S.L. deberá gestionar adecuadamente el ciclo de vida de la información, de manera que se puedan evitar usos incorrectos durante cualquiera de las fases.
El ciclo de vida de un activo de información consta de las siguientes fases:
- Creación o recolección: esta fase se ocupa de los registros en su punto de origen. Esto podría incluir su creación por un miembro del Pirsonal Digital, S.L. o la recepción de información desde una fuente externa. Incluye correspondencia, formularios, informes, dibujos, entrada/salida del ordenador u otras fuentes.
- Distribución: es el proceso de gestión de la información una vez que se ha creado o recibido. Esto incluye tanto la distribución interna como externa, ya que la información que sale del Pirsonal Digital, S.L. se convierte en un registro de una transacción con terceros.
- Uso o acceso: se lleva a cabo después de que la información se distribuya internamente, y puede generar decisiones de negocio, generar nueva información, o servir para otros
fines. Detalla el conjunto de usuarios autorizados por el Pirsonal Digital, S.L. a acceder a la información.
- Almacenamiento: es el proceso de organizar la información en una secuencia predeterminada y la creación de un sistema de gestión para garantizar su utilidad dentro del Pirsonal Digital, S.L.. Si no se establece un método de almacenamiento para la presentación de información, su recuperación y uso resultaría casi imposible.
- Destrucción: establece las prácticas para la eliminación de la información que ha cumplido los periodos de retención definidos y la información que ha dejado de ser útil para el Pirsonal Digital, S.L.. Los periodos de conservación de la información deberán estar basados en los requisitos normativos, legales y jurídicos que afectan al Pirsonal Digital, S.L.. También deberán tenerse en cuenta las necesidades de negocio. Si ninguno de estos requisitos exige que la información sea conservada, deberá ser desechada mediante medios que garanticen su confidencialidad durante el proceso de destrucción.
El Pirsonal Digital, S.L. deberá identificar medidas de seguridad de acuerdo con la presente Política para asegurar la correcta gestión del ciclo de vida de los activos.
Gestión de las copias de seguridad
Se deberán realizar copias de seguridad de la información, del software y del sistema y se deberán verificar periódicamente. Para ello, se deberán realizar copias de seguridad de aplicaciones, ficheros y bases de datos con una periodicidad, al menos, semanal, salvo que en dicho período no se hubiese producido ninguna actualización. En su caso, se podrá establecer una frecuencia más alta de realización de copias de seguridad, si la información a salvaguardar es de impacto alto para el Pirsonal Digital, S.L. y/o de elevado nivel de transaccionalidad.
Como normal general, la frecuencia con la que se realizarán las copias de seguridad se determinará en función de la sensibilidad de las aplicaciones o datos, de acuerdo con los criterios de clasificación de información declarados en el anexo “Niveles de clasificación”.
Las copias de seguridad deberán recibir las mismas protecciones de seguridad que los datos originales, asegurándose su correcta conservación, así como los controles de acceso adecuados.
Como norma general y siempre que sea posible, se deberá requerir que la información en las copias de seguridad esté cifrada. Este requerimiento será obligatorio para determinados tipos de información confidencial.
Se deberán realizar pruebas de restauración de las copias de seguridad disponibles y de los procesos de restauración definidos, a fin de garantizar el funcionamiento correcto de los procesos. Estas se realizarán de forma periódica y quedarán documentadas.
Se deberá establecer un período de retención de las copias de seguridad hasta su destrucción una vez terminado el periodo de existencia.
Las copias de seguridad, tanto de archivos maestros como de aplicaciones y archivos de información se deberán ubicar en lugares seguros con acceso restringido. Asimismo, las copias de respaldo se ubicarán preferentemente en un centro distinto al que las generó.
Se deberá garantizar que existe una copia de seguridad adicional de la información sensible protegida ante escritura, de forma que se garantice su integridad ante la necesidad de recuperación frente a posibles incidencias de seguridad asociadas, por ejemplo, a Ransomware.
Clasificación de la información
Se deberá definir un modelo de clasificación de la información que permita conocer e implantar las medidas técnicas y organizativas necesarias para mantener su disponibilidad, confidencialidad e integridad. El modelo de clasificación deberá integrar los requisitos y condiciones establecidos en el presente apartado de la Política.
El modelo de clasificación deberá tener un responsable encargado de su actualización cuando se crea conveniente, así como de dar a conocer el modelo de clasificación a todos los empleados del Pirsonal Digital, S.L..
Tipos de información
El Pirsonal Digital, S.L. deberá clasificar la información en función del soporte en el que está siendo utilizado:
- Soportes lógicos: información que esté siendo utilizada mediante medios ofimáticos, correo electrónico o sistemas de información desarrollados a medida o adquiridos a un tercero.
- Soportes físicos: información que esté en papel, soportes magnéticos como USBs, DVDs, etcétera.
Gestión de información privilegiada
La información que se considere reservada, confidencial o secreta se deberá tratar con especial cuidado. Se deberán definir medidas de seguridad extraordinarias o adicionales para el adecuado tratado de la información privilegiada. Este tipo de información se deberá enviar cifrada y mediante protocolos seguros.
Etiquetado de la información
El Pirsonal Digital, S.L. deberá etiquetar mediante métodos manuales o, en la medida de lo posible, automatizados para facilitar el procesamiento adecuado de las medidas de seguridad que apliquen en cada caso.
Se deberán etiquetar los documentos o materiales, así como los anexos, copias, traducciones o extractos de estos, según los niveles de clasificación de la información definidos en el subapartado anterior, exceptuando la información considerada de “Uso público”.
Se deberá definir un proceso o procedimiento para el etiquetado de la información de acuerdo con los siguientes requisitos:
- Asegurar que el etiquetado de la información refleja el esquema de clasificación de la información adoptado.
- Asegurar que las etiquetas sean fácilmente reconocibles entre todos los empleados.
- Orientar a los empleados sobre dónde y cómo se colocarán o utilizarán las etiquetas, en función del proceso de acceso a la información o a los activos que la soportan.
- Indicar las excepciones en los que se permite omitir el etiquetado, sin que ello suponga una omisión del deber de clasificar la información.
Se deberá prestar especial atención y tratar con cuidado máximo el etiquetado de activos físicos que contengan información reservada o secreta, para evitar su sustracción por ser fácilmente identificable.
Se deberán establecer las medidas técnicas, si fueran necesarias, y viables de etiquetado automático de la información soportada en medios digitales.
El Pirsonal Digital, S.L. deberá asegurar la formación y capacitación de todos sus empleados en el etiquetado de la información, así como formar y capacitar específicamente a los empleados que traten información de nivel reservada o secreta.
Manipulación de la información
El Pirsonal Digital, S.L. se encargará de desarrollar e implementar un conjunto adecuado de procedimientos para la correcta manipulación de la información. Se deberán adoptar las medidas necesarias para proteger la información de acuerdo a su clasificación.
La información privilegiada estará en todo momento custodiada durante todo el ciclo de vida de la misma.
Privacidad de la información
El Pirsonal Digital, S.L. deberá asegurar la privacidad de los datos de carácter personal con el objetivo de proteger los derechos fundamentales de las personas físicas, especialmente su derecho al honor, intimidad personal y familiar y a la propia imagen, mediante el establecimiento de medidas para regular el tratamiento de los datos.
El Pirsonal Digital, S.L. deberá cumplir con la legislación vigente en materia de protección de datos personales en función de la jurisdicción en la que esté establecida y opere (a modo ilustrativo, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantías de los Derechos Digitales para el caso de España) y deberá incluir las medidas necesarias para cumplir con la normativa.
Se deberán implementar medidas adecuadas para asegurar la privacidad de la información en todas las fases de su ciclo de vida (de acuerdo con el apartado 6.2. Gestión del ciclo de vida de la información).
Prevención de fugas de información
La fuga de información es una salida no controlada de información (intencionada o no intencionada) que provoca que la misma llegue a personas no autorizadas o que su propietario pierda el control sobre el acceso a la misma por parte de terceros.
Se deberán analizar los vectores de fuga de información, en función de las condiciones y operativa de trabajo de cada sociedad del Pirsonal Digital, S.L.. Para ello, se deberán identificar los activos cuya fuga supone mayor riesgo para cada sociedad, basándose en la criticidad del activo y el nivel de clasificación que la información tenga. Además, se deberán identificar las posibles vías de robo, pérdida o fuga de cada uno de los activos en sus diferentes estados del ciclo de vida.
El Pirsonal Digital, S.L. deberá definir procedimientos para evitar la ocurrencia de las situaciones que puedan provocar la pérdida de información, así como procedimientos de actuación en caso de que se notifique una fuga de información.
Se deberá asegurar la formación y capacitación de todos los empleados en torno a buenas prácticas para la prevención de fugas de información. Especialmente se deberán tener en cuenta, al menos, los siguientes aspectos:
- Proceso para el manejo de dispositivos de alta criticidad conocidos
- Uso adecuado de dispositivos extraíbles como USBs, CD/DVDs o similares
- Uso del correo electrónico
- Transmisión de información de forma oral
- Impresión de documentación
- Salida de documentación
- Uso de dispositivos móviles
- Uso de Internet
- Escritorios limpios y ordenados (véase el apartado 5.2. Política de mesas limpias)
- Equipos desatendidos
Control de acceso
Todos los sistemas de información del Pirsonal Digital, S.L. deberán contar con un sistema de control de acceso a los mismos. Asimismo, el control de acceso se enfoca en asegurar el acceso de los usuarios y prevenir el acceso no autorizado a los sistemas de información, incluyendo medidas como la protección mediante contraseñas.
El control de acceso se entenderá desde la perspectiva tanto lógica (enfocado a sistemas de la información) como física (véase el apartado 11. Seguridad Física y del Entorno).
Requisitos de negocio para el control de acceso
El Pirsonal Digital, S.L. deberá asumir una serie de requisitos de negocio para el control de acceso, que serán, al menos, los siguientes:
- Los usuarios deberán ser únicos y no podrán ser compartidos. Asimismo, los privilegios de los usuarios serán inicialmente asignados mediante el principio de mínimo privilegio.
- Se prohibirá el uso de usuarios genéricos. En su defecto, se utilizarán cuentas de usuario asociadas a la identidad nominal de la persona asociada.
- Siempre que sea posible, se deberá de disponer de un doble factor de autenticación (MFA) para el acceso a los sistemas de información, siendo obligatorio para aquellos que puedan ser accesibles desde redes públicas.
Derechos de acceso
El Pirsonal Digital, S.L. deberá implementar controles de acceso que garanticen que a los usuarios sólo se les otorguen privilegios y derechos necesarios para desempeñar su función.
Los derechos de acceso deberán ser establecidos en función de:
- Control de acceso basado en roles: deberán establecerse perfiles o roles de acceso por aplicación y/o sistemas para poder asignar los mismos a los diferentes usuarios.
- Necesidad de saber: Solo se permitirá el acceso a un recurso cuando exista una necesidad legítima para el desarrollo de la actividad.
- Privilegios mínimos: los permisos otorgados a los usuarios deberán ser los mínimos.
- Segregación de funciones: deberá asegurarse una correcta segregación de funciones para desarrollar y asignar derechos de acceso.
Asimismo, ningún usuario deberá poder acceder por sí mismo a un sistema de información controlado sin la aprobación del responsable del propio usuario (o de la persona designada).
Control de acceso lógico
El Pirsonal Digital, S.L. deberá establecer una Política de contraseñas adecuada y alineada con las buenas prácticas en seguridad. La política de contraseñas definirá los requisitos de las contraseñas y los plazos de mantenimiento de una misma contraseña.
La Política de contraseñas deberá ser conocida por todos los empleados del Pirsonal Digital, S.L..
Teletrabajo
Se deberá controlar el acceso remoto a la red de las sociedades del Pirsonal Digital, S.L. en la modalidad de trabajo a distancia.
Los servicios de conexión al trabajo en remoto estarán destinados exclusivamente a personal del Pirsonal Digital, S.L.. Su uso por parte de cualquier otro tipo de colaborador requerirá autorización del responsable de seguridad.
El equipo utilizado para la conexión en la modalidad de trabajo en remoto podrá ser propiedad del empleado o proporcionado por el Pirsonal Digital, S.L.. En cualquier caso, es obligatorio que el equipo cumpla con los siguientes requerimientos de seguridad:
- Capacidad de realizar una conexión a través de una VPN.
- Disponer de un sistema operativo actualizado con las últimas actualizaciones de seguridad.
- Software antivirus instalado.
- Software de firewall/cortafuegos personal instalado.
El teletrabajo desde un equipo propio del trabajador requerirá de todas las medidas de seguridad oportunas, con el objetivo de que el trabajo en remoto no suponga una amenaza para la seguridad de la información del Pirsonal Digital, S.L.. Además, se podrán establecer medidas de seguridad adicionales a las existentes para asegurar de una manera más fiable la conexión segura en remoto.
El servicio de teletrabajo se monitorizará y controlará, registrándose tanto la conexión como la actividad de acuerdo con los protocolos de seguridad.
Gestión del ciclo de vida de la identidad
Las sociedades del Pirsonal Digital, S.L. deberán definir e implementar un adecuado sistema de gestión del ciclo de vida de la identidad. La identidad es el conjunto de características que identifican de forma unívoca a toda persona con acceso físico o lógico a los sistemas de información del Pirsonal Digital, S.L.. El ciclo de vida de la identidad es el proceso que sigue la identidad de un usuario desde su creación hasta su eliminación.
El ciclo de vida de la identidad se compone de las siguientes actividades:
- Creación y asignación de la identidad
- Revisión periódica
- Modificación o eliminación
La gestión de este ciclo requiere definir los requisitos de seguridad y responsabilidades de cada una de las etapas, con el objetivo de centralizar y facilitar los procesos de gestión asociados a las mismas.
La gestión del ciclo de vida de la identidad deberá estar alineado con el Departamento de RRHH con el objetivo de verificar las identidades en función de las altas y las bajas de empleados y su correspondencia en los sistemas de información.
Identidades Privilegiadas
La asignación y uso de derechos de acceso privilegiado deberá estar restringida y controlada. El acceso privilegiado es el acceso a sistemas como administrador o con un rol que ofrezca la posibilidad de modificarla configuración del sistema.
La asignación de derechos de acceso privilegiado deberá ser controlada a través de un proceso formal de autorización de acuerdo con las políticas de control de acceso. Deberán considerarse, al menos, los siguientes requisitos:
- Deberán identificarse los derechos de acceso privilegiados asociados a cada sistema o proceso (por ejemplo, sistema operativo, sistema de gestión de base de datos o aplicación), así como los usuarios a los que estos les deberán ser asignados.
- La asignación de derechos de acceso privilegiados deberá realizarse en base a las necesidades de uso, basándose en el mínimo privilegio y necesidad de saber.
- Deberá definirse un proceso de autorización que incluya un registro de los privilegios asignados. No deberán concederse derechos de acceso privilegiado hasta que el proceso de autorización se complete.
- Deberán definirse los requisitos para la caducidad de los derechos de acceso privilegiado.
- Las competencias de los usuarios con derechos de acceso privilegiado deberán revisarse regularmente con el objetivo de verificar que se encuentran alineadas con sus obligaciones.
- Deberán establecerse y mantenerse procedimientos y mecanismos específicos para evitar el uso no autorizado de cuentas de usuario genéricas para la administración, conformes con las capacidades de configuración de los sistemas.
- Se deberán establecer procedimientos y mecanismos que aseguren la confidencialidad de la información secreta de autenticación para los usuarios
genéricos de administración (por ejemplo, modificación frecuente de contraseña, mecanismos de compartición de la contraseña seguros, etc.).
Seguridad Física y del Entorno
Los espacios físicos donde se ubiquen los sistemas de información del Pirsonal Digital, S.L. deberán estar protegidos adecuadamente mediante controles de acceso perimetrales, sistemas de vigilancia y medidas preventivas de manera que puedan evitarse o mitigar el impacto de incidentes de Seguridad (accesos no autorizados a sistemas de información, robo o sabotaje) y accidentes ambientales (incendios, inundaciones, cortes de suministro eléctrico, etc.).
Además, deberá haber un control de acceso físico a la información que se encuentre en formato físico mediante un registro en papel sobre quién accede a la información. Por otra parte, la información confidencial se deberá almacenar con medidas específicas como armarios ignífugos.
Seguridad en trabajo en la nube o cloud
El Pirsonal Digital, S.L. deberá mantener una política de trabajo en la nube o cloud computing que establezca las medidas de seguridad adecuadas para la confidencialidad, integridad y disponibilidad de la información. Dependiendo de tipo de modelo de servicio en la nube, se deberán aplicar diferentes medidas de seguridad:
- Infraestructura: en primer lugar, se deberá asegurar que el Proveedor monitoriza el entorno para detectar cambios no autorizados. Además, se deberán establecer fuertes niveles de autenticación y control de acceso para los administradores y las operaciones que estos realicen. Por último, las instalaciones y/o configuraciones de los elementos comunes deberán estar registrados y conectados con el objetivo de obtener la trazabilidad adecuada.
- Plataforma: de forma adicional a las medidas indicadas en el modelo de servicio de Infraestructura, el Proveedor del servicio deberá proporcionar mecanismos de seguridad correspondientes al ciclo de vida del software seguro, de acuerdo con el apartado 15. Seguridad en el ciclo de vida del desarrollo de sistemas.
- Software: de forma adicional a las medidas indicadas en el modelo de servicio de Plataforma, el Pirsonal Digital, S.L. y el Proveedor deberán seguir OWASP (Open Web Application Security) como guía para la seguridad de las aplicaciones.
Seguridad en la operativa
Todos los sistemas de información del Pirsonal Digital, S.L. que procesan o almacenan información de su propiedad deberán contar con las medidas de seguridad oportunas que optimicen su nivel de madurez adecuado (monitorización, control de cambios, revisiones, etc). Asimismo, se deberán gestionar, controlar y monitorizar las redes de manera adecuada, a fin de protegerse de las amenazas y mantener la seguridad de los sistemas y aplicaciones que utilizan la red, incluidos los controles de acceso a la red, protegiendo así toda la información que se transfiera a través de estos elementos y/o entornos.
Seguridad en las telecomunicaciones
La arquitectura de red del Pirsonal Digital, S.L. deberá contar con medidas de prevención, detección y respuesta para evitar brechas en los dominios internos y externos. Se entiende por “dominio interno” la red local compuesta por los elementos tecnológicos del Pirsonal Digital, S.L. accesibles exclusivamente desde la red interna. Por otra parte, se entiende por “dominio externo” la red accesible desde el exterior de la red del Pirsonal Digital, S.L..
Es de suma importancia la administración de seguridad de las redes que atraviesan el perímetro del Pirsonal Digital, S.L., implantando controles adicionales para los datos sensibles que circulen por las redes de comunicación públicas.
Por ello, el Pirsonal Digital, S.L. definirá las pautas de seguridad a seguir con relación a la transferencia de información, así como las medidas de seguridad en la utilización de equipos portátiles, servicios de Internet y correo electrónico, y de controles específicos que permitan una conexión segura a los sistemas de información del Pirsonal Digital, S.L. desde fuera de sus instalaciones.
Seguridad en el ciclo de vida del desarrollo de sistemas
Toda la adquisición, desarrollo y mantenimiento de los sistemas deberá contar con unos requisitos mínimos de seguridad necesarios para el desarrollo de software, los sistemas y los datos acorde con las buenas prácticas del sector. Además, deberá realizarse una gestión de las pruebas, el seguimiento de los cambios, y el inventario del software.
Cada departamento del Pirsonal Digital, S.L. deberá tener en cuenta la seguridad de la información en sus procesos de sistemas y datos, procedimientos de selección, desarrollo e implementación de aplicaciones, productos y servicios.
Seguridad en los Proveedores
Se deberá poner especial atención en evaluar la criticidad de todos los servicios susceptibles de ser subcontratados de manera que puedan identificarse aquellos que sean relevantes desde el punto de vista de la seguridad de la información, ya sea por su naturaleza, la sensibilidad de los datos que deban tratarse o la dependencia sobre la continuidad de negocio.
Sobre los proveedores de estos servicios se deberán cuidar los procesos de selección, requerimientos contractuales como la terminación contractual, la monitorización de los niveles de servicio, la devolución de datos y las medidas de seguridad implantadas por dicho proveedor, que deberán ser, al menos, equivalentes a las que se establecen en la presente Política.
Gestión de Incidentes
Todos los empleados del Pirsonal Digital, S.L. tienen la obligación y responsabilidad de la identificación y notificación al responsable de seguridad de la sociedad de cualquier incidente o delito que pudiera comprometer la seguridad de sus activos de información. Asimismo, el Pirsonal Digital, S.L. deberá implementar procedimientos para la correcta gestión de los incidentes detectados.
Se deberá definir un procedimiento de gestión de respuesta ante incidentes, en el que se defina un proceso de categorización de incidentes, análisis de impactos de negocio y escalado por parte de la función de seguridad de la información y ciberseguridad ante cualquier incidente relacionado con la seguridad de la información.
Continuidad de Negocio
Respondiendo a requerimientos de calidad y buenas prácticas, el Pirsonal Digital, S.L. deberá disponer de un Plan de Continuidad de Negocio como parte de su estrategia para garantizar la continuidad en la prestación de sus servicios esenciales o críticos y el adecuado manejo de los impactos sobre el negocio ante posibles escenarios de crisis, proporcionando un marco de referencia para que la sociedad actúe en caso de ser necesario. Este Plan de Continuidad deberá ser actualizado y probado periódicamente. Además, se deberá definir y mantener actualizado un Plan de Recuperación ante Desastres alineado con la continuidad de negocio, este plan abarcará la continuidad del funcionamiento de las tecnologías de información y comunicación.
El Pirsonal Digital, S.L. deberá encargarse de la formación y capacitación para todos sus empleados en materia de Continuidad del Negocio. La formación en materia de Continuidad del Negocio deberá ser revisada periódicamente con el objetivo de estar totalmente alineada con el Plan existente.
Cumplimiento regulatorio
El Pirsonal Digital, S.L. deberá comprometerse a dotar los recursos necesarios para dar cumplimiento a toda la legislación y regulación aplicable a su actividad en materia de seguridad de la información y establecer la responsabilidad de dicho cumplimiento sobre todos sus miembros. En este sentido, se velará por el cumplimiento de toda legislación, normativa o regulación aplicable.
Auditorías de Seguridad y gestión de vulnerabilidades
Se deberá realizar una identificación periódica de vulnerabilidades técnicas de los sistemas de información y aplicaciones empleadas en la organización, de acuerdo a su exposición a dichas vulnerabilidades y adoptando las medidas adecuadas para mitigar el riesgo asociado.
Una vez identificadas las vulnerabilidades, la organización deberá aplicar las medidas correctoras necesarias tan pronto como sea posible. La identificación, gestión y corrección de las vulnerabilidades debe hacerse conforme a un enfoque basado en riesgos, teniendo en cuenta la criticidad y la exposición de los activos.
Gestión de Excepciones
Cualquier excepción a la presente Política de Seguridad de la Información deberá ser registrada e informada al responsable de la Seguridad de la Información de la sociedad de Pirsonal Digital, S.L. que corresponda. Estas excepciones serán analizadas para evaluar el riesgo que podrían introducir a la sociedad y, en base a la categorización de estos riesgos, estos deberán ser asumidos por el peticionario de la excepción junto con los responsables del negocio.
Sanciones disciplinarias
Cualquier violación de la presente Política de Seguridad de la Información puede resultar en la toma de las acciones disciplinarias correspondientes de acuerdo con el proceso interno del Pirsonal Digital, S.L.. Es responsabilidad de todos los empleados del Pirsonal Digital, S.L. notificar al responsable de Seguridad de la Información de la sociedad afectada cualquier evento o situación que pudiera suponer el incumplimiento de alguna de las directrices definidas por la presente Política.
Revisión de la Política
La aprobación de esta Política implica que su implantación contará con el apoyo de la Dirección para lograr todos los objetivos establecidos en la misma, como también para cumplir con todos sus requisitos.
La presente Política de Seguridad de la Información, será revisada y aprobada anualmente por el Consejo de Administración. No obstante, si tuvieran lugar cambios relevantes en la sociedad o se identificaran cambios significativos en el entorno de amenazas y riesgos, ya sean estos de tipo operativo, legal, regulatorio o contractual, se procederá a su revisión siempre que se considere necesario, asegurando así que la Política permanece adaptada en todo momento a la realidad del Pirsonal Digital, S.L..
Responsable de este documento:
Dirección de Pirsonal Digital, S.L. (Pirsonal)
This Information Security Policy is executed in two tab versions, English and Spanish. In case of any conflict between the Spanish and English versions, the Spanish version will take precedence.
The Spanish version of Pirsonal’s Information Security System Policy underwent an update on January 1, 2023. Subsequently, the English translation was incorporated on September 25, 2024.
Introduction
The Information Security Policy (hereinafter, Policy) seeks to adopt a set of measures aimed at preserving the confidentiality, integrity and availability of information, which constitute the three basic components of information security, and its purpose is to objective to establish the requirements to protect the information, equipment and technological services that support most of the business processes of PIRSONAL DIGITAL, S.L.
This Information Security Policy is the cornerstone by which the Security Standards Documentation of Pirsonal Digital, S.L. is governed. Security Standards Documentation (hereinafter, SSD) is a set of documents at different levels that make up the requirements , guidelines and protocols that Pirsonal Digital, S.L. must follow. in terms of security. The SSD must be developed by Pirsonal Digital, S.L. through a set of documents (rules of use, regulatory standards, procedures, manuals, guides, good practices, etc.) in such a way that they cover all the aspects presented in the Policy, reaching the operational process level.
Currently, information technologies face a growing number of threats, which requires a constant effort to adapt and manage the risks introduced by them.
Objective
The main objective of this High-Level Policy is to define the principles and basic rules for information security management. The ultimate goal is to ensure that Pirsonal Digital, S.L. guarantee the security of the information and minimize the risks of a non-financial nature derived from an impact caused by ineffective management of the same.
Scope
The Policy is applicable to all Pirsonal Digital, S.L., which must meet this minimum requirement without prejudice to having more restrictive policies and improving security to the extent possible. The scope of this Policy covers all the information of Pirsonal Digital, S.L. regardless of the way in which it is processed, who accesses it, the medium that contains it or the place in which it is located, whether it is printed or electronically stored information.
Principles of Information Policy
This Policy responds to the recommendations of the best Information Security practices included in the International Standard ISO/IEC 27001, as well as compliance with current legislation on the protection of personal data and the regulations that, in the field of Information Security, may affect Pirsonal Digital, S.L.
In addition, Pirsonal Digital, S.L. establishes the following basic principles as fundamental information security guidelines that must always be kept in mind in any activity related to the processing of information:
- Strategic scope: Information security must have the commitment and support of all management levels of the Pirsonal Digital, S.L. companies. so that it can be coordinated and integrated with the rest of the strategic initiatives to form a completely coherent and effective framework.
- Comprehensive security: Information security will be understood as a comprehensive process made up of technical, human, material and organizational elements, avoiding, except in cases of urgency or necessity, any specific action or short-term treatment. Information security must be considered as part of normal operations, being present and applied throughout the process of design, development and maintenance of information systems.
- Risk management: Risk analysis and management will be an essential part of the information security process. Risk management will allow the maintenance of a controlled environment, minimizing risks to accepdesk levels. The reduction of these levels will be carried out through the deployment of security measures, which will establish a balance between the nature of the data and the treatments, the impact and probability of the risks to which they are exposed and the effectiveness and cost of the measures. security measures.
- Proportionality: The establishment of protection, detection and recovery measures must be proportional to the potential risks and the criticality and value of the information and services affected.
- Continuous improvement: Security measures will be periodically re-evaluated and updated to adapt their effectiveness to the constant evolution of risks and protection systems. The security of the information will be attended to, reviewed and audited by qualified personnel.
- Security by default: Systems must be designed and configured to ensure a sufficient degree of security by default.
El Pirsonal Digital, S.L. considers that Information Security functions should be integrated into all hierarchical levels of its personnel.
Since Information Security is the responsibility of all Pirsonal Digital, S.L. personnel, this Policy must be known, understood and assumed by all its employees.
To achieve the objectives of this Policy, Pirsonal Digital, S.L. You must establish a preventive analysis strategy on the risks that could affect you, identifying them, implementing controls for their mitigation and establishing regular procedures for their re-evaluation.
Management Commitment
The Management of Pirsonal Digital, S.L., aware of the importance of information security to successfully carry out its business objectives, is committed to:
- Promote functions and responsibilities in the area of information security in the organization.
- Provide adequate resources to achieve information security objectives.
- Promote the dissemination and awareness of the Information Security Policy among employees of Pirsonal Digital, S.L.
- Demand compliance with the Policy, current legislation and the requirements of regulators in the field of information security.
- Consider information security risks in decision-making.
Roles and responsibilities
El Pirsonal Digital, S.L. undertakes to ensure the Security of all assets under its responsibility through the necessary measures, always guaranteeing compliance with the different applicable regulations and laws.
Human Resources Security Management
The Human Resources department must carry out its management taking into account the security criteria established in the Information Security Policy, this being a key point to ensure compliance.
The requirements established in this Policy must be safeguarded at all times, including in the pre-hire phase, hiring phase, and employee contract withdrawal phase.
Training and awareness
El Pirsonal Digital, S.L. must ensure that all staff receive an adequate level of training and awareness in matters of Information Security within the deadlines required by current regulations, especially in matters of confidentiality and prevention of information leaks.
Likewise, employees must be informed of updates to the security policies and procedures in which they are affected and of existing threats, so that compliance with this Policy can be guaranteed.
On the other hand, employees have the obligation to act diligently with respect to the information, and must ensure that said information does not fall into the hands of employees or unauthorized third parties.
Clean desk policy
The following requirements are established in order to maintain safety in the workplace:
- The equipment session must be blocked when the employee leaves the position, both by manual means (blocking by the user) and automatically by configuring the screen lock.
- The work environment must be left tidy at the end of the day. This includes the need for all documents or information carriers to be kept out of sight, keeping those that are confidential or secret due to their classification under lock and key (see Annex: Classification levels).
- The workplace must be kept tidy and free of documents or information carriers that may be seen or accessible by other people.
Asset Management
The information assets necessary to provide the business processes of Pirsonal Digital, S.L. must be identified and inventoried. Additionally, the asset inventory must be kept updated.
The classification of assets must be carried out depending on the type of information to be processed, in accordance with the provisions of section 7. Classification of information.
A person in charge of carrying out the management of the information assets must be assigned throughout the life cycle. The person responsible must maintain a formal record of users with authorized access to said asset.
Additionally, for each asset or element of information there must be a person responsible or owner, who will have the responsibility of ensuring that the asset is inventoried, correctly classified and adequately protected.
Asset configurations must be updated periodically to allow tracking of these and facilitate correct updating of information.
Management of BYOD devices or personal devices
El Pirsonal Digital, S.L. will allow the policy known as BYOD (Bring Your Own Device), which allows employees to use their personal resources or mobile devices to access resources or information from Pirsonal Digital, S.L.
Additionally, users must take into account a series of requirements established in this Policy:
- The same security measures and configurations must be applied to BYOD devices that process information the same as the rest of Pirsonal Digital, S.L.’s devices.
- The user will be responsible for BYOD equipment.
- Users must keep their personal BYOD device updated where they process information of any kind from Pirsonal Digital, S.L. Likewise, they must have security applications installed through MDM (Mobile Device Management) software provided by the IT department to avoid security breaches in those devices. devices.
- Employees must receive authorization from their area manager to use BYOD devices.
- Any incident that may affect the confidentiality, integrity or availability of these devices must be reported to the security manager.
Information life cycle management
El Pirsonal Digital, S.L. You must adequately manage the life cycle of the information, so that incorrect uses can be avoided during any of the phases.
The life cycle of an information asset consists of the following phases:
- Creation or collection: This phase deals with records at their point of origin. This could include its creation by a member of Pirsonal Digital, S.L. or receiving information from an external source. Includes correspondence, forms, reports, drawings, computer input/output, or other sources.
- Distribution: is the process of managing information once it has been created or received. This includes both internal and external distribution, since the information that comes out of Pirsonal Digital, S.L. it becomes a record of a transaction with third parties.
- Use or access: takes place after the information is distributed internally, and can generate business decisions, generate new information, or serve others
Finnish. Details the set of users authorized by Pirsonal Digital, S.L. to access information.
- Storage: it is the process of organizing information in a predetermined sequence and the creation of a management system to guarantee its usefulness within Pirsonal Digital, S.L. If a storage method is not established for the presentation of information, its recovery and use It would be almost impossible.
- Destruction: establishes the practices for the elimination of information that has met the defined retention periods and information that has ceased to be useful for Pirsonal Digital, S.L. The information retention periods must be based on regulatory requirements, legal and legal issues that affect Pirsonal Digital, S.L. Business needs must also be taken into account. If none of these requirements require that the information be preserved, it must be disposed of using means that guarantee its confidentiality during the destruction process.
El Pirsonal Digital, S.L. must identify security measures in accordance with this Policy to ensure the correct management of the life cycle of the assets.
Backup management
Backups of information, software and system must be made and verified periodically. To do this, backup copies of applications, files and databases must be made at least weekly, unless no updates have occurred in said period. Where appropriate, a higher frequency of backup copies may be established if the information to be safeguarded has a high impact for Pirsonal Digital, S.L. and/or high level of transactionality.
As a general rule, the frequency with which backup copies will be made will be determined based on the sensitivity of the applications or data, in accordance with the information classification criteria declared in the “Classification Levels” annex.
Backups must receive the same security protections as the original data, ensuring their correct conservation, as well as adequate access controls.
As a general rule and whenever possible, information in backup copies should be required to be encrypted. This requirement will be mandatory for certain types of confidential information.
Restoration testing of available backups and defined restore processes should be performed to ensure proper operation of the processes. These will be carried out periodically and will be documented.
A retention period must be established for backup copies until their destruction once the period of existence has ended.
Backups of both master files and applications and information files must be located in secure locations with restricted access. Likewise, backup copies will preferably be located in a center other than the one that generated them.
It must be guaranteed that there is an additional backup copy of sensitive write-protected information, so that its integrity is guaranteed in the event of the need for recovery from possible security incidents associated, for example, with Ransomware.
Information classification
An information classification model must be defined that allows knowing and implementing the necessary technical and organizational measures to maintain its availability, confidentiality and integrity. The classification model must integrate the requirements and conditions established in this section of the Policy.
The classification model must have a person in charge of updating it when deemed appropriate, as well as making the classification model known to all employees of Pirsonal Digital, S.L.
Types of information
El Pirsonal Digital, S.L. You must classify the information based on the medium in which it is being used:
- Software: information that is being used through office media, email or information systems developed to measure or acquired from a third party.
- Physical media: information that is on paper, magnetic media such as USBs, DVDs, etc.
Insider Information Management
Information that is considered reserved, confidential or secret must be treated with special care. Extraordinary or additional security measures must be defined for the proper treatment of privileged information. This type of information must be sent encrypted and using secure protocols.
Information labeling
El Pirsonal Digital, S.L. must be labeled using manual or, to the extent possible, automated methods to facilitate the proper processing of the security measures that apply in each case.
Documents or materials, as well as annexes, copies, translations or extracts thereof, must be labeled according to the information classification levels defined in the previous subsection, except for information considered “Public Use”.
A process or procedure must be defined for labeling information in accordance with the following requirements:
- Ensure that information labeling reflects the information classification scheme adopted.
- Ensure that labels are easily recognizable among all employees.
- Guide employees on where and how labels will be placed or used, depending on the process of accessing the information or the assets that support it.
- Indicate the exceptions in which it is allowed to omit labeling, without this implying an omission of the duty to classify the information.
Special attention must be paid and the utmost care must be taken when labeling physical assets that contain confidential or secret information, to avoid their theft because they are easily identifiable.
Technical measures, if necessary, and feasible for automatic labeling of information supported by digital media must be established.
El Pirsonal Digital, S.L. It must ensure the training and training of all its employees in the labeling of information, as well as specifically train and train employees who process classified or secret level information.
Information manipulation
El Pirsonal Digital, S.L. will be responsible for developing and implementing an appropriate set of procedures for the correct handling of information. The necessary measures must be adopted to protect the information according to its classification.
Privileged information will be guarded at all times throughout its life cycle.
Information privacy
El Pirsonal Digital, S.L. must ensure the privacy of personal data with the aim of protecting the fundamental rights of natural persons, especially their right to honor, personal and family privacy and their own image, by establishing measures to regulate the processing of data. .
El Pirsonal Digital, S.L. must comply with current legislation on the protection of personal data depending on the jurisdiction in which it is established and operates (by way of illustration, Organic Law 3/2018, of December 5, on Data Protection and Guarantees of the Digital Rights in the case of Spain) and must include the necessary measures to comply with the regulations.
Appropriate measures must be implemented to ensure the privacy of information in all phases of its life cycle (in accordance with section 6.2. Information life cycle management).
Information leak prevention
Information leak is an uncontrolled release of information (intentional or unintentional) that causes it to reach unauthorized people or its owner to lose control over access to it by third parties.
The vectors of information leakage must be analyzed, depending on the working conditions and operations of each company of Pirsonal Digital, S.L. To this end, the assets whose leak represents the greatest risk for each company must be identified, based on the criticality of the asset and the level of classification that the information has. In addition, the possible routes of theft, loss or escape of each of the assets in their different states of the life cycle must be identified.
El Pirsonal Digital, S.L. must define procedures to prevent the occurrence of situations that may cause the loss of information, as well as procedures for action in the event that an information leak is reported.
Training and training of all employees must be ensured regarding good practices for the prevention of information leaks. In particular, at least the following aspects should be taken into account:
- Process for handling known high criticality devices
- Proper use of removable devices such as USBs, CD/DVDs or similar
- Use of email
- Transmission of information orally
- Documentation printing
- Documentation output
- Use of mobile devices
- Internet use
- Clean and tidy desks (see section 5.2. Clean desks policy)
- Unattended computers
Access control
All information systems of Pirsonal Digital, S.L. They must have an access control system for them. Likewise, access control focuses on ensuring user access and preventing unauthorized access to information systems, including measures such as password protection.
Access control will be understood from both a logical perspective (focused on information systems) and a physical perspective (see section 11. Physical and Environmental Security).
Business requirements for access control
El Pirsonal Digital, S.L. You must assume a series of business requirements for access control, which will be, at least, the following:
- Users must be unique and cannot be shared. Likewise, user privileges will initially be assigned using the principle of least privilege.
- The use of generic users will be prohibited. Failing that, user accounts associated with the nominal identity of the associated person will be used.
- Whenever possible, a double factor authentication (MFA) should be available for access to information systems, being mandatory for those that can be accessed from public networks.
Access rights
El Pirsonal Digital, S.L. You must implement access controls that ensure that users are only granted privileges and rights necessary to perform their role.
Access rights must be established based on:
- Role-based access control: access profiles or roles must be established by application and/or systems to be able to assign them to different users.
- Need to know: Access to a resource will only be allowed when there is a legitimate need for the development of the activity.
- Minimum privileges: the permissions granted to users must be the minimum.
- Segregation of duties: correct segregation of duties must be ensured to develop and assign access rights.
Likewise, no user should be able to access a controlled information system on his or her own without the approval of the user’s manager (or designated person).
Logical access control
El Pirsonal Digital, S.L. You must establish an appropriate Password Policy aligned with good security practices. The password policy will define password requirements and password maintenance periods.
The Password Policy must be known by all employees of Pirsonal Digital, S.L.
Telecommuting
Remote access to the network of Pirsonal Digital, S.L. companies must be controlled. in the remote work modality.
The remote work connection services will be intended exclusively for Pirsonal Digital, S.L. personnel. Their use by any other type of collaborator will require authorization from the security manager.
The equipment used for the connection in the remote work modality may be owned by the employee or provided by Pirsonal Digital, S.L. In any case, it is mandatory that the equipment meets the following security requirements:
- Ability to make a connection through a VPN.
- Have an updated operating system with the latest security updates.
- Antivirus software installed.
- Firewall software/personal firewall installed.
Teleworking from the worker’s own computer will require all appropriate security measures, with the aim that remote work does not pose a threat to the security of the information of Pirsonal Digital, S.L. In addition, security measures may be established. additional to the existing ones to more reliably ensure a secure remote connection.
The teleworking service will be monitored and controlled, with both the connection and the activity being recorded in accordance with security protocols.
Identity lifecycle management
The companies of Pirsonal Digital, S.L. They must define and implement an appropriate identity lifecycle management system. Identity is the set of characteristics that uniquely identify any person with physical or logical access to the information systems of Pirsonal Digital, S.L. The identity life cycle is the process that a user’s identity follows from its creation until its elimination.
The identity life cycle is made up of the following activities:
- Identity creation and assignment
- Periodic review
- Modification or deletion
The management of this cycle requires defining the security requirements and responsibilities of each of the stages, with the objective of centralizing and facilitating the management processes associated with them.
Identity lifecycle management must be aligned with the HR Department with the objective of verifying identities based on employee registrations and cancellations and their correspondence in information systems.
Privileged Identities
The assignment and use of privileged access rights must be restricted and controlled. Privileged access is access to systems as an administrator or with a role that offers the ability to modify system settings.
The assignment of privileged access rights shall be controlled through a formal authorization process in accordance with access control policies. At least the following requirements must be considered:
- The privileged access rights associated with each system or process (for example, operating system, database management system or application) must be identified, as well as the users to whom they must be assigned.
- The assignment of privileged access rights should be done based on usage needs, based on least privilege and need to know.
- An authorization process must be defined that includes a record of assigned privileges. Privileged access rights should not be granted until the authorization process is complete.
- The requirements for the expiration of privileged access rights must be defined.
- The competencies of users with privileged access rights should be reviewed regularly in order to verify that they are aligned with their obligations.
- Specific procedures and mechanisms shall be established and maintained to prevent unauthorized use of generic user accounts for administration, consistent with systems configuration capabilities.
- Procedures and mechanisms must be established to ensure the confidentiality of secret authentication information for users.
generic management methods (e.g. frequent password modification, secure password sharing mechanisms, etc.).
Physical and Environmental Security
The physical spaces where the information systems of Pirsonal Digital, S.L. are located. They must be adequately protected by perimeter access controls, surveillance systems and preventive measures so that the impact of security incidents (unauthorized access to information systems, theft or sabotage) and environmental accidents (fires, floods, etc.) can be avoided or mitigated. power outages, etc.).
In addition, there must be physical access control to information that is in physical format through a paper record of who accesses the information. On the other hand, confidential information must be stored with specific measures such as fireproof cabinets.
Security when working in the cloud
El Pirsonal Digital, S.L. must maintain a work policy in the cloud or cloud computing that establishes appropriate security measures for the confidentiality, integrity and availability of the information. Depending on the type of cloud service model, different security measures must be applied:
- Infrastructure: first, it must be ensured that the Provider monitors the environment to detect unauthorized changes. In addition, strong levels of authentication and access control must be established for administrators and the operations they perform. Finally, the installations and/or configurations of the common elements must be registered and connected in order to obtain adequate traceability.
- Platform: in addition to the measures indicated in the Infrastructure service model, the Service Provider must provide security mechanisms corresponding to the life cycle of the secure software, in accordance with section 15. Security in the systems development life cycle.
- Software: in addition to the measures indicated in the Platform service model, Pirsonal Digital, S.L. and the Provider must follow OWASP (Open Web Application Security) as a guide for application security.
Security in operations
All information systems of Pirsonal Digital, S.L. that process or store information they own must have the appropriate security measures that optimize their appropriate level of maturity (monitoring, change control, reviews, etc.). Likewise, networks must be managed, controlled and monitored appropriately, in order to protect against threats and maintain the security of the systems and applications that use the network, including network access controls, thus protecting all information. that is transferred through these elements and/or environments.
Telecommunications security
The network architecture of Pirsonal Digital, S.L. It must have prevention, detection and response measures to avoid gaps in the internal and external domains. “Internal domain” is understood to be the local network made up of the technological elements of Pirsonal Digital, S.L. accessible exclusively from the internal network. On the other hand, “external domain” is understood to be the network accessible from outside the Pirsonal Digital, S.L. network.
The security administration of the networks that cross the perimeter of Pirsonal Digital, S.L. is of utmost importance, implementing additional controls for sensitive data that circulate through public communication networks.
For this reason, Pirsonal Digital, S.L. will define the security guidelines to follow in relation to the transfer of information, as well as security measures in the use of pordesk equipment, Internet and email services, and specific controls that allow a secure connection to the information systems of the Pirsonal Digital, S.L. from outside its facilities.
Security in the systems development life cycle
All acquisition, development and maintenance of systems must have the minimum security requirements necessary for the development of software, systems and data in accordance with good practices in the sector. In addition, test management, change tracking, and software inventory must be carried out.
Each department of Pirsonal Digital, S.L. You must take information security into account in your systems and data processes, selection procedures, development and implementation of applications, products and services.
Supplier Security
Special attention must be paid to evaluating the criticality of all services that may be outsourced so that those that are relevant from the point of view of information security can be identified, either due to their nature, the sensitivity of the data they need to be addressed or the dependency on business continuity.
Regarding the providers of these services, care must be taken in the selection processes, contractual requirements such as contractual termination, monitoring of service levels, data return and the security measures implemented by said provider, which must be, at least, equivalent to those established in this Policy.
Incident Management
All employees of Pirsonal Digital, S.L. They have the obligation and responsibility to identify and notify the company’s security officer of any incident or crime that could compromise the security of their information assets. Likewise, Pirsonal Digital, S.L. must implement procedures for the correct management of detected incidents.
An incident response management procedure must be defined, in which a process of categorization of incidents, analysis of business impacts and escalation by the information security and cybersecurity function is defined in the event of any security-related incident. of the information.
Business Continuity
Responding to quality requirements and good practices, Pirsonal Digital, S.L. must have a Business Continuity Plan as part of its strategy to guarantee continuity in the provision of its essential or critical services and the adequate management of impacts on the business in the event of possible crisis scenarios, providing a framework of reference so that the company acts if necessary. This Continuity Plan must be updated and tested periodically. In addition, a Disaster Recovery Plan aligned with business continuity must be defined and kept updated. This plan will cover the continuity of the operation of information and communication technologies.
El Pirsonal Digital, S.L. You must be in charge of training and training for all your employees in matters of Business Continuity. Business Continuity training must be reviewed periodically with the aim of being fully aligned with the existing Plan.
Regulatory compliance
El Pirsonal Digital, S.L. It must commit to providing the necessary resources to comply with all legislation and regulations applicable to its activity in terms of information security and establish responsibility for said compliance on all its members. In this sense, compliance with all applicable legislation, regulations or regulations will be ensured.
Security audits and vulnerability management
A periodic identification of technical vulnerabilities of the information systems and applications used in the organization must be carried out, according to its exposure to said vulnerabilities and adopting appropriate measures to mitigate the associated risk.
Once vulnerabilities are identified, the organization must apply the necessary corrective measures as soon as possible. The identification, management and correction of vulnerabilities must be done according to a risk-based approach, taking into account the criticality and exposure of the assets.
Exception Management
Any exception to this Information Security Policy must be registered and informed to the person responsible for Information Security of the company Pirsonal Digital, S.L. that corresponds. These exceptions will be analyzed to evaluate the risk that they could introduce to society and, based on the categorization of these risks, these must be assumed by the requester of the exception together with those responsible for the business.
Disciplinary sanctions
Any violation of this Information Security Policy may result in the corresponding disciplinary actions being taken in accordance with the internal process of Pirsonal Digital, S.L. It is the responsibility of all employees of Pirsonal Digital, S.L. notify the person responsible for Information Security of the affected company of any event or situation that could lead to non-compliance with any of the guidelines defined by this Policy.
Policy Review
The approval of this Policy implies that its implementation will have the support of Management to achieve all the objectives established therein, as well as to comply with all its requirements.
This Information Security Policy will be reviewed and approved annually by the Board of Directors. However, if relevant changes take place in the company or significant changes are identified in the threat and risk environment, whether of an operational, legal, regulatory or contractual nature, it will be reviewed whenever considered necessary, thus ensuring that the Policy remains adapted at all times to the reality of Pirsonal Digital, S.L.
Responsible for this document:
Management of Pirsonal Digital, S.L. (Pirsonal)