INTRODUCCIÓN
Hopla Software S.L desea proteger a sus clientes y objetivos de negocio ofreciendo a sus trabajadores, colaboradores, proveedores y clientes un entorno de trabajo seguro mediante las medidas de seguridad y procesos operativos adecuados.
La Política de Seguridad de la Información de Hopla está orientada a garantizar la protección de todos los activos de información y la tecnología utilizada para su tratamiento, de las amenazas internas o externas, deliberadas o accidentales, con el fin de asegurar su integridad, disponibilidad y confidencialidad, favoreciendo el eficiente cumplimiento de los objetivos estratégicos de la entidad.
La compañía dispone de un Sistema de Gestión de Seguridad de la Información impulsado por la Dirección de la compañía, que sigue el estándar internacional para la gestión de la seguridad de la información UNE-ISO/IEC 27001.
PRINCIPIOS DE LA POLÍTICA
Los principios que deben respetarse y aplicarse son:
- Promover una cultura en toda la organización orientada a la protección de los activos de información.
- Difusión, consolidación y cumplimiento de la política.
- Implementar las medidas de seguridad.
- Mantener las políticas, normativas y procesos actualizados, con el fin de asegurar su vigencia y eficacia
- Principio de confidencialidad, integridad y disponibilidad.
- Principio de mejora continua.
La seguridad de la información debe de ser flexible, eficaz y dar soporte al modelo de negocio de la compañía:
- El acceso a la información debe de ser controlado y estar basado en el rol de la persona en la organización.
- Las medidas de seguridad deben de garantizar los requisitos de confidencialidad, integridad y disponibilidad de información y servicios.
- Las medidas de seguridad deben de garantizar la privacidad de datos personales de acuerdo con la legislación vigente.
- La seguridad de la información debe de estar alineada con la organización del negocio, los requerimientos de seguridad de nuestros clientes, la legislación aplicable y las buenas prácticas de la industria.
APLICABILIDAD DE LA POLÍTICA
Esta política de seguridad de la información es obligatoria dentro de su ámbito de aplicación. Los trabajadores, colaboradores, subcontratistas y proveedores de la compañía deben de conocer y cumplir esta política de acuerdo con su rol cuando traten con información de la compañía o sus clientes.
La política de seguridad se basa en los siguientes principios, reglas y estándares:
- Estándar ISO/IEC 27001:2013
- Legislación relacionada con la privacidad de datos personales (LOPD, GDPR)
- Legislación relacionada con la seguridad de la información referida en la Normativa de Seguridad
Cuando se detecta un área de incumplimiento de esta política, esta estará sujeta a un análisis de riesgos. Este análisis de riesgos considera el posible impacto de una brecha de seguridad como resultado del incumplimiento y la disponibilidad de controles que mitiguen o compensen el riesgo. La revisión es realizada por la dirección de la compañía estando las desviaciones sujetas a su aprobación.
ÁMBITO DE UTILIZACIÓN DE LA POLÍTICA
Esta política establece los requisitos mínimos para asegurar la continuidad de las operaciones. La seguridad de la información efectiva es un esfuerzo conjunto que requiere la participación de todos los trabajadores y colaboradores de la compañía que trabajan con activos de información.
La política de seguridad de la información es de aplicación en todas las infraestructuras y activos de la información, incluyendo la infraestructura proporcionada por la compañía, la específica de cada proyecto o la infraestructura de cliente bajo responsabilidad de personal de la compañía:
- Dispositivos personales, servidores, almacenes de datos y aplicaciones.
- Medios de conexión entre infraestructuras externas a la compañía e infraestructuras de la compañía.
- Todos los activos de información que son utilizados por los servicios internos y cliente de la compañía.
- Cualquier información de la compañía.
- Cualesquiera procesos o tratamientos de información propia o fruto de la actividad de negocio.
El cumplimiento de la Política de Seguridad debe de ser monitorizada y auditada por la dirección de la compañía.
La Dirección