Política de seguridad

Garantizamos la calidad de la información y la prestación continuada de nuestros servicios, supervisando la actividad diaria y reaccionando con presteza a los incidentes.

  1. APROBACIÓN Y ENTRADA EN VIGOR

    Texto aprobado el día 14 de Agosto de 2023 por Netberry Servicios de Internet, S.L. Esta Política de Seguridad de la Información es efectiva desde dicha fecha y hasta que sea reemplazada por una nueva Política.

  2. INTRODUCCIÓN

    Netberry Servicios de Internet, S.L. depende de los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o los servicios prestados.

    El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.

    Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que los departamentos deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

    Los diferentes departamentos deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación.

  3. PREVENCIÓN

    Los departamentos deben evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello los departamentos deben implementar las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados.

    Para garantizar el cumplimiento de la política, los departamentos deben:

    • Autorizar los sistemas antes de entrar en operación.
    • Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
    • Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.
    1. DETECCIÓN

      Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una simple desaceleración hasta su detención, los servicios deben monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo establecido en el Artículo 10 del ENS.

      La monitorización es especialmente relevante cuando se establecen líneas de defensa de acuerdo con el Artículo 8 del ENS. Se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales.

    2. RESPUESTA

      Los departamentos deben:

      • Establecer mecanismos para responder eficazmente a los incidentes de seguridad.
      • Designar punto de contacto para las comunicaciones con respecto a incidentes detectados en otros departamentos o en otros organismos.
      • Establecer protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT).
    3. RECUPERACIÓN

      Para garantizar la disponibilidad de los servicios críticos, los departamentos deben desarrollar planes de continuidad de los sistemas TIC como parte de su plan general de continuidad de negocio y actividades de recuperación.

  4. ALCANCE

    Esta política se aplica a:

    “Los Sistemas de Información que dan soporte a las aplicaciones, al desarrollo, alojamiento, mantenimiento de los servicios digitales de Venta de Entradas, Gestión de Eventos y Gestión de Grupos Vacacionales. Según declaración de aplicabilidad vigente.”

  5. MISIÓN

    La misión de Netberry Servicios de Internet, S.L. es la de cumplir con las necesidades y expectativas de las partes interesadas involucradas dentro del alcance del sistema protegiendo la información interna y relacionada con la prestación de los servicios digitales al ciudadano y que se materializan en las siguientes prestaciones o servicios:

    • Mantenimiento de Venta de Entradas
    • Mantenimiento de Gestión de Grupos Vacacionales
    • Mantenimiento de Gestión de Eventos
    • Desarrollo
    • Hosting

    Estos servicios se materializan con las aportaciones de personas formadas y en permanente actualización de conocimientos, así como en métodos y prácticas de seguridad soportadas por la normativa de seguridad de Netberry Servicios de Internet, S.L.

  6. MARCO NORMATIVO

    La presente política se rige por la siguiente legislación y normativa de referencia:

    • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
    • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
    • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
    • Resolución de 7 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de Informe del Estado de la Seguridad. (ITS) de Conformidad con el ENS y la de Auditoría del ENS.
    • Artículo 156.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
    • Ley 3/2012, sobre el teletrabajo
    • Guías CCN-STIC (800).
  7. ORGANIZACIÓN DE LA SEGURIDAD
    1. COMITÉS: FUNCIONES Y RESPONSABILIDADES.

      Los Comités, que se constituirán como órganos colegiados, de conformidad con lo señalado en la Ley 40/2015, estarán formados por los miembros de todas las partes implicadas.

      En este sentido y con las funciones atribuidas en materia de Seguridad de la Información y seguridad física se crea el Comité de Seguridad de Netberry Servicios de Internet, S.L.

      El Comité de Seguridad estará formado por:

      • Responsable de la Información
      • Responsable de los Servicios
      • Responsable de Seguridad
      • Responsable del Sistema

      Las funciones para cada uno de los roles se establecen en el documento del comité de seguridad.

      Las funciones del Comité de Seguridad son las siguientes:

      • Atender las solicitudes, en materia de Seguridad de la Información, de la Administración y de los diferentes roles de seguridad y/o áreas informando regularmente del estado de la Seguridad de la Información.
      • Asesorar en materia de Seguridad de la Información.
      • Resolver los conflictos de responsabilidad que puedan aparecer entre las diferentes unidades administrativas.
      • Promover la mejora continua del sistema de gestión de la Seguridad de la Información. Para ello se encargará de:
        • Coordinar los esfuerzos de las diferentes áreas en materia de Seguridad de la Información, para asegurar que estos sean consistentes, alineados con la estrategia decidida en la materia, y evitar duplicidades.
        • Proponer planes de mejora de la Seguridad de la Información, con su dotación presupuestaria correspondiente, priorizando las actuaciones en materia de seguridad cuando los recursos sean limitados.
        • Velar porque la Seguridad de la Información se tenga en cuenta en todos los proyectos desde su especificación inicial hasta su puesta en operación. En particular deberá velar por la creación y utilización de servicios horizontales que reduzcan duplicidades y apoyen un funcionamiento homogéneo de todos los sistemas TIC.
        • Realizar un seguimiento de los principales riesgos residuales asumidos por la Administración y recomendar posibles actuaciones respecto de ellos.
        • Realizar un seguimiento de la gestión de los incidentes de seguridad y recomendar posibles actuaciones respecto de ellos.
        • Elaborar y revisar regularmente la Política de Seguridad de la Información para su aprobación por el órgano competente.
        • Elaborar la normativa de Seguridad de la Información para su aprobación en coordinación con el Dirección General.
        • Verificar los procedimientos de seguridad de la información y demás documentación para su aprobación.
        • Elaborar programas de formación destinados a formar y sensibilizar al personal en materia de Seguridad de la Información y en particular en materia de protección de datos de carácter personal.
        • Elaborar y aprobar los requisitos de formación y calificación de administradores, operadores y usuarios desde el punto de vista de Seguridad de la Información.
        • Promover la realización de las auditorías periódicas ENS y de protección de datos que permitan verificar el cumplimiento de las obligaciones de la Administración en materia de seguridad de la Información.

      Asimismo, podrán ser delegadas otras funciones por otro órgano de Netberry Servicios de Internet, S.L. con competencias en la materia. Las funciones atribuidas al Comité por otro órgano no podrán ser delegadas si bien podrán ser revocadas en cualquier momento.

      El Comité se encargará de la resolución de los conflictos y/o diferencias de opiniones, que pudieran surgir entre los roles de seguridad.

    2. ROLES: FUNCIONES Y RESPONSABILIDADES

      Se establecen en Integrantes del comité de seguridad los roles, funciones y designaciones al respecto del comité de seguridad.

    3. PROCEDIMIENTOS DE DESIGNACIÓN

      La creación del Comité de Seguridad de la Información, el nombramiento de sus integrantes y la designación de los Responsables identificados en esta Política ha sido realizada por la dirección de Netberry Servicios de Internet, S.L. y comunicada a las partes afectadas. Se comunica por medio de notificaciones usando la aplicación de Netberry Servicios de Internet, S.L. y quedando registrado en la plataforma de comunicaciones de la Netberry Servicios de Internet, S.L.

      Los miembros del Comité, así como los roles de seguridad serán revisados a los cuatro años o con ocasión de vacante.

    4. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

      Será misión del Comité de Seguridad, la revisión anual de esta Política de Seguridad de la Información y la propuesta de revisión o mantenimiento de la misma. La Política será aprobada por el propio comité de seguridad y difundida para que la conozcan todas las partes afectadas.

  8. DATOS DE CARÁCTER PERSONAL

    Los sistemas de información de Netberry Servicios de Internet, S.L. solo recogerán datos de carácter personal cuando sean adecuados, pertinentes y no excesivos y éstos se encuentren en relación con el ámbito y las finalidades para los que se hayan obtenido. De igual modo, adoptará las medidas de índole técnica y organizativas necesarias para el cumplimiento de la normativa de Protección de Datos vigente en cada caso.

    El responsable último de los datos de carácter personal es, independientemente del propietario marcado en la BDD, el responsable de la información.

    A la vista de la entrada en aplicación, el día 25 de mayo de 2018, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) y su traslación a la legislación española con la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, se han ido adaptando las medidas oportunas tales como, el análisis de legitimidad jurídica de cada uno de los datos tratamientos de datos que se lleven a cabo, el análisis de riesgos, la evaluación de impacto si el riesgo es alto, el registro de actividades y el nombramiento de quien vaya a desempeñar las funciones de Delegado de Protección de Datos. La asignación del Delegado de Protección de datos de Netberry Servicios de Internet, S.L. se encuentra especificado en la Agencia Española de Protección de datos.

  9. GESTIÓN DE RIESGOS

    Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá regularmente, al menos una vez al año:

    • cuando cambie la información manejada
    • cuando cambien los servicios prestados
    • cuando ocurra un incidente grave de seguridad
    • cuando se reporten vulnerabilidades graves

    Para la armonización de los análisis de riesgos, el Comité de Seguridad TIC establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. El Comité de Seguridad TIC dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.

  10. DESARROLLO DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

    El Comité de Seguridad ha aprobado el uso de un sistema de gestión, que será establecido, implementado, mantenido y mejorado, conforme a los estándares de seguridad. Este sistema se adecuará y servirá de gestión de los controles del Esquema Nacional de Seguridad. El sistema será documentado y permitirá generar evidencias de los controles y del cumplimiento de los objetivos marcados por el Comité. Existirá un procedimiento de gestión documental que establecerá las directrices para la estructuración de la documentación de seguridad del sistema, su gestión y acceso.

    Corresponde al Comité de Seguridad de la Información la revisión anual de la presente Política proponiendo, en caso de que sea necesario mejoras de la misma, para su aprobación por Netberry Servicios de Internet, S.L.

    Cuando Netberry Servicios de Internet, S.L. preste servicios a otros organismos, o maneje información de otros organismos, se les hará partícipe de esta Política de Seguridad de la Información.

    Netberry Servicios de Internet, S.L. a propuesta del Comité de Seguridad aprobará los canales para la coordinación de la información y los procedimientos de actuación para la reacción ante incidentes de seguridad, así como el resto de las actuaciones que Netberry Servicios de Internet, S.L. lleve en materia de Seguridad en relación con otros organismos.

    Cuando Netberry Servicios de Internet, S.L. utilice servicios de terceros o ceda información a terceros, se les hará partícipe de esta Política de Seguridad y de la Normativa de Seguridad existente que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en la mencionada normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de comunicación y resolución de incidencias. Se garantizará que el personal de terceros esté adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política de Seguridad. De igual modo, teniendo en cuenta la obligación de cumplir con lo dispuesto en el Real Decreto Real Decreto 311/2022 por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica modificado por el Real Decreto 951/2015 de 23 de octubre, y en consideración a la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad, donde se establece que los operadores del sector privado que presten servicios o provean soluciones a Netberry Servicios de Internet, S.L, a los que resulte exigible el cumplimiento del Esquema Nacional de Seguridad, deberán estar en condiciones de exhibir la correspondiente Declaración de Conformidad con el Esquema Nacional de Seguridad de categorías MEDIA o ALTA.

    Cuando algún aspecto de esta Política de Seguridad no pueda ser satisfecho por una tercera parte, según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad ENS que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.

  11. OBLIGACIONES DEL PERSONAL

    Todos los miembros de Netberry Servicios de Internet, S.L., incluidos en el alcance, tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad, siendo responsabilidad del Comité de Seguridad TIC disponer los medios necesarios para que la información llegue a los afectados.

    Todos los miembros de Netberry Servicios de Internet, S.L. atenderán a una sesión de concienciación en materia de seguridad TIC al menos una vez al año. Se establecerá un programa de concienciación continua para atender a todos los miembros de Netberry Servicios de Internet S.L, en particular a los de nueva incorporación.

    Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.

    El personal debe declarar haber sido informado y haber tenido acceso a la política del Esquema Nacional de Seguridad (ENS) de conformidad con la normativa vigente en materia de seguridad de la información en el ámbito de las tecnologías de la información y las comunicaciones. Al firmar el contrato, el contratante acepta expresamente adherirse y cumplir con todas las disposiciones y medidas de seguridad establecidas en el ENS, comprometiéndose a salvaguardar la confidencialidad, integridad y disponibilidad de la información clasificada y no clasificada, así como a cooperar activamente en la implementación de las medidas de seguridad requeridas por la normativa.

  12. TERCERAS PARTES

    Cuando Netberry Servicios de Internet, S.L. preste servicios a otros organismos o maneje información de otros organismos, se les hará partícipes de esta Política de Seguridad de la Información, se establecerán canales para reporte y coordinación de los respectivos Comités de Seguridad TIC y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

    Cuando Netberry Servicios de Internet, S.L. utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política.

    Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.

    Los licitantes tienen la obligación de que las soluciones o servicios prestados sean conformes con lo dispuesto en el Esquema Nacional de Seguridad y en este caso posean las correspondientes Declaraciones de Conformidad, según lo señalado en la citada Instrucción Técnica de Seguridad.