Política de seguridad de la organización

INTRODUCCIÓN

 

Objeto

La información es en un activo principal para nuestra organización y por tanto tratamos su seguridad como un elemento crítico y fundamental. En nuestro contexto el tratamiento y la gestión segura de la información se imponen como una necesidad para competir y mejorar en el futuro.

Asimismo, la legislación actual es clara en lo referente a la seguridad de la información, disponiendo de un marco legal muy concreto que requiere de un cumplimiento exigente por parte de todos, pero que ayuda a adoptar las medidas de seguridad apropiadas en los sistemas de la información.

El objeto de este documento es establecer los principios y reglas básicas en las que se sostiene la Seguridad de la información de CAMPILLO PALMERA. Este conjunto de principios fundamentales ha sido formulado basándose en necesidades válidas de negocio, reconocimiento del valor añadido de los sistemas a proteger y una compresión de los riesgos asociados a estos sistemas.

 

Alcance

Esta política aplica a todo el Sistema de Gestión Integrado de CAMPILLO PALMERA, a todos los empleados y usuarios, incluso a terceras partes que traten información por encargo nuestro.

Afectará a los sistemas de información de la organización tanto a equipos personales o servidores, redes, aplicaciones, sistemas operativos, procesos de la empresa que pertenecen y/o son administrados por CAMPILLO PALMERA. Esta política cubre los aspectos más directamente relacionados con la responsabilidad y buen uso del personal de estos sistemas.

A efectos de esta política CAMPILLO PALMERA se considera como el siguiente grupo de empresas:

  • Campillo Palmera SL
  • Campillo Unión SL
  • Campillo Avanza SL
  • Evolux Hispánica SL

 

Usuarios y departamentos involucrados

Comité de Seguridad: El Comité de Seguridad de la Información es el encargado de construir y mantener la política de Seguridad de la Información, si bien, es la Dirección Ejecutiva de CAMPILLO PALMERA la responsable de la aprobación y publicación de dicha política, así como de distribuirla a todos los empleados y terceros afectados. Cualquier cambio o evolución que afecte o pudiera afectar al contenido de la política de seguridad de la Información quedará registrado en una nueva firma del documento de aprobación. De esta forma se concreta y confirma el compromiso de estas entidades por la seguridad de la información. Periódicamente, y en todo caso no superando el plazo de un año, se revisará la vigencia y razonabilidad de la presente política y se llevarán a cabo las mejoras, adaptaciones o modificaciones requeridas en función de los cambios organizativos, técnicos o regulatorios aplicables.

Empleados y usuarios: La Seguridad de la Información es un esfuerzo conjunto. Requiere la implicación y participación de todos los miembros de la organización que trabajan con Sistemas de Información. Por ello, cada empleado debe cumplir los requerimientos de la Política de Seguridad y su documentación asociada. Los empleados que deliberadamente o por negligencia incumplan la Política de Seguridad serán sujetos a acciones disciplinarias según se contempla en este documento o se expliciten en otras políticas o normativas de seguridad más detalladas.

 

Distribución de la Política

La distribución de la política de seguridad se distribuirá de las siguientes formas en función del grupo de interés al que se dirija:

  • Personal y directivos de la organización: la distribución de la política de seguridad se realizará mediante correo electrónico o herramientas mensajería oficiales de la organización.
  • Clientes, partners, proveedores y restantes grupos de interés: la política de seguridad se le incluirá como un apartado de nuestra página web donde podrá consultarse actualizada en todo momento.

 

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

CAMPILLO PALMERA, está altamente comprometida con mantener la mejora continua con la promoción de proyectos de investigación, desarrollo tecnológico e innovación, en un entorno de calidad, donde el desarrollo de buenas prácticas en Seguridad de la Información es fundamental para conseguir los objetivos de confidencialidad, integridad, disponibilidad y legalidad de toda la información gestionada. En consecuencia, a lo anterior, CAMPILLO PALMERA, define los siguientes principios de aplicación a tener en cuenta en el marco del Sistema de Gestión Integrado de Calidad y seguridad (SGI).

La Dirección CAMPILLO PALMERA entiende su deber de garantizar la seguridad de la información como elemento esencial para el correcto desempeño de los servicios de la organización, y, por tanto, soporta los siguientes objetivos y principios:

  • Implementar el valor de la Seguridad de la Información en el conjunto de la Organización.
  • Contribuir, todas y cada una de las personas de CAMPILLO PALMERA, a la protección de la Seguridad de la Información.
  • Preservar la confidencialidad, integridad, disponibilidad y resiliencia de la información, con el objetivo de garantizar que se cumplan los requisitos legales, normativos, y de nuestros clientes, relativos a la seguridad de la información; y de forma específica en lo que respecta a datos de carácter personal:
    • Los datos serán tratados de manera lícita, leal y transparente en relación con el interesado (Licitud, lealtad y transparencia).
    • Serán, recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines (Limitación de la finalidad).
    • Los datos serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (Minimización de datos).
    • Los datos deberán ser exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan (Exactitud).
    • Mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos (Limitación del plazo de conservación).
    • Tratados de manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas (Integridad y confidencialidad).
  • Proteger los activos de la información de CAMPILLO PALMERA de amenazas, ya sean internas o externas, deliberadas o accidentales, con el objetivo de garantizar la continuidad del servicio ofrecido a nuestros clientes y la seguridad de la información.
  • Establecer un plan de seguridad de la información que integre las actividades de prevención y minimización del riesgo de los incidentes de seguridad en base a los criterios de gestión del riesgo establecidos por CAMPILLO PALMERA.
  • Proporcionar los medios necesarios para poder realizar las actuaciones pertinentes de cara a la gestión de los riesgos identificados.
  • Asumir la responsabilidad en materia de concienciación y formación en materia de seguridad de la información como medio para garantizar el cumplimiento de esta política.
  • Extender nuestro compromiso con la seguridad de la información a nuestro personal trabajador y proveedores.
  • Mejorar continuamente la seguridad mediante el establecimiento y seguimiento periódico de objetivos de seguridad de la información.

Esta política será mantenida, actualizada y adecuada a los fines de la Organización, alineándose con el contexto de gestión de riesgos de esta. A este efecto se revisará a intervalos planificados o siempre que se produzcan cambios significativos, a fin de asegurar que se mantenga su idoneidad, adecuación y eficacia.

De igual forma, para gestionar los riesgos que afronta CAMPILLO PALMERA se establece un procedimiento de evaluación de riesgos formalmente definido. Por su parte, todas las políticas y procedimientos incluidos en el SGI serán revisados, aprobados e impulsados por la Dirección de CAMPILLO PALMERA.

 

Violaciones y Sanciones

Cualquier violación premeditada o negligente de las políticas y normas de seguridad y que suponga un potencial daño, consumado o no a CAMPILLO PALMERA, será sancionada de acuerdo con los mecanismos habilitados en el convenio de empresa y en la normativa legal, contractual y corporativa vigentes.

Todas las acciones en las que se comprometa la seguridad de CAMPILLO PALMERA y que no estén previstas en esta política, deberán ser revisadas por el comité de seguridad o por el responsable de Seguridad de la Información para dictar una resolución sujetándose al criterio de la empresa y la legislación prevista.

Las acciones disciplinarias en respuesta a los incumplimientos de la Política de Seguridad de la Información son atribución de la Dirección Ejecutiva de CAMPILLO PALMERA y de los órganos de gobierno según la legislación aplicable.

Existe un canal de denuncias y un protocolo de gestión de incidencias puesto a disposición de los trabajadores a través del cual cualquier miembro de la empresa puede comunicar una posible incidencia o incumplimiento al comité de seguridad o al responsable de seguridad.

 

Aprobado por Joaquín Campillo González a fecha de 23/09/2022