ES EN CAT GL

Política de seguridade

1. APROBACIÓN E ENTRADA EN VIGOR

A presente Política de seguridade da información foi elaborada e aprobada polo Comité de Seguridade de ASIGNO SERVICIOS INTEGRALES DE RECUPERACIÓN DE CRÉDITO, S.L., en diante ASIGNO, e será efectiva e de aplicación desde a data da súa publicación a través da Intranet da organización e a consecuente comunicación ás persoas usuarias.

2. INTRODUCIÓN

ASIGNO desenvolveu a presente Política de seguridade para definir os principios e bases necesarias para unha correcta xestión da seguridade da información tratada pola entidade, así como para dar cumprimento aos requisitos da norma ISO 27001.

ASIGNO, no desenvolvemento das súas actividades, depende dos sistemas TIC para acadar os seus obxectivos. Estes sistemas deben administrarse con dilixencia, adoptando as medidas precisas para protexelos contra danos accidentais ou deliberados que poidan afectar a dispoñibilidade, integridade ou confidencialidade da información tratada ou dos servizos prestados.

O obxectivo da seguridade da información é garantir a calidade da información e a continuidade dos servizos, actuando preventivamente, supervisando a actividade diaria e reaccionando con axilidade fronte a incidentes.

2.1. Presentación da empresa

ASIGNO é unha firma española fundada en 1982 e orientada ao asesoramento empresarial. A nosa vontade de ofrecer solución xurídico‑económica ao tecido industrial levounos a evolucionar e ampliar servizos en todos os ámbitos do Dereito da Empresa, configurando un Grupo que cobre necesidades concursais, recuperación de débeda, asesoramento financeiro e tamén asesoría fiscal, laboral e contable.

2.2. Valores da organización

Coñecemento: Experiencia financeira e xurídica de primeiro nivel nos sectores económicos nos que actuamos.

Experiencia: Máis de 35 anos exercendo en todos os ámbitos do dereito empresarial.

Valores: Compromiso cos resultados, honestidade, firmeza, creatividade e acompañamento continuo ao cliente.

3. ALCANCE

Esta Política aplicarase aos sistemas de información de ASIGNO que dan soporte aos servizos prestados pola organización.

ASIGNO decidiu certificar a xestión da seguridade da información segundo ISO 27001, co seguinte alcance:

"Sistema de Xestión de Seguridade da Información que dá soporte a todos os Sistemas de Información e persoal de ASIGNO relacionados cos servizos prestados nas áreas financeira, legal, tributaria e concursal, así como cos servizos cloud asociados".

4. MARCO NORMATIVO

Para o desenvolvemento desta Política de seguridade e do sistema de xestión asociado, tivéronse en conta:

Norma UNE-EN ISO/IEC 27001:2023: Seguridade da información, ciberseguridade e protección da privacidade. Sistemas de xestión da seguridade da información. Requisitos.

Norma UNE-EN ISO/IEC 27002:2023: Seguridade da información, ciberseguridade e protección da privacidade. Controis de seguridade da información.

Real Decreto 311/2022, do 8 de xaneiro, polo que se regula o Esquema Nacional de Seguridade.

Así mesmo, téñense en conta todas aquelas normativas e estándares relacionados coa seguridade da información relevantes para a organización, identificadas mediante o Procedemento de cumprimento legal e o seu rexistro asociado.

5. CUMPRIMENTO DOS REQUISITOS MÍNIMOS DE SEGURIDADE

ASIGNO implementou procesos e medidas de seguridade proporcionais á natureza da información e dos servizos a protexer.

5.1. A seguridade como proceso integral e principio de mínimo privilexio

A seguridade enténdese como un proceso integral de elementos técnicos, humanos, materiais, xurídicos e organizativos. A xestión da seguridade estará guiada por este principio, excluíndo actuacións puntuais ou improvisadas.

5.2. Vixilancia continua, revisión periódica e mellora continua

A vixilancia continua permitirá detectar comportamentos anómalos e responder con oportunidade.

As medidas de seguridade serán revisadas e actualizadas periodicamente segundo a evolución dos riscos e vulnerabilidades.

5.3. Xestión do persoal e profesionalidade

Todo o persoal recibirá formación en materia de seguridade e será supervisado para asegurar o cumprimento dos procedementos.

5.4. Xestión baseada en riscos

A análise e xestión de riscos será continua, aplicando medidas equilibradas e proporcionadas á natureza da información e dos servizos.

5.5. Incidentes de seguridade

ASIGNO dispón de procedementos de xestión de incidentes de seguridade, incluíndo prevención, detección, resposta e recuperación.

5.6. Liñas de defensa con sistemas interconectados

Implántanse múltiples capas de seguridade para minimizar impactos ante a interconexión con outros sistemas.

5.7. Diferenciación de responsabilidades

ASIGNO asigna roles diferenciados en materia de seguridade con responsabilidades claramente definidas.

5.8. Autorización e control dos accesos

Implántanse mecanismos para limitar o acceso a usuarios, procesos e sistemas autorizados.

5.9. Protección de instalacións

Establécense controis de acceso físico e protección das áreas críticas.

5.10. Adquisición de produtos e servizos de seguridade

Priorízanse provedores con certificacións recoñecidas (ISO 27001, ISO 27017, etc.).

5.11. Protección da información almacenada e en tránsito

Refórzase a protección da información en tránsito e en dispositivos móbiles, así como copias de seguridade para garantir a continuidade do servizo.

5.12. Rexistro de actividade e detección de código malicioso

ASIGNO rexistrará actividade relevante para investigar accións non autorizadas, respectando en todo momento a normativa de protección de datos.

6. ORGANIZACIÓN DA SEGURIDADE

6.1. Roles e responsabilidades de Seguridade da Información

Para garantir o cumprimento e a adaptación das medidas esixidas polo Real Decreto 311/2022, do 3 de maio, polo que se regula o Esquema Nacional de Seguridade, creáronse roles ou perfís de seguridade que formarán parte do Comité de Seguridade, e designáronse os cargos ou órganos que os ocuparán, do seguinte xeito:

  • Responsable de Información e Servizos: Responsable de servizos centrais.
  • Responsable de Seguridade da Información do ENS: Director de TI.
  • Responsable do Sistema do ENS: Responsable de Desenvolvemento.

O resto de roles e perfís relacionados coa seguridade da información, e as responsabilidades de cada un deles, definiranse a través do Manual de Xestión do SGSI de ASIGNO.

A continuación detállanse e establécense as funcións e responsabilidades de cada un dos roles definidos, sobre as que se dará o correspondente traslado ás persoas designadas, mediante un proceso formal que requirirá a aceptación, pola súa parte, de ditas responsabilidades.

Funcións do Responsable da Información e dos Servizos:

  • Establecer e aprobar os requisitos de seguridade aplicables ao servizo e á información dentro do marco establecido no anexo I do Real Decreto 311/2022, do 3 de maio, e RGPD, podendo solicitar unha proposta ao Responsable de Seguridade ENS e tendo en conta a opinión do Responsable do Sistema ENS e do/a Delegado/a de Protección de Datos.
  • Informar sobre os dereitos de acceso ao Servizo e á Información.
  • Aceptar os niveis de risco residual que afectan ao Servizo e á Información.
  • Poñer en coñecemento do Responsable da Seguridade e do/a Delegado/a de Protección de Datos calquera variación respecto da Información e dos Servizos dos que é responsable, especialmente a incorporación de novos Servizos ou Información ao seu cargo.
  • Velar pola adecuada realización das súas funcións dentro do marco de seguridade axeitado, axudando a difundir o coñecemento e a cultura de seguridade e de protección de datos necesaria para o correcto tratamento dos datos e da información.
  • Colaborar na definición e aprobación das actividades de tratamento de datos persoais propias da súa área de responsabilidade.
  • Determinar os requisitos (de seguridade) da información tratada e dos servizos prestados.
  • Recibir información sobre os incidentes e das actuacións realizadas para a súa resolución.
  • Realizar as valoracións ás que se refire o artigo 40 do ENS (categorías de seguridade), así como, se procede, a súa posterior modificación.
  • Determinar os criterios para asignar e modificar a cada información o nivel de seguridade requirido, sendo responsable da súa documentación e aprobación formal.

Funcións do Responsable da Seguridade ENS:

  • Manter e verificar o nivel axeitado de seguridade da Información manexada e dos servizos electrónicos prestados polos sistemas de información.
  • Determinar as decisións para satisfacer os requisitos de seguridade da información e dos servizos.
  • Determinar as medidas de seguridade aplicables, en función das valoracións feitas polos Responsables da Información e dos Servizos.
  • Supervisar a implantación das medidas necesarias para garantir que se satisfan os requisitos e informar sobre estas cuestións.
  • Formalizar e aprobar as medidas seleccionadas na Declaración de Aplicabilidade, incluíndo as medidas compensatorias ou complementarias de vixilancia e a súa correspondencia coas medidas do anexo II do Real Decreto citado.
  • Comprobar que as medidas de seguridade da información foron adecuadamente implementadas polo Responsable do Sistema.
  • Determinar a categoría de seguridade do sistema, con base nas valoracións dos Responsables da Información e do Servizo.
  • Promover a formación e a concienciación en materia de seguridade da información dentro do seu ámbito de responsabilidade.
  • Promover a realización da análise de riscos.
  • Designar responsables da execución da análise de riscos, da declaración de aplicabilidade, de identificar medidas de seguridade, determinar configuracións necesarias e elaborar a documentación do sistema.
  • Proporcionar asesoramento para a determinación da categoría do sistema, en colaboración co Responsable do Sistema e/ou o Comité de Seguridade da Información.
  • Participar na elaboración e implantación dos plans de mellora da seguridade e, se procede, nos plans de continuidade, procedendo á súa validación.
  • Xestionar as revisións externas ou internas do sistema.
  • Xestionar os procesos de certificación.
  • Analizar os informes de auditoría de primeira, segunda ou terceira parte que se refiran aos sistemas do seu ámbito competencial, e presentar as súas conclusións ao Responsable do Sistema e, se procede, ao Comité de Seguridade da Información.
  • Elevar ao Comité de Seguridade a aprobación de cambios e outros requisitos do sistema.
  • Aprobar de maneira explícita os cambios que impliquen un risco de nivel ALTO con carácter previo á súa implantación.
  • Analizar os riscos antes do despregamento dos sistemas de intelixencia artificial na entidade, atendendo ás valoracións do Responsable da Información e do Servizo e, se procede, do/a Delegado/a de Protección de Datos, e supervisar o seu despregamento.
  • Participar na elaboración e proposta da Política de Seguridade da Información e dos procedementos, normativas e instrucións en aplicación do ENS.
  • Elaborar e propoñer para a súa aprobación pola organización as políticas de seguridade, normativas e procedementos que inclúan as medidas técnicas e organizativas axeitadas e proporcionadas, para xestionar os riscos que se presenten para a seguridade das redes e sistemas de información utilizados e para previr e reducir ao mínimo os efectos dos ciberincidentes que afecten á organización e aos servizos.
  • Elaborar e aprobar a Declaración de Aplicabilidade, atendendo aos requirimentos do Responsable da Información e do Servizo.
  • No relativo aos incidentes de seguridade, contando cos responsables da entidade, da información e dos servizos:
  • Constituír o punto de contacto especializado para a coordinación co CSIRT de referencia, en particular co CCN-CERT ou o INCIBE.
  • Notificar á autoridade competente, a través do CSIRT de referencia e sen demora indebida, os incidentes que teñan efectos perturbadores na prestación dos servizos.
  • Recibir, interpretar e aplicar as instrucións e guías emitidas pola Autoridade competente, tanto para a operativa habitual como para a subsanación das deficiencias observadas.
  • Recopilar, preparar e subministrar información ou documentación á autoridade competente ou ao CSIRT de referencia, por solicitude desta ou por iniciativa propia.
  • Informar e coordinarse co/a Delegado/a de Protección de Datos para verificar a posible exfiltración de datos e a xeración de brechas de datos persoais. Identificar contexto, volume de datos afectados, nivel de sensibilidade destes, número de persoas afectadas, orixe desas persoas e toda a información necesaria para analizar e identificar o incidente de seguridade que ocasionase a destrución, perda ou alteración accidental ou ilícita de datos persoais tratados por un responsable, ou ben a comunicación ou acceso non autorizados aos mesmos.
  • Cando o sistema trate datos persoais, o Responsable da Seguridade recollerá os requisitos de protección de datos que sexan fixados polo responsable ou polo encargado do tratamento, contando co asesoramento do DPD, e que sexa necesario implementar nos sistemas de acordo coa natureza, alcance, contexto e fins do mesmo, así como cos riscos para os dereitos e liberdades de conformidade co establecido nos artigos 24 e 32 do RGPD, e coa avaliación de impacto na protección de datos, se se realizou.

Funcións do Responsable do Sistema ENS:

  • Desenvolver, operar e manter o sistema de información durante todo o seu ciclo de vida, incluíndo as súas especificacións, instalación e verificación do seu correcto funcionamento.
  • Desenvolver a forma concreta de implementar a seguridade no sistema e supervisar a operación diaria do mesmo, podendo delegar en administradores ou operadores baixo a súa responsabilidade.
  • Definir a topoloxía e a xestión do sistema de información, establecendo os criterios de uso e os servizos dispoñibles no mesmo.
  • Asumir que as medidas de seguridade se integran adecuadamente no marco xeral de seguridade.
  • Proporcionar asesoramento para a determinación da categoría do sistema, en colaboración co Responsable de Seguridade e/ou o Comité de Seguridade e Privacidade da Información.
  • Participar na elaboración e implantación dos plans de mellora da seguridade e, se procede, nos plans de continuidade.
  • Propoñer a suspensión do tratamento dunha determinada información ou da prestación dun servizo se aprecia deficiencias graves de seguridade que poidan afectar o cumprimento dos requisitos establecidos. A decisión final, que será adoptada pola dirección da entidade, deberá ser acordada cos responsables da información e dos servizos afectados e co Responsable da Seguridade.
  • Na xestión de incidentes de seguridade (ciberincidentes) poderá, de acordo co Responsable da Seguridade, suspender de forma cautelar e urxente o tratamento da información e a prestación dos servizos como medida de contención. Dita suspensión deberá ser comunicada aos responsables da información e do servizo e, en caso de afectación a datos persoais, ao Delegado de Protección de Datos, e se afecta á tramitación administrativa, aos servizos xurídicos da entidade.
  • Adoptar as medidas correctoras axeitadas derivadas dos informes de auditoría de primeira, segunda ou terceira parte.
  • Nos sistemas de categoría ALTA, visto o ditame de auditoría e atendendo á gravidade das deficiencias atopadas, poderá suspender temporalmente o tratamento de informacións, a prestación de servizos ou a operación total do sistema, ata a súa adecuada subsanación ou mitigación.
  • Adoptar as medidas correctoras das auditorías de primeira, segunda ou terceira parte, segundo as conclusións trasladadas polo Responsable da Seguridade.
  • Exercer as funcións de administrador da seguridade do sistema, que inclúen:
  • A implementación, xestión e mantemento das medidas de seguridade aplicables ao sistema de información.
  • A xestión, configuración e actualización, se procede, do hardware e software nos que se basean os mecanismos e servizos de seguridade do sistema de información.
  • A aplicación dos Procedementos Operativos de Seguridade (POS).
  • Informar o Responsable da Seguridade ou o Responsable do Sistema de calquera anomalía, compromiso ou vulnerabilidade relacionada coa seguridade.
  • Colaborar na investigación e resolución de incidentes de seguridade, desde a súa detección ata a súa resolución.
  • Xestionar as autorizacións concedidas ás persoas usuarias do sistema, en particular os privilexios concedidos, incluíndo o seguimento da actividade desenvolvida no sistema e a súa correspondencia co autorizado.
  • Comprobar que os controis de seguridade establecidos se observan adecuadamente.
  • Comprobar que se aplican os procedementos aprobados para o manexo do sistema de información.
  • Verificar as instalacións de hardware e software, así como as súas modificacións e melloras, para asegurar que a seguridade non está comprometida e que en todo momento se axustan ás autorizacións pertinentes.
  • Monitorizar o estado de seguridade do sistema proporcionado polas ferramentas de xestión de eventos de seguridade e mecanismos de auditoría técnica implementados no sistema.

6.2. Comité de Seguridade

Para garantir o cumprimento dos requisitos da norma ISO 27001 e do Esquema Nacional de Seguridade, e establecer a organización da seguridade da información adaptada ás necesidades da organización, constituíuse un Comité de Seguridade formado por diferentes responsables e membros da empresa, que dispón das seguintes responsabilidades en materia de seguridade da información:

  • Informar regularmente á Dirección sobre o estado da seguridade da información.
  • Promover a mellora continua do sistema de xestión da seguridade da información.
  • Elaborar a estratexia de evolución da organización respecto da seguridade da información.
  • Coordinar os esforzos das diferentes áreas en materia de seguridade da información, asegurando que sexan consistentes e estean aliñados coa estratexia definida, evitando duplicidades.
  • Elaborar (e revisar regularmente) a Política de Seguridade da Información para a súa aprobación pola Dirección.
  • Elaborar e elevar para a súa aprobación a Normativa de Seguridade da Información.
  • Establecer e aprobar os requisitos de formación e cualificación de administradores, operadores e usuarios desde o punto de vista da seguridade da información.
  • Elaborar programas de formación dirixidos a formar e sensibilizar o persoal en materia de Seguridade da Información e, en particular, en materia de protección de datos de carácter persoal.
  • Monitorizar os principais riscos residuais asumidos pola organización e recomendar posibles actuacións.
  • Monitorizar o desempeño dos procesos de xestión de incidentes de seguridade e recomendar actuacións sobre estes. En particular, velar pola coordinación das diferentes áreas de seguridade na xestión de tales incidentes.
  • Promover a realización de auditorías periódicas que permitan verificar o cumprimento das obrigas en materia de seguridade.
  • Elaborar plans de mellora da seguridade da información da organización e velar pola coordinación dos distintos plans que poidan desenvolverse en diferentes áreas.
  • Priorizar actuacións en materia de seguridade cando os recursos sexan limitados.
  • Velar para que a seguridade da información se teña en conta en todos os proxectos TIC, desde a súa especificación inicial ata a súa posta en operación, fomentando servizos horizontais que reduzan duplicidades e apoien un funcionamento homoxéneo dos sistemas TIC.
  • Verificar a elaboración dos procedementos de seguridade da información e demais documentación para a súa aprobación.
  • Resolver conflitos de responsabilidade que poidan xurdir entre diferentes responsables ou áreas da organización, elevando os casos nos que non teña suficiente autoridade para decidir.
  • Atender as solicitudes en materia de Seguridade da Información da Administración e das diferentes áreas, informando regularmente sobre o estado da Seguridade da Información.
  • Asesorar en materia de Seguridade da Información.
  • Resolver conflitos de responsabilidade que poidan aparecer entre as distintas unidades administrativas

6.3. Composición do Comité de Seguridade da Información

O Comité de Seguridade estará composto polos roles indicados anteriormente, relacionados co cumprimento do definido no Esquema Nacional de Seguridade, así como polo Delegado de Protección de Datos da organización, o Responsable de Cumprimento Legal e as persoas representantes da dirección e responsables de área que se consideren necesarias en función dos temas a tratar.

Adicionalmente, e posto que o Comité de Seguridade da Información non é un comité técnico, deberá solicitar regularmente ao persoal técnico, propio ou externo, a información pertinente para a toma de decisións ou asesoramento. Este asesoramento determinarase en cada caso, podendo materializarse de diferentes formas:

  • Grupos de traballo especializados, internos, externos ou mixtos.
  • Asesoría externa.
  • Asistencia a cursos ou outros eventos formativos ou de intercambio de experiencias.

O Comité de Seguridade da Información reuniráse nas dependencias de ASIGNO, cunha periodicidade trimestral, xerándose as correspondentes actas de reunión coas decisións adoptadas.

O Comité de Seguridade da Información tamén se encargará da resolución dos conflitos e/ou diferenzas de criterio que poidan xurdir entre os roles de seguridade.

7. DATOS DE CARÁCTER PERSOAL

Con carácter xeral, ASIGNO só recollerá datos de carácter persoal cando sexan adecuados, pertinentes e non excesivos, e cando estean relacionados co ámbito e as finalidades para as que se obteñan. Do mesmo xeito, adoptará as medidas técnicas e organizativas necesarias para o cumprimento da normativa de protección de datos vixente en cada momento.

Á vista da entrada en aplicación, o 25 de maio de 2018, do Regulamento (UE) 2016/679 do Parlamento Europeo e do Consello, do 27 de abril de 2016, relativo á protección das persoas físicas no que respecta ao tratamento de datos persoais e á libre circulación destes datos e polo que se derroga a Directiva 95/46/CE (Regulamento xeral de protección de datos), e a súa trasposición á lexislación española mediante a Lei orgánica 3/2018, do 5 de decembro, de Protección de Datos Persoais e garantía dos dereitos dixitais, fóronse adaptando as medidas oportunas, tales como a análise da lexitimidade xurídica de cada un dos tratamentos de datos realizados, a análise de riscos, a avaliación de impacto cando o risco é alto, o rexistro de actividades e o nomeamento da persoa que vai desempeñar as funcións de Delegado de Protección de Datos.

A organización definiu os procedementos, políticas e medidas de seguridade necesarias para asegurar un cumprimento efectivo da normativa.

8. DESENVOLVEMENTO DA POLÍTICA DE SEGURIDADE DA INFORMACIÓN

O cumprimento dos obxectivos desta Política lévase a cabo mediante a elaboración da documentación correspondente ás normas e procedementos asociados ao cumprimento da ISO 27001 e demais normativa aplicable. Existe un procedemento de xestión documental que regula a organización, acceso e revisión desta documentación.

A revisión anual e aprobación da Política corresponde ao Comité de Seguridade, que proporá as melloras que considere necesarias.

9. OBRIGAS DO PERSOAL

Todo o persoal de ASIGNO incluído no ámbito do ENS está obrigado a cumprir esta Política de Seguridade. Durante o desempeño das súas funcións, deberán observar as boas prácticas e instrucións establecidas.

O persoal recibirá formación e accións de concienciación en seguridade da información, incluíndo programas continuos para novo persoal.

O persoal TIC implicado na operación, administración ou uso de sistemas recibirá formación específica antes de asumir calquera responsabilidade.

10. TERCEIRAS PARTES

Cando ASIGNO preste servizos ou trate información doutras entidades, estas serán informadas da Política de seguridade.

Defínense os canais de coordinación e actuación para incidentes de seguridade relacionados con terceiros.

Os terceiros deberán cumprir a normativa e políticas de seguridade aplicables. Establécense procedementos específicos de comunicación e resolución de incidencias.

Garantirase que o persoal de terceiros manteña un nivel de concienciación en seguridade equivalente ao esixido internamente.

Cando unha terceira parte non poida cumprir algún requisito, requirirase informe do Responsable do SGSI para avaliar riscos e medidas de tratamento.

11. MODIFICACIÓNS E CONTROL DE VERSIÓNS

EDICIÓN DATA REALIZADO POR APROBADO POR MODIFICACIÓNS RESPECTO DA EDICIÓN ANTERIOR
1.0 27/09/2022 Jorge Domingos Comité de Seguridade Edición inicial
2.0 10/04/2025 Jorge Domingos Comité de Seguridade Modificacións menores de formato, etiquetaxe e correccións.
3.0 17/11/2015 Jorge Domingos Comité de Seguridade Actualización para cumprir requisitos do ENS e definición de responsabilidades.