Política de seguridad

1. Objeto

Bdeo, consciente de que la seguridad de la información relativa a nuestros clientes es un recurso crítico, ha establecido un Sistema de Gestión de la Seguridad de la Información de acuerdo a los requisitos del Esquema Nacional de Seguridad y de las normas ISO/IEC 27001,27017 Y 27018 para garantizar la continuidad de los sistemas de información, minimizar los riesgos de daño, asegurar el cumplimiento de los objetivos fijados y mantener la seguridad y privacidad de los datos personales en la nube.

El objetivo de la Política integrada es fijar el marco de actuación necesario para proteger los recursos de información frente a amenazas, internas o externas, deliberadas o accidentales, con el fin de asegurar el cumplimiento de la confidencialidad, integridad y disponibilidad de la información.

El presente documento forma parte del SGSI sujeto a las siguientes certificaciones de seguridad:

  • Norma 27017 Sistemas de seguridad de servicios en la nube.
  • Norma 27018 Protección de datos personales en la nube.
  • Norma 27001  Sistemas de gestión de seguridad de la información.
  • Esquema Nacional de Seguridad (ENS).

2. Responsabilidades

La eficacia y aplicación del Sistema de Gestión Integrado es responsabilidad directa del Comité de la Seguridad de la Información, el cual es responsable de la aprobación, difusión y cumplimiento de la presente Política de Seguridad. 

Toda persona cuya actividad pueda, directa o indirectamente, verse afectada por los requisitos del Sistema de Gestión de la Seguridad de la Información, está obligada al cumplimiento estricto de la Política de Seguridad.

3. Desarrollo

En Bdeo se implementan todas las medidas necesarias para cumplir la normativa aplicable en materia de seguridad en general y de seguridad informática, relativa a la política informática, a la seguridad de edificios e instalaciones y al comportamiento de empleados y terceras personas asociada a Bdeo en el uso de sistemas informáticos. Las medidas necesarias para garantizar la seguridad de la información mediante la aplicación de normas, procedimientos y controles deberán permitir asegurar la confidencialidad, integridad, disponibilidad de la información, esenciales para:

  • Contribuir desde la gestión de la seguridad de la información a cumplir con la misión y objetivos establecidos por Bdeo. 
  • Definir las responsabilidades en materia de seguridad de la información generando la estructura organizativa correspondiente.
  • Cumplir con la legislación vigente en materia de los sistemas de información
  • Asegurar la confidencialidad de los datos gestionados por Bdeo.
  • Asegurar los requisitos de seguridad de información aplicables al diseño e implementación del servicio en la nube.
  • Disminuir los riesgos de información privilegiada autorizada.
  • Asegurar el aislamiento de clientes de servicios de múltiples tenencias y en la nube (incluida la virtualización).
  • Asegurar la protección y confidencialidad de los activos del cliente.
  • Aplicar los procedimientos de control de acceso.
  • Gestionar de manera adecuada la información contenida en la nube durante todo el ciclo de vida de las cuentas de clientes.
  • Comunicar violaciones de seguridad a las partes implicadas y establecer las pautas de intercambio de información para ayudar a las investigaciones y análisis forense.
  • Asegurar la disponibilidad de los sistemas de información, tanto en los servicios ofrecidos a los clientes como en la gestión interna.
  • Asegurar la capacidad de respuesta ante situaciones de emergencia, restableciendo el funcionamiento de los servicios críticos en el menor tiempo posible.
  • Evitar alteraciones indebidas en la información.
  • Promover la concienciación y formación en seguridad de la información.
  • Establecer objetivos y metas enfocados hacia la evaluación del desempeño en materia de seguridad de la información, así como a la mejora continua en nuestras actividades, reguladas en el Sistema de Gestión que desarrolla esta política.

3.1 Ámbito de aplicación

La presente Política será de aplicación a todos los sistemas de información y a todas las actividades de tratamiento de datos personales de los que sea responsable o encargado Bdeo. La obligación de conocer y cumplir con esta Política se extiende a todos los empleados Bdeo, así como a colaboradores y a toda persona que tenga acceso a la información y/o sistemas de la organización y a todas las infraestructuras.

3.2 Objetivos y misión de Bdeo

Bdeo es una empresa privada de sociedad limitada, cuya misión es optimizar los procesos de las compañías aseguradoras y de gestión de flotas para mejorar sus resultados y ofrecer una experiencia adaptada al usuario de hoy.

Bdeo desea potenciar el uso de las nuevas tecnologías en la prestación de sus servicios, siendo siempre conscientes del compromiso en crear la confianza necesaria entre el ciudadano y Bdeo.

3.3 Principios y directrices

Bdeo, para lograr el cumplimiento del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, que recoge los principios básicos y los requisitos mínimos, así como el cumplimiento de las normas ISO/IEC 27001, 27017 Y 27018, ha implementado diversas medidas de seguridad proporcionales a la naturaleza de la información y los servicios a proteger y teniendo en cuenta la categoría de los sistemas afectados.

3.3.1 La seguridad como un proceso integral y de mínimo privilegio

La seguridad se entiende como un proceso integral constituido por todos los elementos técnicos, humanos, materiales, jurídicos y organizativos, relacionados con el sistema. La aplicación del Esquema Nacional de Seguridad a Bdeo, estará presidida por este principio, que excluye cualquier actuación puntual o tratamiento coyuntural.

Se prestará la máxima atención a la concienciación de las personas que intervienen en el proceso y a sus responsables jerárquicos, para evitar que, la ignorancia, la falta de organización y coordinación, o de instrucciones inadecuadas, constituyan fuentes de riesgo para la seguridad.

Los sistemas de información deben diseñarse y configurarse otorgando los mínimos privilegios necesarios para su correcto desempeño, lo que implica incorporar los siguientes aspectos:

  1. El sistema proporcionará la funcionalidad imprescindible para que la organización alcance sus objetivos competenciales o contractuales.
  2. Las funciones de operación, administración y registro de actividad serán las mínimas necesarias, y se asegurará que sólo son desarrolladas por las personas autorizadas, desde emplazamientos o equipos asimismo autorizados; pudiendo exigirse, en su caso, restricciones de horario y puntos de acceso facultados.
  3. En un sistema de explotación se eliminarán o desactivarán, mediante el control de la configuración, las funciones que sean innecesarias o inadecuadas al fin que se persigue. El uso ordinario del sistema ha de ser sencillo y seguro, de forma que una utilización insegura requiera de un acto consciente por parte del usuario. 
  4. Se aplicarán guías de configuración de seguridad para las diferentes tecnologías, adaptadas a la categorización del sistema, al efecto de eliminar o desactivar las funciones que sean innecesarias o inadecuadas.

3.3.2 Vigilancia continua, reevaluación periódica e Integridad, actualización del sistema y mejora continua del proceso de seguridad

  1. La vigilancia continua por parte de Bdeo permitirá la detección de actividades o comportamientos anómalos y su oportuna respuesta. 
  2. La evaluación permanente del estado de la seguridad de los activos permitirá medir su evolución, detectando vulnerabilidades e identificando deficiencias de configuración.
  3. Las medidas de seguridad se evaluarán y actualizarán periódicamente, adecuando su eficacia a la evolución de los riesgos y los sistemas de protección, pudiendo llegar a un replanteamiento de la seguridad, si fuese necesario.
  4. La inclusión de cualquier elemento físico o lógico en el catálogo actualizado de activos del sistema, o su modificación, requerirá autorización formal previa.
  5. La evaluación y monitorización permanentes permitirán adecuar el estado de seguridad de los sistemas atendiendo a las deficiencias de configuración, las vulnerabilidades identificadas y las actualizaciones que les afecten, así como la detección temprana de cualquier incidente que tenga lugar sobre los mismos.
  6. El proceso integral de seguridad implantado deberá ser actualizado y mejorado de forma continua. Para ello, se aplicarán los criterios y métodos reconocidos en la práctica nacional e internacional relativos a la gestión de la seguridad de las tecnologías de la información

3.3.3 Gestión de personal y profesionalidad

Todo el personal, propio o ajeno relacionado con los sistemas de información de Bdeo, dentro del ámbito del SGSI, serán formados e informados de sus deberes, obligaciones y responsabilidades en materia de seguridad. Su actuación será supervisada para verificar que se siguen los procedimientos establecidos.

El significado y alcance del uso seguro del sistema se concretará y plasmará en unas normas de seguridad que serán aprobadas por la dirección o el órgano superior correspondiente. De igual modo, se determinarán los requisitos de formación y experiencia necesaria del personal para el desarrollo de su puesto de trabajo.

La seguridad de los sistemas de información estará atendida y será revisada y auditada por personal cualificado, dedicado e instruido en todas las fases de su ciclo de vida: planificación, diseño, adquisición, construcción, despliegue, explotación, mantenimiento, gestión de incidencias y desmantelamiento.

De manera objetiva y no discriminatoria se exigirá que las organizaciones que nos proporcionan servicios cuenten con profesionales cualificados y con unos niveles idóneos de gestión y madurez de los servicios prestados.

3.4.4 Gestión de la seguridad basada en los riesgos, análisis y gestión de riesgos 

El análisis y la gestión de los riesgos será parte esencial del proceso de seguridad y será una actividad continua y permanentemente actualizada. 

La gestión de los riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos a niveles aceptables. La reducción a estos niveles se realizará mediante una apropiada aplicación de medidas de seguridad, de manera equilibrada y proporcionada a la naturaleza de la información tratada, de los servicios a prestar y de los riesgos a los que estén expuestos.

Esta gestión se realizará por medio del análisis y tratamiento de los riesgos a los que está expuesto el sistema. Sin perjuicio de lo dispuesto, se empleará alguna metodología reconocida internacionalmente. Las medidas adoptadas para mitigar o suprimir los riesgos deberán estar justificadas y, en todo caso, existirá una proporcionalidad entre ellas y los riesgos.

3.3.5 Incidentes de seguridad, prevención, detección, reacción y recuperación

Bdeo, dispone de procedimientos de gestión de incidentes de seguridad de acuerdo con los requisitos aplicables, así como de mecanismos de detección, criterios de clasificación, procedimientos de análisis y resolución, así como de los cauces de comunicación a las partes interesadas. 

La seguridad del sistema contempla las acciones relativas a los aspectos de prevención, detección y respuesta, al objeto de minimizar sus vulnerabilidades y lograr que las amenazas sobre el mismo no se materialicen o que, en el caso de hacerlo, no afecten gravemente a la información que maneja o a los servicios que presta.

Las medidas de prevención podrán incorporar componentes orientados a la disuasión o a la reducción de la superficie de exposición, deben eliminar o reducir la posibilidad de que las amenazas lleguen a materializarse.

Las medidas de detección irán dirigidas a descubrir la presencia de un ciber incidente.

Las medidas de respuesta se gestionarán en tiempo oportuno, estarán orientadas a la restauración de la información y los servicios que pudieran haberse visto afectados por un incidente de seguridad.

El sistema de información garantizará la conservación de los datos e información en soporte electrónico.

De igual modo, el sistema mantendrá disponibles los servicios durante todo el ciclo vital de la información digital, a través de una concepción y procedimientos que sean la base para la preservación del patrimonio digital.

3.3.6 Existencia de líneas de defensa y prevención ante otros sistemas de información interconectados 

Bdeo ha implementado una estrategia de protección del sistema de información constituida por múltiples capas de seguridad, constituidas por medidas organizativas, físicas y lógicas, de tal forma que cuando una capa ha sido comprometida permita desarrollar una reacción adecuada frente a los incidentes que no han podido evitarse, reduciendo la probabilidad de que el sistema sea comprometido en su conjunto y minimizar el impacto final sobre el mismo.

Se protegerá el perímetro del sistema de información, especialmente, cuando los sistemas de Bdeo se conectan a redes públicas, tal y como se definen en la legislación vigente en materia de telecomunicaciones, reforzando las tareas de prevención, detección y respuesta a incidentes de seguridad.

En todo caso, se analizarán los riesgos derivados de la interconexión del sistema con otros sistemas y se controlará su punto de unión.

3.3.7 Diferenciación de responsabilidades, organización e implantación del proceso de seguridad

Bdeo ha organizado su seguridad comprometiendo a todos los miembros de la corporación mediante la designación de diferentes roles de seguridad con responsabilidades claramente diferenciadas, tal y como se recoge en el apartado correspondiente del presente documento.

3.3.8 Autorización y control de los accesos

Bdeo, ha implementado mecanismos de control de acceso al sistema de información, limitándolo a los usuarios, procesos, dispositivos y otros sistemas de información, debidamente autorizados, y exclusivamente a las funciones permitidas.

3.3.9 Protección de las instalaciones

Bdeo, ha implementado mecanismos de control de acceso físico, previniendo los accesos físicos no autorizados, así como los daños a la información y a los recursos, mediante perímetros de seguridad, controles físicos y protecciones generales en áreas.

3.3.10 Adquisición de productos de seguridad y contratación de servicios de seguridad

Para la adquisición de productos o contratación de servicios de seguridad Bdeo, tendrá en cuenta la utilización de forma proporcionada a la categoría del sistema y el nivel de seguridad determinado, aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición.

Para la contratación de servicios de seguridad se atenderá a lo señalado en cuanto a la profesionalidad.

3.3.11 Protección de la información almacenada y en tránsito y continuidad de la actividad 

Bdeo prestará especial atención a la información almacenada o en tránsito a través de los equipos o dispositivos portátiles o móviles, los dispositivos periféricos, los soportes de información y las comunicaciones sobre redes abiertas, que deberán analizarse especialmente para lograr una adecuada protección.

Se aplicarán procedimientos que garanticen la recuperación y conservación a largo plazo de los documentos electrónicos producidos por los sistemas de información comprendidos en el ámbito de aplicación implicado, cuando ello sea exigible.

Toda información en soporte no electrónico que haya sido causa o consecuencia directa de la información electrónica dentro del alcance deberá estar protegida con el mismo grado de seguridad que ésta. Para ello, se aplicarán las medidas que correspondan a la naturaleza del soporte, de conformidad con las normas que resulten de aplicación.

Los sistemas dispondrán de copias de seguridad y se establecerán los mecanismos necesarios para garantizar la continuidad de las operaciones en caso de pérdida de los medios habituales.

3.3.12 Registro de actividad y detección de código dañino

Bdeo, con el propósito de satisfacer el objeto de esta política, con plenas garantías del derecho al honor, a la intimidad personal y familiar y a la propia imagen de los afectados, y de acuerdo con la normativa sobre protección de datos personales, de función pública o laboral, y demás disposiciones que resulten de aplicación, registrará las actividades de los usuarios, reteniendo la información estrictamente necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento a la persona que actúa.

Al objeto de preservar la seguridad de los sistemas de información, garantizando la rigurosa observancia de los principios de actuación aplicables, y de conformidad con lo dispuesto en el Reglamento General de Protección de Datos y el respeto a los principios de limitación de la finalidad, minimización de los datos y limitación del plazo de conservación allí enunciados, Bdeo podrá, en la medida estrictamente necesaria y proporcionada, analizar las comunicaciones entrantes o salientes, y únicamente para los fines de seguridad de la información, de forma que sea posible impedir el acceso no autorizado a las redes y sistemas de información, detener los ataques de denegación de servicio, evitar la distribución malintencionada de código dañino así como otros daños a las antedichas redes y sistemas de información.

Para corregir o, en su caso, exigir responsabilidades, cada usuario que acceda al sistema de información deberá estar identificado de forma única, de modo que se sepa, en todo momento, quién recibe derechos de acceso, de qué tipo son éstos, y quién ha realizado una determinada actividad

3.4 Organización y responsabilidades

3.4.1 Comité de dirección

El Comité de Dirección juega un papel fundamental como responsable de fijar los objetivos de seguridad acordes con el contexto, visión y misión de Bdeo.

3.4.1.1 Funciones

Las funciones propias del Comité de Dirección serán las siguientes:

  • Aprobar la Política de Seguridad Corporativa, que deberá ser firmada por la Dirección Gerencia.
  • Aprobar la Normativa de Seguridad.
  • Velar por el cumplimiento de la normativa legal y sectorial de aplicación
  • Velar por el alineamiento de las actividades de seguridad a los objetivos de la organización
  • Designar a los responsables de la información y los servicios.

3.4.2 Comité de seguridad de la información y protección de datos (CSIPD)

Para una adecuada gestión de la protección de la información y sus sistemas, Bdeo ha constituido el Comité de Seguridad de la Información y Protección de Datos (CSIPD) como órgano de decisión ejecutivo sobre las actuaciones de Seguridad de la Información y Protección de Datos requeridas en el ámbito de Bdeo. Entre las decisiones más importantes de dicho Comité se encuentra la revisión y propuesta de aprobación de la Política de Seguridad de la Información, de la Política de Protección de Datos, de los criterios de Clasificación de la Información, y del Plan de Tratamiento de Riesgos elaborado para mitigar los mismos.

El Comité de Seguridad de la Información y Protección de Datos es el encargado de desarrollar el marco normativo establecido por esta Política, mediante la definición de un conjunto de normas y procesos para la gestión de la Seguridad de la Información.

Asimismo, este Comité, bajo la supervisión del Director Gerente, define las funciones y responsabilidades en materia de seguridad de la información dentro de su ámbito de actuación, encargándose de la designación de las personas que se ocupan de su desempeño.

Las posibles excepciones aplicables al cumplimiento de la presente política serán identificadas, registradas, analizadas y evaluadas por parte del CSIPD, que determinará las acciones más adecuadas en cada caso, conforme a los principios de proporcionalidad y al riesgo relacionado.  

3.4.2.1 Funciones

Las funciones propias del Comité de Seguridad de la Información, que serán las siguientes:

  • Atender las solicitudes, en materia de Seguridad de la Información, de Bdeo y de los diferentes roles de seguridad y/o áreas informando regularmente del estado de la Seguridad de la Información.
  • Asesorar en materia de Seguridad de la Información.
  • Resolver los conflictos de responsabilidad que puedan aparecer entre las diferentes unidades administrativas.
  • Promover la mejora continua del sistema de gestión de la Seguridad de la Información. Para ello se encargará de:
    • Coordinar los esfuerzos de las diferentes áreas en materia de Seguridad de la Información, para asegurar que estos sean consistentes, alineados con la estrategia decidida en la materia, y evitar duplicidades.
    • Proponer planes de mejora de la Seguridad de la Información, con su dotación presupuestaria correspondiente, priorizando las actuaciones en materia de seguridad cuando los recursos sean limitados.
    • Velar porque la Seguridad de la Información se tenga en cuenta en todos los proyectos desde su especificación inicial hasta su puesta en operación. En particular deberá velar por la creación y utilización de servicios horizontales que reduzcan duplicidades y apoyen un funcionamiento homogéneo de todos los sistemas TIC.
    • Realizar un seguimiento de los principales riesgos residuales asumidos por Bdeo y recomendar posibles actuaciones respecto de ellos.
    • Realizar un seguimiento de la gestión de los incidentes de seguridad y recomendar posibles actuaciones respecto de ellos.
    • Elaborar y revisar regularmente la Política de Seguridad de la Información para su aprobación por el Comité de Dirección.
    • Elaborar la normativa de Seguridad de la Información para su aprobación en coordinación con el Comité de Dirección.
    • Verificar los procedimientos de seguridad de la información y demás documentación para su aprobación.
    • Promover programas de formación destinados a formar y sensibilizar al personal en materia de Seguridad de la Información y en particular en materia de protección de datos de carácter personal.
    • Promover y aprobar los requisitos de formación y calificación de administradores, operadores y usuarios desde el punto de vista de Seguridad de la Información.
    • Promover la realización de las auditorías periódicas ENS y de protección de datos que permitan verificar el cumplimiento de las obligaciones de Bdeo en materia de seguridad de la Información.

Asimismo, podrán ser delegadas otras funciones en otro órgano de la entidad con competencias en la materia. Las funciones atribuidas al Comité por otro órgano no podrán ser delegadas si bien podrán ser revocadas en cualquier momento.

3.4.2.2 Composición

El CSIPD se constituye con las personas propuestas por el Comité de Dirección y en donde estarán representados los diferentes intereses de Bdeo, respecto a negocio y tecnología, eligiendo personas que tengan un buen conocimiento de la cultura, misión y visión de la Organización. Los nombramientos tienen carácter permanente hasta la renuncia expresa de los miembros o la finalización de su relación con la Compañía.

  • Presidente/a: CEO
  • Responsable/s de Información: COO
  • Responsable/s de Servicios: COO
  • Responsable de Seguridad: Platform Lead
  • Responsable del Sistema: VP of Technology

Adicionalmente, en función de los temas a tratar, el CSIPD podrá convocar a vocales especializados que participen como asesores sin derecho a voto, con el objetivo de enriquecer las decisiones del comité mediante aportaciones técnicas, funcionales o normativas.

Estos vocales podrán incluir, entre otros:

  • El Delegado de Protección de Datos (DPO), para cuestiones relacionadas con la protección de datos personales, evaluaciones de impacto, auditorías o cumplimiento normativo.
  • El Responsable de Recursos Humanos, para asuntos que involucren gestión de personas, privacidad laboral o cultura organizacional.
  • Otros perfiles expertos internos o externos cuya intervención se considere necesaria para el tratamiento adecuado de un determinado punto del orden del día

Los Responsables de la Información y de los Servicios serán convocados en función de los asuntos a tratar, pudiendo el CSIPD recoger las funciones y obligaciones de los Responsables de la Información y de los Servicios en aquellas acciones transversales en las que le sea solicitado y/o se considere necesario.

Asimismo, y con carácter opcional, podrán incorporarse a las labores del Comité grupos de trabajo especializados, ya sean de carácter interno, externo o mixto.

Las vacantes que se produzcan en el CSIPD, serán cubiertas a propuesta del Comité de Dirección o del Responsable de Seguridad de la Información o de alguno de sus miembros y serán designados por el propio CSIPD

Los miembros del CSIPD serán renovados cada cuatro años o con ocasión de vacante.

3.4.3 Responsable de la Información

El responsable de la información define las necesidades de seguridad de la información que se opera y valora el impacto de los incidentes que afectasen a su seguridad y continuidad. Tiene la responsabilidad última del uso que se haga de la información a su cargo y, por lo tanto, de su protección.

3.4.3.1 Funciones

Al Responsable de la Información se le atribuyen las siguientes funciones:

  • Establecer y aprobar los requisitos de seguridad aplicables a la información dentro del marco establecido en el anexo I del Real Decreto 311/2022, de 3 de mayo, las guías CCN-STIC del CCN, así como el cumplimiento de las normas ISO/IEC 27001,27017 Y 27018, previa propuesta del Responsable de Seguridad y/o CSIPD.
  • Aceptar los niveles de riesgo residual que afecten a la Información.

3.4.4  Responsable del Servicio

El responsable del Servicio define las necesidades de seguridad del servicio bajo su encargo y valora el impacto de los incidentes que puedan afectar a su seguridad y su continuidad. Tiene la responsabilidad última del uso que se haga de los servicios a su cargo y, por lo tanto, de su protección.

3.4.4.1 Funciones

Al Responsable del Servicio se le atribuyen las siguientes funciones:

  • Establecer y aprobar los requisitos de seguridad aplicables al servicio dentro del marco establecido en el anexo I del Real Decreto 311/2022, de 3 de mayo, las guías CCN-STIC del CCN y las normas ISO/IEC 27001,27017 Y 27018, previa propuesta del Responsable de Seguridad y/o CSIPD.
  • Aceptar los niveles de riesgo residual que afecten al Servicio.

3.4.5 Responsable de Seguridad de la información

El responsable de Seguridad de la Información se asegurará de que las políticas, decisiones y proyectos establecidos en el ámbito del Comité de Seguridad de la Información y Protección de Datos son llevados a cabo correcta y eficientemente, siendo, asimismo, el órgano encargado de tomar la iniciativa para establecer los mecanismos técnicos y organizativos necesarios para detectar, prevenir y evitar los riesgos que afecten a la seguridad de la información de Bdeo. Estos mecanismos se establecerán dentro de su ámbito de actuación de acuerdo con las expectativas y necesidades manifestadas por las distintas áreas de negocio de la Compañía.

3.4.5.1 Funciones

El Responsable de Seguridad desempeñará las siguientes funciones:

  • Mantener y verificar el nivel adecuado de seguridad de la Información manejada y de los servicios electrónicos prestados por los sistemas de información.
  • Elaborar planes de formación y concienciación en materia de seguridad de la información.
  • Designar responsables de la ejecución del análisis de riesgos y de la declaración de aplicabilidad.
  • Identificar las medidas de seguridad que es necesario implantar.
  • Determinar las configuraciones necesarias y elaborar documentación del sistema.
  • Proporcionar asesoramiento para la determinación de la categoría del sistema en colaboración con el Responsable del Sistema y/o CSIPD.
  • Participar en la elaboración e implantación de los planes de mejora de la seguridad y, llegado el caso, en los planes de continuidad, procediendo a su validación.
  • Cerciorarse de que las medidas específicas de seguridad se integren adecuadamente dentro del marco general de seguridad.
  • Colaborar, si así se le requiere, en la elaboración e implantación de los planes de mejora de la seguridad y, llegado el caso, en los planes de continuidad.
  • Asegurar que los controles de seguridad establecidos son cumplidos estrictamente.
  • Supervisar las instalaciones de hardware y software, sus modificaciones y mejoras para asegurar que la seguridad no está comprometida y que en todo momento se ajustan a las autorizaciones pertinentes.
  • Monitorizar el estado de seguridad proporcionado por las herramientas de gestión de eventos de seguridad y mecanismos de auditoría técnica.
  • Gestionar las revisiones externas o internas del sistema.
  • Gestionar los procesos de certificación.

3.4.6 Responsable del Sistema

El responsable del Sistema define las necesidades de seguridad de los sistemas de información bajo su responsabilidad y valora el impacto de los incidentes que afectasen a su seguridad. Tiene la responsabilidad última del uso que se haga de los sistemas de información a su cargo y, por lo tanto, de su protección.

3.5.6.1 Funciones

El Responsable de Sistemas realizará las siguientes funciones:

  • Paralizar o dar suspensión al acceso a información o prestación de servicio si tiene el conocimiento de que estos presentan deficiencias graves de seguridad.
  • Desarrollar, operar y mantener el sistema de información durante todo su ciclo de vida.
  • Elaborar los procedimientos operativos necesarios.
  • Definir la topología y la gestión del Sistema de Información estableciendo los criterios de uso y los servicios disponibles en el mismo.
  • Prestar al Responsable de Seguridad y/o al CSIPD asesoramiento para la determinación de la Categoría del Sistema.
  • Llevar a cabo las funciones del administrador de la seguridad del sistema.
  • La gestión, configuración y actualización, en su caso, del hardware y software en los que se basan los mecanismos y servicios de seguridad.
  • La gestión de las autorizaciones concedidas a los usuarios del sistema, en particular los privilegios concedidos, incluyendo la monitorización de la actividad desarrollada en el sistema y su correspondencia con lo autorizado.
  • Aprobar los cambios en la configuración vigente del Sistema de Información.
  • Asegurar que son aplicados los procedimientos aprobados para manejar el Sistema de Información.

3.4.7 DPO

El DPO tendrá las siguientes funciones: 

  • Supervisión del cumplimiento de la normativa de protección de datos y del marco normativo aplicable.
  • Implementación efectiva de la normativa y políticas de cumplimiento.
  • Seguimiento de auditorías de protección de datos, análisis de riesgos y controles implantados.
  • Asesoramiento en la realización de Evaluaciones de Impacto (EIPD).
  • Supervisión y actualización del Registro de Actividades de Tratamiento.
  • Asesoramiento y resolución de consultas relacionadas con protección de datos.
  • Revisión y redacción de cláusulas contractuales en materia de protección de datos.
  • Interlocución con la Agencia Española de Protección de Datos (AEPD), cuando sea necesario.
  • Promoción de la formación y sensibilización en protección de datos a los empleados de Bdeo.

3.4.8 Procedimiento de designación

El Responsable de la Información y Servicios será designado por el Comité de Dirección, los Responsables de Seguridad y el Responsable del Sistema serán designados por el CSIPD en base a las características, tipo y contexto de los servicios e información a los que da soporte los sistemas de información y teniendo siempre en cuenta los requisitos recogidos en el art 13 del RD 311/2022 y en las normas ISO/IEC 27001,27017 y 27018.

El CSIPD se encargará, además de comunicar oportunamente el nombramiento a la persona u órgano colegiado que se designe y la aceptación del nombramiento será implícita. Se considera que la designación es aceptada mientras no se reciba una comunicación explícita de no aceptación a cualquiera de los miembros del CSIPD que realiza el nombramiento.

Los roles de seguridad serán revisados cada cuatro años en el caso de que exista una vacante, la misma deberá ser cubierta en el plazo de un mes, siguiendo el mismo procedimiento.

3.4.9 Resolución de conflictos

Si hubiera conflicto entre los Responsables, será resuelto por el CSIPD o en el órgano en el que esta delegue.

3.4.10 Responsabilidades de los empleados y colaboradores

Todos los empleados y colaboradores de Bdeo son corresponsables de la protección de los activos y procesos de negocio, por lo que utilizarán los mismos de forma profesional y responsable en términos de confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad.

Todos los empleados y colaboradores deberán conocer, asumir y cumplir la Política, así como la normativa interna derivada de la misma, estando obligados a mantener el secreto profesional y la confidencialidad de la Información manejada en su entorno laboral y debiendo comunicar, con carácter de urgencia y según los procedimientos establecidos, las posibles incidencias o problemas de seguridad que se detecten.

3.5 Estructura documental de seguridad de la información

El cuerpo normativo es de obligado cumplimiento y se desarrolla en torno a tres niveles:

  • Política de seguridad: Constituida por el presente documento.
  • Normativa de seguridad: Define las normas y consideraciones a tener en cuenta en materia de seguridad de la información. Desarrolla “Qué se debe hacer”.
  • Procedimientos de seguridad: Desarrollan cómo se ejecuta lo estipulado en la normativa. Desarrolla “Cómo se debe hacer”.

Además de los documentos citados, la documentación de seguridad podrá contar con otros documentos, como recomendaciones, buenas prácticas, informes, registros, evidencias electrónicas, etc.

3.6 Gestión de los riesgos, incluidos los derivados del tratamiento de datos personales

La gestión de riesgos debe realizarse de manera continua sobre el sistema de información, conforme a los principios de gestión de la seguridad basada en los riesgos y reevaluación periódica y será la base para determinar las medidas de seguridad que se deben adoptar.

El análisis de riesgos se realizará regularmente, al menos una vez al año, así como en estos supuestos: 

  1. Cuando cambie la información manejada. 
  2. Cuando cambien los servicios prestados. 
  3. Cuando ocurra un incidente de seguridad que ocasione un perjuicio grave.
  4. Cuando se reporten vulnerabilidades que pudieran ocasionar perjuicios graves

El mismo proceso de gestión de riesgos servirá para la determinación de las medidas de seguridad apropiadas para la protección de los datos de carácter personal contenidos en los activos de información de Bdeo.

En cualquier caso, todos los sistemas de información de Bdeo se ajustarán a los requisitos de seguridad definidos por el responsable de tratamiento de los datos de carácter personal que dichos sistemas manejen, de acuerdo con lo exigido por el Reglamento UE 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016; la Ley Orgánica 3/2018, de 5 de diciembre; la Ley Orgánica 7/2021, de 26 de mayo; y las directrices y normas dictadas por el Delegado de Protección de Datos.

3.7 Difusión y Aplicación de la Política de Seguridad de la Información

La presente Política de Seguridad de la Información será aprobada por el Consejo de Administración de Bdeo y difundida a las partes interesadas, tanto internas como externas.

Esta Política Corporativa de Seguridad de la Información es aplicable, con carácter obligatorio, a toda la información, a todos los empleados, directivos y consejeros, a todos los sistemas de información que gestione Bdeo y a todos los procesos de la Compañía, incluyendo todas sus líneas de negocio, así como a las entidades involucradas con ella en la utilización de su información y sus sistemas, por lo que implica también a todas las personas que tengan acceso a los mismos, incluso en el supuesto en que su relación no tenga carácter laboral.

Cuando se utilicen servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad, y de la normativa de seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla.

En el caso de que se presten servicios o se gestione información de otras entidades, se les hará partícipes de esta Política de Seguridad de la Información, se establecerán canales para reporte y coordinación de los respectivos órganos o responsables de la seguridad, y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

Cuando algún aspecto de esta Política no pueda ser satisfecho por las terceras partes según se requiere en los párrafos anteriores, se requerirá un informe del Departamento de Seguridad 

de la Información en el que se precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá que el informe incluya una conclusión favorable para seguir adelante con la gestión de la información afectada.

Para que conste a todos los efectos, la presente política de seguridad es firmada por los responsables de seguridad de la organización así como por la dirección.

Fecha de revisión: 09/09/2025