Motorflash Ibérica de Negocios Motorflash Ibérica de Negocios

Política de Seguridad

Motorflash Ibérica de Negocios S.L. (Motorflash) está certificada con la ISO 27001 Certificación de los Sistemas de Gestión de Seguridad de la Información (SGSI).

Hemos adoptado las medidas de seguridad adecuadas para evitar el tratamiento no autorizado o ilícito, la pérdida de los datos personales, la destrucción o el daño accidental.

Se ha establecido un protocolo de seguridad de la información que asegura la integridad, confidencialidad, disponibilidad y resiliencia de los datos personales.

Disponemos dentro de nuestra organización, de un organigrama de asignaciones en materia de seguridad de la información, incluyendo cargos y funciones atribuidas a cada puesto de trabajo.

El comité de seguridad de nuestra organización asegura el cumplimiento del protocolo de seguridad de la información, para ello gestiona, coordina y mantiene las medidas de seguridad, técnicas y organizativas.

El personal de la empresa tiene identificadas y comunicadas sus obligaciones y responsabilidades en materia de protección de datos de carácter personal y seguridad de la información.

Nuestro protocolo de seguridad de la información comprende las siguientes medidas de seguridad.

CONTROL DE ACCESO FÍSICO Y DEL ENTORNO, DE ACCESO A ORDENADORES Y PUESTOS DE TRABAJO.

  • • Contamos con un procedimiento de control de entrada y “área segura” que incluye: controles físicos de entrada, perímetro de seguridad y protección contra amenazas externas o ambientales.
  • • Disponemos de una política de seguridad para oficinas, despachos y recursos que protegen los datos contra amenazas del entorno como fugas de agua, fuego, insuficiencia de suministro eléctrico, vandalismo, etc.
  • • El servidor, equipos de sobremesa, router, o cualquier dispositivo de almacenamiento de la información se encuentra en áreas de acceso restringido.
  • • Se impide que cualquier persona ajena a la organización pueda acceder al lugar donde se encuentren los equipos informáticos. Se garantiza el control de acceso a los repositorios físicos de información, garantizando que los mismos cuenten con las debidas garantías de seguridad.
  • • La documentación que no se esté utilizando se encuentra guardada correctamente (armario bajo llave para documentos en soporte papel y carpetas de red para soportes informáticos), especialmente en el momento en que se abandona temporalmente el puesto de trabajo y al finalizar la jornada.
  • • Contamos con una política de mesas limpias que exija que el puesto de trabajo esté limpio y ordenado.

PERSONAL DE LA EMPRESA

  • • Todos los empleados de la empresa han sido debidamente informados de sus obligaciones en materia de protección de datos, en especial de su obligación indefinida del deber de secreto y de confidencialidad que pesa sobre ellos.
  • • Se ha definido un protocolo telemático para el correcto uso de los dispositivos electrónicos que la empresa pone a disposición de los empleados con motivo de la prestación laboral que desarrolla en la empresa, incluyendo los siguientes extremos
    • o Seguridad de la red y sistemas de información.
    • o Política de contraseñas.
    • o Política de uso de email y mensajería instantánea.
    • o Uso de internet e intercambio de información
    • o Acceso a sistemas y datos de clientes.
    • o Uso de aplicaciones web en remoto
    • o Uso de dispositivos móviles
    • o Protección antivirus
    • o Políticas de uso de Hardware y software
    • o Política de almacenamiento de la información.
    • o Escritorios y pantallas limpias.
    • o Procedimientos de notificación de incidencias y de violaciones de seguridad.
  • • Se les informa claramente a los trabajadores de las conductas que quedan prohibidas en el uso de los dispositivos propiedad de la empresa.

CONTROL DE ACCESO LÓGICO (GESTIÓN CUENTAS DE USUARIO)

  • • Contamos con un procedimiento de control de accesos que incluye, entre otros:
    • o Gestión de altas/bajas en el registro de usuarios de repositorios de información asegurando que se asigna un identificador único a cada cuenta de usuario.
    • o Gestión de derechos y credenciales de acceso asignados a los usuarios.
    • o Gestión de privilegios especiales de acceso según el impacto que puede derivar de un uso inadecuado de los datos de carácter personal
    • o Las cuentas privilegiadas están restringidas y concedidas únicamente a personal cualificado técnicamente.
    • o Política de retirada de cancelación de accesos y credenciales.
    • o Revocamos las autorizaciones concedidas a usuarios de forma inmediata en caso de que la relación contractual haya finalizado, incluyendo subcontrataciones.
  • • Tenemos establecido un procedimiento de accesos a sistemas y aplicaciones que incluye la restricción de acceso a la información, y los procedimientos seguros de inicio de sesión.
  • • Se han definido perfiles de usuario según sus funciones y control de acceso a los datos, verificamos que el usuario únicamente acceda a la información necesaria para desarrollar su trabajo.

REGISTRO DE ACCESOS

  • • Las actividades relativas al acceso a la aplicaciones que contiene información personal (inicio, cierre, etc.) son registradas, identificando que usuario ha realizado la acción, cuando se ha llevado, y el tipo de tratamiento efectuado.
  • • Los datos de registro se almacenan de forma segura, y su acceso se restringe al personal autorizado.

CONTROL DE ACCESO LÓGICO (AUTENTICACIÓN DE USUARIOS)

  • • Tenemos implantado una sistema de gestión de contraseñas de usuarios (incluyendo política de claves seguras en términos de vigencia y validez, generación de claves y directrices de uso).
  • • Se ha establecido un procedimiento de uso de herramientas de administración de sistemas de información, tanto propias como externas.
  • • Contamos con un procedimiento de identificación de todos los usuarios estableciendo contraseñas para el acceso a todos los programas que contengan información.
  • • Se dispone de una política de contraseñas seguras de los las cuentas de usuario, que se encuentran almacenadas de forma cifrada en los sistemas de información.

GESTIÓN DE SOPORTES

  • • Llevamos a cabo un inventariado de soportes y gestión de activos, que incluyendo
    • o Un registro de propiedad de los activos.
    • o Una política interna de usos aceptables de los activos.
    • o Una política de devolución/sustitución de los activos.
    • o Un registro de asignación de activos al personal al cargo.
    • o Un procedimiento de salida de activos fuera del entorno de la entidad.
    • o Un procedimiento de mantenimiento de activos.

ETIQUETADO DE LA INFORMACIÓN

  • • Disponemos de un sistema de etiquetado de los soportes físicos y electrónicos que permitan su marcado y clasificación según el nivel de criticidad de la información.
  • • Contamos con un procedimiento de custodia y registro (logging) que identifique cualquier evento de seguridad importante, la extracción de la información fuera de su soporte original o su modificación incluyendo la fecha y hora de producción del evento y el usuario.

COPIAS DE SEGURIDAD Y RESPALDO

  • • Disponemos de un procedimiento de copias de seguridad que garantizan la disponibilidad de la totalidad de los datos en cualquier caso.
  • • Los datos de las copias de seguridad se encuentran cifrados para impedir el acceso a personas no autorizadas.
  • • Se llevan a cabo de forma periódica pruebas de recuperación a partir de las copias realizadas para verificar su correcto funcionamiento.
  • • Disponemos de copias de seguridad diarias encriptadas fuera de las instalaciones donde se encuentran los sistemas de información.

CONTROL DE RESILIENCIA

  • • Disponemos de un Plan de continuidad de servicios TI que abarca todos los sistemas y componentes TI que procesan datos personales, incluyendo otras ubicaciones y centros de procesamiento de datos.
  • • Disponemos de herramientas o servicios para detectar y prevenir intrusiones o ciberataques.

ACTUALIZACIÓN DE ORDENADORES Y DISPOSITIVOS

Los dispositivos y ordenadores utilizados para el almacenamiento y el tratamiento de los datos personales se encuentran permanente actualizados, y disponen de las últimas versiones que contengan mejoras en seguridad.

AMENAZAS INFORMÁTICAS

  • • MALWARE:
    Todos los dispositivos disponen de un sistema de antivirus que garantiza en la medida posible el robo y destrucción de la información y datos personales.
    El sistema de antivirus se mantiene permanentemente actualizado, y lleva a cabo diariamente análisis de los equipos.
  • • CORTAFUEGOS O FIREWALL:
    Disponemos de un firewall activado en aquellos ordenadores y dispositivos en los que se realice el almacenamiento y/o tratamiento de datos personales.
    El sistema de cortafuegos es actualizado de forma periódica.
  • • Los sistemas de información que procesan datos personales son escaneados de forma regular para detectar vulnerabilidades conocidas.
  • • No se descargan aplicaciones ni programas que no sean de absoluta confianza.
  • • No se abren correos eléctronicos de dudosa procedencia o sospechosos.
  • • Se llevan a cabo revisiones de seguridad, de las medidas físicas, técnicas, organizativas y legales para asegurar el cumplimiento de la normativa de protección de datos.

CIFRADO DE DATOS

  • • En la extracción de datos personales se utiliza un método de encriptación para garantizar la confidencialidad de los datos personales en caso de acceso indebido a la información.
  • • La transferencia electrónica de datos personales se efectúa de forma cifrada.
  • • La información personal contenida en soportes informáticos móviles (USBs, ordenadores portátiles, tabletas se encuentra cifrada.

SEGURIDAD DE LAS COMUNICACIONES

  • • La empresa establece políticas y procedimientos para protección de la transferencia de información de forma tal de evitar su intercepción, copia, modificación o destrucción no autorizada.
  • • Estos procedimientos incluyen controles para la detección y protección contra código malicioso que pueda introducirse en los sistemas de la empresa como consecuencia del intercambio de información digital.
  • • La transferencia de información para la importación y/o exportación de datos, se realiza aplicando mecanismos de cifrado sobre la información intercambiada.
  • • Para el caso de envío o recepción de información sensible a través de mensajería electrónica, se acuerda la no inclusión de esta información en el cuerpo del mensaje, sino en adjuntos, que se cifrarán mediante compresión y contraseña. Esta contraseña se acuerda con el receptor o emisor por otro medio distinto a la mensajería.
  • • La empresa define procedimientos para proteger la información cursada a través de correos electrónicos, que son conocidos por todo el personal de la empresa.

RELACIÓN CON PROVEEDORES

  • • Se ha establecido una política y procedimiento de control en las relaciones contractuales y operativas con proveedores con acceso a los activos de la empresa.
  • • Se han firmado los oportunos contratos de encargo del tratamiento con los proveedores que puedan acceder a datos personales.
  • • Los compromisos de confidencialidad con los proveedores se ajustan a los requerimientos vigentes en la normativa de protección de datos de carácter personal.

GESTIÓN DE INCIDENCIAS Y BRECHAS DE SEGURIDAD

  • • Contamos con un procedimiento de gestión de incidencias y brechas de seguridad que permite su identificación, tratamiento y notificación, conforme a lo dispuesto en la normativa de protección de datos.
  • • Mantenemos un registro de los incidentes sufridos, que incluye un seguimiento de las acciones realizadas y las personas que hayan intervenido en la gestión del incidente, guardando las evidencias de las acciones realizadas para solucionar el incidente. Se desarrolla un plan de medidas que impidan que se repita el incidente de seguridad.

DESTRUCCIÓN DE LA INFORMACIÓN.

  • • Se dispone de una política de destrucción de información, con independencia del soporte en el que ésta se encuentre, imposibilitando la recuperación de la información destruida por cualquier método.

CUMPLIMIENTO

La empresa ha identificado las obligaciones legales que le son de aplicación por su actividad.

  • • REGLAMENTO (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
  • • L.O. 3/2018 de Protección de datos personales y garantía de los derechos digitales.
  • • LSSICE (Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico.
  • • Ley de Propiedad Intelectual (Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el Texto Refundido de la Ley de Propiedad Intelectual).
  • • Código Penal 31. Bis 195 a 199 de los trabajadores.

Igualmente, cumple con las obligaciones en materia contable, fiscal, laboral, social, y administrativa que le corresponden.

En Madrid, a 26 de enero de 2024

Dirección

C/ Basauri 17 Edif B, Bajo Izquierda D, CP 28023 Madrid.