Introducción
Ser competitivos implica centrarse en cómo distinguir las características de los servicios mediante una búsqueda continua para mejorar los procesos empresariales en términos de calidad, rendimiento y seguridad de la información.
Webcircles considera crucial la seguridad de la información tanto para el desarrollo tecnológico como para la prestación de servicios. La Gestión de la Seguridad de la Información para Webcircles tiene como objetivo principal proteger los datos y la información para salvaguardar el patrimonio de la empresa, de los clientes y la privacidad de los sujetos implicados.
La Política de Seguridad de la Información de Webcircles es una indicación estratégica prioritaria que define y organiza la confidencialidad, la integridad y la disponibilidad de la información, gestionando todos los aspectos relacionados, incluidos los técnicos, los de gestión y los empresariales.
Esta política incluye actividades como la identificación de áreas críticas, la gestión de riesgos, de sistemas y de redes, la gestión de vulnerabilidades e incidentes, el acceso controlado, la gestión de la privacidad y el cumplimiento, así como la evaluación de daños.
Webcircles se compromete a diseñar, gestionar y mantener su infraestructura tecnológica, física, lógica y organizativa con atención mediante un enfoque «by design» (desde el diseño). Además, compromete a su organización y al personal a desarrollar y mantener un Sistema de Gestión de la Seguridad de la Información para garantizar la disponibilidad, integridad y confidencialidad de los datos, la información y los accesos.
Todas las personas involucradas en la actividad de Webcircles se comprometen a seguir los siguientes principios:
- Confidencialidad: Garantizar que solo los sujetos y/o procesos autorizados puedan acceder a la información, evitando divulgaciones no autorizadas.
- Integridad: Preservar la integridad de la información frente a modificaciones no autorizadas y garantizar que no sufra alteraciones involuntarias o daños en los sistemas tecnológicos.
- Disponibilidad: Asegurar que los usuarios autorizados puedan acceder a la información cuando sea necesario, protegiendo la disponibilidad, usabilidad y confidencialidad de los datos y reduciendo los riesgos vinculados al acceso no autorizado.
- Control: Gestionar los datos a través de procesos y herramientas seguros y fiables.
- Autenticidad: Garantizar la fiabilidad del origen de la información.
- Privacidad: Proteger y controlar los datos personales.
La Dirección de Webcircles se compromete a responsabilizar a todas las personas implicadas en la empresa para que desempeñen sus tareas con la máxima atención. En particular, se compromete a:
- Respetar las leyes y normativas vigentes.
- Garantizar la eficiencia y fiabilidad de los procesos de desarrollo, los productos y los servicios relacionados.
- Asegurar condiciones de salud y seguridad en el lugar de trabajo para el personal y para terceros.
- Mantener la continuidad y eficiencia de los procesos organizativos y operativos para prevenir y reducir al mínimo los incidentes en la seguridad de los datos y la información.
- Proteger y utilizar correctamente los medios proporcionados.
- Preservar la confidencialidad, integridad y disponibilidad de los datos e información gestionados por Webcircles y proteger la propiedad intelectual.
- Adoptar medidas preventivas para evitar anomalías en los procesos, productos y servicios.
El Sistema de Gestión de la Seguridad de la Información
Para implementar su política de seguridad de la información, Webcircles ha desarrollado y se compromete a mantener un sistema de gestión segura de la información conforme a los requisitos de las normas UNI CEI EN ISO/IEC 27001:2024, UNI CEI EN ISO/IEC 27017 y UNI CEI EN ISO/IEC 27018, así como a las leyes vigentes, como medio para gestionar la seguridad de la información en el ámbito de sus actividades.
En cuanto a la gestión de los servicios ofrecidos, Webcircles asegura:
- La observancia de los niveles de seguridad establecidos mediante la implementación del Sistema de Gestión de la Seguridad de la Información (SGSI).
- El cumplimiento de las normativas y estándares internacionales de seguridad para su infraestructura tecnológica y organizativa.
- La selección de socios fiables desde el punto de vista de la gestión de la seguridad de la información y la protección de datos personales.
La política de seguridad de la información de Webcircles se aplica a todo el personal interno y a las terceras partes que colaboran en la gestión de la información, así como a todos los procesos y recursos involucrados en el diseño, realización, puesta en marcha y prestación continua de los servicios. Representa el compromiso concreto de la organización hacia los clientes y terceros para garantizar la seguridad de la información y de los medios físicos, lógicos y organizativos utilizados para el tratamiento de la información en todas las actividades.
En resumen, la política de seguridad de la información de Webcircles garantiza lo siguiente:
- Conocimiento y evaluación de la información gestionada para implementar niveles de protección adecuados.
- Acceso seguro a la información para prevenir tratamientos no autorizados.
- Colaboración con terceras partes en el tratamiento de la información, respetando estándares de seguridad adecuados.
- Formación y concienciación del personal y de las terceras partes respecto a los problemas de seguridad.
- Reconocimiento y gestión oportuna de anomalías e incidentes para minimizar el impacto en el negocio.
- Acceso autorizado a los locales de la empresa para garantizar la seguridad de las áreas y los activos.
- Conformidad legal y respeto de los compromisos de seguridad en los contratos con terceras partes.
- Detección de eventos anómalos, incidentes y vulnerabilidades de los sistemas de información para garantizar la seguridad y disponibilidad de los servicios e información.
- Continuidad operativa empresarial y Recuperación ante Desastres (Disaster Recovery) mediante procedimientos de seguridad establecidos.
- Tratamiento de datos personales conforme al Reglamento (UE) 2016/679, tanto como Responsable como Encargado del Tratamiento.
La política de seguridad de la información se actualiza y verifica constantemente mediante revisiones anuales para garantizar su mejora continua y se da a conocer a la organización, a las terceras partes y a los clientes a través de su publicación en el sitio web.
Política de Protección de Información Personal (PII)
Webcircles se compromete a proteger la Información de Identificación Personal (PII) de conformidad con las leyes aplicables y las obligaciones contractuales. Esta política describe nuestro enfoque para la protección de las PII en entornos de nube pública, basándose en las directrices de implementación proporcionadas por la norma UNI CEI EN ISO/IEC 27018:2020.
Apoyo al Cumplimiento
Webcircles reconoce la importancia de cumplir con la legislación sobre protección de PII y los términos contractuales acordados con los clientes (cloud service customers). Nos comprometemos a apoyar y alcanzar el cumplimiento de las leyes relevantes y las obligaciones contractuales relacionadas con la protección de las PII.
Asignación de Responsabilidades
Los acuerdos contractuales entre Webcircles, nuestros subcontratistas y los clientes de servicios en la nube definen claramente las responsabilidades para la protección de las PII. Estas responsabilidades se asignan considerando el tipo de servicio en la nube proporcionado, ya sea Infraestructura como Servicio (IaaS), Plataforma como Servicio (PaaS) o Software como Servicio (SaaS). Por ejemplo, la responsabilidad de los controles a nivel de aplicación varía según el tipo de servicio prestado.
Gestión del Cumplimiento
En las jurisdicciones donde la legislación sobre protección de PII se aplica directamente a los proveedores de servicios en la nube, Webcircles garantiza el cumplimiento de dichas leyes. En otras jurisdicciones, donde la legislación sobre protección de PII se aplica solo a los titulares de las PII, apoyamos y gestionamos el cumplimiento en nombre de nuestros clientes.
Obligaciones Contractuales
El contrato entre Webcircles y nuestros clientes del servicio en la nube incluye disposiciones para la gestión del cumplimiento. Esto incluye mecanismos para el cumplimiento sometido a auditoría independiente, aceptable para el cliente del servicio en la nube. El cumplimiento se garantiza mediante la implementación de los controles descritos en esta política y en la norma ISO/IEC 27002.
Implementación de Controles
Webcircles implementa los controles descritos en UNI CEI EN ISO/IEC 27018:2020 e ISO/IEC 27002 para proteger las PII en entornos de nube pública. Estos controles cubren aspectos como el cifrado de datos, los controles de acceso, la conservación de datos y la respuesta a incidentes.
Mejora Continua
Webcircles se compromete a mejorar continuamente sus medidas de protección de PII en entornos de nube pública, revisando y actualizando regularmente sus políticas y procedimientos para alinearlos con los requisitos legales y contractuales en evolución, las mejores prácticas del sector y los avances tecnológicos.
Formación y Concienciación
Proporcionamos programas de formación y sensibilización a nuestros empleados y subcontratistas para garantizar que comprendan sus funciones y responsabilidades en la protección de las PII. Esto incluye formación sobre procedimientos de gestión de datos, protocolos de seguridad y requisitos de cumplimiento.
Notificación y Responsabilidad
Webcircles establece mecanismos para notificar incidentes y violaciones relacionados con las PII. Asumimos la responsabilidad de investigar rápidamente los incidentes, mitigar los riesgos y adoptar las acciones correctivas apropiadas para prevenir su repetición.
Aseguramiento de Terceras Partes
Al contratar proveedores externos o subcontratistas, Webcircles garantiza que estos se adhieran a estándares de protección de PII similares y cumplan con las obligaciones contractuales pertinentes. El cumplimiento de terceras partes se evalúa y supervisa regularmente para mantener la integridad de nuestras prácticas de protección de PII.
Políticas para la seguridad de la información en la nube
Webcircles es una empresa de consultoría informática que opera también como Proveedor de Servicios en la Nube (CSP), ofreciendo una serie de servicios en modalidad SaaS (Software as a Service). Entre los servicios ofrecidos por Webcircles se incluyen, a modo de ejemplo, el desarrollo de plataformas de software, arquitecturas en la nube y sistemas ERP. Además, Webcircles utiliza otros CSP para la infraestructura en la nube (IaaS) que sustenta sus propios servicios SaaS, asumiendo por tanto el papel de Cliente de Servicios en la Nube (CSC).
La presente Política para la Seguridad de la Información en la Nube (PSC) cumple con la norma UNI EN ISO/IEC 27001:2024, con extensión UNI CEI EN ISO/IEC 27017:2021 y UNI CEI EN ISO/IEC 27018:2020, y define las directrices que Webcircles adopta para la protección de la información tanto en su función de CSP como de CSC. La PSC representa un elemento fundamental para la gestión de la seguridad de la información en un contexto de nube, donde el uso compartido de recursos y la virtualización introducen nuevos riesgos y desafíos.
Webcircles como CSP
1. Requisitos de seguridad básicos
Webcircles implementa requisitos de seguridad básicos para el diseño e implementación de servicios en la nube, de conformidad con las mejores prácticas y estándares del sector. Para ello, Webcircles utiliza una serie de controles de seguridad técnicos, organizativos y procedimentales, que incluyen:
- Controles de acceso: para limitar el acceso a la información únicamente a usuarios autorizados.
- Controles de cifrado: para proteger la confidencialidad de los datos durante la transmisión y el almacenamiento.
- Controles de respaldo (backup) y recuperación ante desastres: para garantizar la disponibilidad de la información en caso de incidente informático.
- Controles de seguridad de los sistemas informáticos: para proteger los sistemas informáticos frente a intrusiones, malware y otras amenazas.
- Controles de formación y concienciación: para educar a los empleados sobre los riesgos de seguridad informática y sus responsabilidades.
2. Riesgos derivados del personal interno
Webcircles adopta controles rigurosos para la selección, contratación y formación del personal, con el fin de minimizar los riesgos derivados de conductas internas inapropiadas. Las actividades de selección incluyen entrevistas exhaustivas, verificaciones de antecedentes y pruebas de seguridad. La formación del personal es periódica y cubre diversas temáticas, incluyendo la seguridad informática, la protección de datos personales y la ética profesional. Todos los empleados firman además acuerdos de confidencialidad con Webcircles que permanecen vigentes incluso después de posibles ceses o cambios de responsabilidad, con el fin de contener el riesgo de divulgación no autorizada de datos.
3. Multitenencia y aislamiento
Webcircles gestiona la infraestructura en la nube en modalidad multitenant (multinquilino), garantizando el aislamiento de los datos y las aplicaciones de cada cliente. Para ello, Webcircles utiliza tecnologías de virtualización y contenedorización avanzadas, así como configuraciones de red específicas para segregar los datos de los diferentes clientes.
4. Acceso a los activos del cliente
El acceso a los activos del cliente por parte del personal de Webcircles se permite solo en caso de necesidad, previa autenticación rigurosa y registro detallado. Todos los accesos están sujetos a supervisión y auditorías periódicas.
5. Control de accesos
Webcircles aplica controles de acceso rigurosos, basados en autenticación fuerte y roles granulares, para limitar el acceso a la información únicamente a los usuarios autorizados. La autenticación fuerte implica el uso de múltiples factores de autenticación, como contraseñas, tokens y biometría. Los roles granulares definen las acciones específicas que cada usuario puede realizar dentro del servicio en la nube.
6. Comunicaciones a los clientes
Webcircles informa a los clientes de manera oportuna y transparente sobre cualquier cambio en los servicios en la nube o en la PSC. Las comunicaciones a los clientes pueden realizarse a través de correo electrónico, boletines informativos, avisos dentro del servicio en la nube u otros canales que se consideren adecuados.
7. Seguridad en la virtualización
Webcircles implementa tecnologías de virtualización fiables y seguras para la prestación de servicios en la nube. Las tecnologías de virtualización utilizadas por Webcircles se someten a rigurosas pruebas de seguridad por parte de los proveedores de servicios IaaS y cumplen con los estándares del sector.
8. Protección y acceso a los datos de los clientes
Los datos de los clientes están protegidos mediante cifrado tanto en tránsito como en reposo. El acceso a los datos está controlado y limitado únicamente a los fines necesarios. Webcircles utiliza tecnologías de cifrado avanzadas y algoritmos de hashing para proteger la confidencialidad de los datos de los clientes. El acceso a los datos se permite solo a los usuarios autorizados que necesiten conocerlos para desempeñar sus funciones.
9. Gestión del ciclo de vida de las cuentas de los clientes
Webcircles gestiona el ciclo de vida de las cuentas de los clientes de forma segura, desde su creación hasta su baja. Las actividades de gestión del ciclo de vida incluyen:
- Creación de la cuenta: verificación de la identidad del cliente e implementación de los controles de seguridad adecuados.
- Activación del servicio: provisión de recursos y configuración del servicio según las necesidades del cliente.
- Gestión del servicio: soporte técnico, mantenimiento y actualizaciones del servicio.
- Cese del servicio: eliminación de los datos del cliente y retirada de los recursos asignados.
10. Comunicación de brechas de datos (data breaches)
Webcircles se compromete a comunicar rápidamente a los clientes cualquier brecha de datos que afecte a sus datos. La comunicación de la brecha de datos incluye:
- Rapidez: la comunicación debe realizarse lo antes posible tras el descubrimiento de la brecha de datos.
- Transparencia: la comunicación debe proporcionar información clara y completa sobre la brecha de datos, incluyendo la naturaleza del incidente, los datos afectados y las medidas de contención adoptadas.
- Cooperación: Webcircles colabora con los clientes para mitigar los efectos de la brecha de datos y para proporcionarles el soporte necesario.
Webcircles como CSC
1. Niveles de riesgo aceptables
Webcircles evalúa los niveles de riesgo para la seguridad de la información asociados a los servicios en la nube de terceros y los compara con sus propios niveles de riesgo aceptables. Dicha evaluación se realiza mediante un análisis exhaustivo de los controles de seguridad del CSP, de sus políticas y procedimientos, y de su cumplimiento con los estándares del sector.
2. Acceso a los datos por parte del CSP
Webcircles se asegura de que el CSP tenga acceso a los datos del cliente solo para las actividades estrictamente necesarias y que existan medidas de seguridad adecuadas para proteger dichos datos. Para ello, Webcircles suscribe un contrato con el CSP que especifica los términos y condiciones para el acceso a los datos del cliente. El contrato incluye cláusulas relativas a la confidencialidad, la seguridad y la protección de datos personales.
3. Mantenimiento en el entorno de nube
Webcircles exige al CSP que comunique con antelación las actividades de mantenimiento y que garantice un impacto mínimo en los servicios. El CSP debe proporcionar a Webcircles información detallada sobre las actividades de mantenimiento, incluyendo plazos, duración y el posible impacto en los servicios.
4. Multitenencia y virtualización
Webcircles se asegura de que el CSP adopte medidas de seguridad adecuadas para el aislamiento de datos y aplicaciones en un entorno multitenant y virtualizado. Para ello, Webcircles exige al CSP que proporcione información detallada sobre sus tecnologías de virtualización y sus medidas de seguridad para el aislamiento de datos.
5. Tipologías de usuarios
Webcircles define las funciones y responsabilidades de los usuarios del servicio en la nube en función del contexto operativo. Las funciones de los usuarios pueden incluir, por ejemplo, administradores, desarrolladores, usuarios finales y otros. Las responsabilidades de cada función se definen de manera clara y documentada.
6. Accesos privilegiados
Webcircles limita el acceso privilegiado al servicio en la nube y exige controles de seguridad rigurosos para dichos accesos. El acceso privilegiado se concede solo a los usuarios que necesitan tales derechos para desempeñar sus funciones. Los controles de seguridad para los accesos privilegiados incluyen la autenticación fuerte, el registro detallado y la supervisión periódica.
7. Ubicación de los datos
Webcircles se asegura de que los datos del cliente se almacenen de conformidad con las normativas aplicables y las políticas de la empresa. En particular, Webcircles verifica que el CSP cumpla con el RGPD y con otras normativas sobre protección de datos personales.
Fecha de última revisión: 24/03/2024