Kapture Intelligence S.L. (en adelante Kapture.IO), acuerda que el desarrollo de las actividades de la compañía y la consecución de los objetivos estratégicos requiere garantizar, en todo momento, el cumplimiento de los niveles establecidos de confidencialidad, integridad y disponibilidad para sus activos de información. Al mismo tiempo, requiere demostrar también su capacidad para proporcionar las soluciones y servicios propios de forma coherente, así como para gestionar eficientemente los servicios de seguridad de la información y ciberseguridad que ofrece a sus clientes.
Con esta finalidad, se ha desarrollado e implantado un Sistema de Gestión de la Seguridad de la información (SGSI) basado en una norma de reconocido prestigio ISO 27001 e ISO 27002, que establecen el marco de referencia para tratar de forma segura los activos de la organización, y que garantiza la confianza y satisfacción de los clientes mediante la integración de una metodología de prestación de servicios eficiente.
El compromiso de Kapture.IO en cuanto a la gestión de la seguridad de la información es el siguiente:
- Hacer patente el compromiso de la Dirección con el SGSI, con la gestión de la seguridad de la información, tanto propia como la de sus clientes.
- Integrar los requisitos del SGSI en los procesos de negocio de la organización.
- Definir, desarrollar y poner en funcionamiento los controles necesarios promoviendo el uso del enfoque a procesos y el pensamiento basado en riesgos para garantizar el cumplimiento, en todo momento, de los niveles de riesgo aprobados por la organización.
- Cumplir en todo momento la legislación vigente, además de las normas y especificaciones particulares aplicables a los servicios prestados por Kapture.IO y orientadas a la satisfacción del cliente.
- Crear una cultura de gestión integrada de los sistemas de información, tanto internamente, a todo el personal, como externamente a los clientes y proveedores.
- Comprometer, dirigir y apoyar al personal con el fin de contribuir a la eficacia del SGSI, asegurar la disponibilidad de los recursos necesarios para el mismo, así como apoyar a otros roles pertinentes de la dirección en la forma en la que aplique el sistema de gestión en sus áreas de responsabilidad.
- Mantener la confianza y satisfacción de los clientes.
1 Objetivos y Requerimientos
Con la finalidad de garantizar su compromiso, y siendo conscientes de que el objetivo de la seguridad de la información es asegurar la continuidad del negocio en la organización y reducir al mínimo el riesgo de daño mediante la prevención de incidentes de seguridad, así como reducir su impacto potencial cuando sea inevitable, Kapture.IO establece los siguientes objetivos de la seguridad de la información, compatibles con el contexto y la dirección estratégica de la organización:
- Incorporar la seguridad dentro de la cultura y el marco de gestión de la organización.
- Alinear la seguridad de información, es decir la confidencialidad, disponibilidad e integridad de la información de la organización para que esta pueda cumplir su estrategia de negocio, así como los requisitos contractuales y legales existentes.
- Análisis y gestión enfocada al riesgo.
- Optimizar las inversiones en seguridad en apoyo a los objetivos de negocio.
- Utilización del conocimiento y la infraestructura de seguridad con eficiencia y efectividad.
- Proteger los recursos de información de Kapture.IO y la tecnología utilizada para su procesamiento de amenazas internas o externas, deliberadas o accidentales.
- Monitorización y reporte de los procesos para garantizar que se alcanzan los objetivos.
Asimismo, tal como establece la norma, se deben incluir los requisitos de las partes interesadas, así como los objetivos de la seguridad de la información para asegurar la continuidad del negocio en la organización y reducir al mínimo el riesgo de daño mediante la prevención de incidentes de seguridad, así como reducir su impacto potencial cuando sea inevitable.
Igualmente, las responsabilidades estratégicas para la seguridad de la información dentro de la organización, tales como las responsabilidades sobre la gestión de riesgos, la realización de las auditorías internas o la gestión de los incidentes sobre la seguridad de la información se describen en documento “Roles y responsabilidades”.
Esta política está sustentada en políticas de menor nivel específicas de IT, como controles de acceso, seguridad física y del entorno y temas orientados a los usuarios finales, tales como uso aceptable de los activos, política de escritorio, dispositivos móviles, restricciones sobre instalación y uso de software, copias de seguridad, protección contra malware, política corporativa de buen uso, y finalmente una normativa y procedimientos de seguridad; documentos que forman parte del ecosistema del SGSI.
2 Datos de Carácter Personal
Kapture.IO, en el desarrollo de sus funciones, requiere hacer uso de datos de carácter personal. Por ello, se garantizarán los derechos y libertades de los interesados, así como la seguridad de la información, de las comunicaciones y de los sistemas de información que soportan los tratamientos de acuerdo con las medidas previstas en la legislación vigente.
Para lograr las necesarias garantías se realizarán todas las acciones pertinentes de las siguientes:
- La realización de análisis de riesgos sobre los tratamientos, y evaluaciones del impacto en la privacidad cuando sea probable que los tratamientos entrañen un alto riesgo para los derechos y libertades de los afectados.
- La elaboración de toda la documentación necesaria para soportar los procesos y garantizar los derechos y libertades de los afectados, cumpliendo con los principios establecidos por la normativa vigente.
- El traslado de las obligaciones a todo el personal que tenga acceso a los datos de carácter personal y la gestión de las relaciones con encargados de tratamiento en base a unos criterios establecidos, incluyendo la regulación a través de contratos que formalicen las obligaciones y los requisitos de seguridad.
- El mantenimiento de un registro de actividades de tratamiento.
- La información en los plazos requeridos, en base a las disposiciones de las leyes aplicables, a la correspondiente autoridad competente de protección de datos.
- La información por capas sobre los tratamientos a los afectados por los mismos, de forma concisa, transparente, inteligible y de fácil acceso.
- La recogida del consentimiento de los afectados de forma expresa e inequívoca, y previamente al inicio de los tratamientos y/o establecimiento de cesiones.
- La notificación a los afectados de violaciones de seguridad que supongan un alto riesgo contra sus derechos y libertades, dentro de las 72h siguientes a su detección
Esta política de Protección de datos se sustenta en políticas específicas presentes y futuras, que seguirán su propio cauce de aprobación y supervisión.
Finalmente, la dirección de Kapture.IO se compromete a garantizar la compresión e implicación de todo el personal en el logro de los objetivos del SGSI, asimismo, la presente política será revisada anualmente y se modificará cuando se considere pertinente para la mejora continua de la misma.