You have been successfully removed from this subscriber list so that you will not receive future emails.

Security Policy – ES

POLÍTICA DE SEGURIDAD

1. APROBACIÓN Y ENTRADA EN VIGOR
Texto aprobado el día 19 de marzo de 2025 mediante acta del Director General de SMART2ME, S.L(en adelante INDIGITALL).
Esta “Política de Seguridad de la Información”, en adelante Política, será efectiva desde su fecha de aprobación, y se mantendrá vigente hasta que sea sustituida por una nueva Política.
2. INTRODUCCIÓN
INDIGITALL depende en gran medida de los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos, y es consciente que la transformación digital ha supuesto un incremento de los riesgos asociados a los sistemas de información que sustentan servicios públicos, y que como proveedor del sector público debe gestionar de manera adecuada estos riesgos.
El objetivo de esta gestión de riesgos es proteger los sistemas de Tecnologías de la Información y las Comunicaciones frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad, confidencialidad, autenticidad o trazabilidad de la información tratada por INDIGITALL en el marco de los servicios prestados al sector público, y de manera más específica a residencias y centros sociosanitarios.
Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que los departamentos deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.
Los diferentes departamentos de INDIGITALL deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en la contratación de proyectos TIC.
Los departamentos deben estar preparados para prevenir, detectar, reaccionar y recuperarse de incidentes, de acuerdo con el Artículo 8 del ENS.

3. ALCANCE
3.1 Alcance Subjetivo
Los sujetos obligados por esta Política son todo el personal de INDIGITALL, y todas aquellas personas o entidades, tanto internas como externas, que presten servicios a INDIGITALL, tanto en sus propias instalaciones como en remoto.
3.2 Alcance Objetivo
Esta Política se aplicará a los sistemas de información de INDIGITALL que están relacionados los servicios de Plataforma “marketing automation” en modelo Saas.

4. MARCO NORMATIVO
La identificación y mantenimiento del marco normativo será responsabilidad del Responsable de Seguridad de INDIGITALL y se regulará a través del procedimiento relativo a la identificación y evaluación de requisitos legales. Se incluirán las instrucciones técnicas de seguridad de obligado cumplimiento, publicadas mediante resolución de la Secretaría de Estado de Digitalización e Inteligencia Artificial del Ministerio de Asuntos Económicos y Transformación Digital o entidad que asuma esas funciones.
Así mismo, el Responsable de Seguridad de INDIGITALL también será responsable de identificar las guías de seguridad del CCN, que serán de aplicación para mejorar el cumplimiento de lo establecido en el ENS.

5. REQUISITOS MÍNIMOS DE SEGURIDAD
La Política de Seguridad de INDIGITALL regula la gestión continua del proceso de seguridad. Esta Política se ha establecido de acuerdo con los principios básicos establecidos en el Capítulo II del ENS y se desarrolla teniendo en cuenta la aplicación de los siguientes requisitos mínimos de seguridad:
a) Organización e implantación del proceso de seguridad (art.13)
b) Análisis y gestión de los riesgos (art.14).
c) Gestión de personal (art.15)
d) Profesionalidad (art.16).
e) Autorización y control de los accesos (art.17).
f) Protección de las instalaciones (art.18).
g) Adquisición de productos de seguridad y contratación de servicios de seguridad (art.19).
h) Mínimo privilegio (art.20).
i) Integridad y actualización del sistema (art.21).
j) Protección de la información almacenada y en tránsito (art.22).
k) Prevención ante otros sistemas de información interconectados (art.23).
l) Registro de la actividad y detección de código dañino (art.24).
m) Incidentes de seguridad (art.25).
n) Continuidad de la actividad (art.26).
ñ) Mejora continua del proceso de seguridad (art.27).
Para dar cumplimiento a estos requisitos mínimos INDIGITALL aplicará las medidas de seguridad en el Anexo II del EN teniendo en cuenta:
Los activos que constituyen el sistema de información de INDIGITALL.
La categoría de seguridad del sistema, según lo previsto en el artículo 40.
Las decisiones que se adopten para gestionar los riesgos identificados.
6. PRINCIPIOS BÁSICOS
La Política de Seguridad de la Información de INDIGITALL establece los siguientes principios básicos que han de tenerse presentes en el uso de los sistemas de información:
Seguridad como proceso integral: la seguridad es un proceso que comprende todos los elementos humanos, materiales, técnicos, jurídicos y organizativos relacionados con los sistemas de información.
Gestión integral basada en riesgos: el análisis y gestión de los riesgos es parte esencial del proceso de seguridad, debiendo constituir una actividad continua y permanentemente actualizada. La gestión de los riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos aceptables.
Prevención, detección, respuesta y conservación: La seguridad del sistema de información debe contemplar las acciones relativas a los aspectos de prevención, detección y respuesta.
Existencia de líneas de defensa: El sistema de información de INDIGITALL debe disponer de una estrategia de protección constituida por múltiples capas de seguridad.
Vigilancia continua y reevaluación periódica: La vigilancia continua permitirá la detección de actividades o comportamientos anómalos y su oportuna respuesta. La evaluación permanente permitirá medir su evolución y las medidas de seguridad se reevaluarán y actualizarán periódicamente adecuando su eficacia a la evolución de los riesgos y sistemas de protección.
7. OBJETIVOS DE LA SEGURIDAD DE LA INFORMACIÓN
INDIGITALL establece como objetivos de Seguridad los siguientes:
Garantizar la protección de la información.
Seguridad física: INDIGITALL emplaza los sistemas de información en áreas seguras, protegidas por controles de acceso físico adecuados a su nivel de criticidad.
Control de acceso: INDIGITALL limita el acceso a los activos de información por parte de usuarios, procesos y otros sistemas de información mediante la implantación de mecanismos de identificación, autenticación y autorización adaptados a la criticidad de cada activo.
Adquisición, desarrollo y mantenimiento de los sistemas de información: INDIGITALL contempla los aspectos de seguridad en todas las fases del ciclo de vida de los sistemas de información.
Garantizar la prestación continuada de los servicios: INDIGITALL implanta los procedimientos adecuados para asegurar la disponibilidad de los sistemas de información y mantener la continuidad de los procesos de negocio.
Protección de datos: INDIGITALL adopta las medidas técnicas y organizativas necesarias para gestionar los riesgos derivados del tratamiento de datos personales.
Cumplimiento: INDIGITALL adopta las medidas técnicas y organizativas necesarias para el cumplimiento de la normativa legal vigente en materia de seguridad de la información.
8. MISIÓN
INDIGITALL nace en febrero de 2013 con la misión de atravesar las fronteras digitales y adaptar para cada campaña de marketing a las preferencias de cada cliente en todos sus canales digitales gracias al uso de la inteligencia artificial, asegurando que cada interacción sea relevante y efectiva. De esta manera, se forja una conexión auténtica, como si cada cliente tuviera un asistente personalizado a su disposición. El objetivo de INDIGITALL es incrementar la competitividad de las empresas mediante su transformación digital y el consiguiente uso de herramientas de marketing automatizado para desarrollar una estrategia omnicanal y sostenible. El punto emergente de INDIGITALL es la innovación tecnológica.

9. CUMPLIMIENTO DE ARTÍCULOS
Para lograr el cumplimiento de los artículos del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad ha implementado diversas medidas de seguridad proporcionales a la naturaleza de la información y servicios a proteger teniendo en cuenta la categoría de los sistemas afectados.
El cumplimiento del articulado del ENS se recoge detalladamente en el documento “Declaración de Aplicabilidad”.

10. DESARROLLO DE LA POLÍTICA
El Comité de Seguridad de la Información de INDIGITALL ha aprobado el desarrollo de un sistema de gestión, que será establecido, implementado, mantenido y mejorado, conforme a los estándares de seguridad. Este sistema se adecuará y servirá de gestión de los controles del Esquema Nacional de Seguridad. El sistema será documentado y permitirá generar evidencias de los controles y del cumplimiento de los objetivos marcados por el Comité. Existirá un procedimiento de gestión documental que establecerá las directrices para la estructuración de la documentación de seguridad del sistema, su gestión y acceso.
Corresponde al Comité de Seguridad de la Información la revisión anual de la presente Política proponiendo, en caso de que sea necesario mejoras de la misma, para su aprobación por parte del Director General de INDIGITALL.
La presente Política de Seguridad es de obligado cumplimiento y se estructura a nivel documental, en los siguientes niveles jerárquicos:
Primer nivel: Política de Seguridad de la Información.
Segundo nivel: Normativas de Seguridad.
Tercer nivel: Procedimientos de Seguridad.
El Responsable de Seguridad de la Información (CISO) con el soporte del área de Calidad deberá revisar al menos con periodicidad anual esta normativa, proponiendo mejoras a la misma en el caso que sea necesario.
El personal de INDIGITALL y terceras empresas, deberán conocer además de esta Política de Seguridad, todas las normativas, procedimientos, instrucciones técnicas, u otra documentación que pueda afectar en el desempeño de sus funciones.
10.1 Primer nivel normativo: Política de Seguridad TIC.
La Política de Seguridad TIC constituye el instrumento normativo al más alto nivel en la estructura normativa de la seguridad de INDIGITALL. Deberá ser aprobada por el Director General de INDIGITALL.
10.2 Segundo nivel normativo: Normas de Seguridad de la Información.
Las Normas de Seguridad TIC son instrumentos de nivel medio que abarcan un área determinada de la seguridad. El órgano responsable de su aprobación es el Comité de Seguridad de INDIGITALL.
10.3 Tercer nivel normativo: Procedimientos de Seguridad TIC.
Los Procedimientos de Seguridad TIC son instrumentos de nivel inferior, redactados con un mayor nivel de detalle, aplicables a un ámbito específico. El Responsable de su aprobación es el Responsable de Seguridad.

11. ORGANIZACIÓN DE LA SEGURIDAD
11.1 Roles o perfiles de seguridad
Para garantizar el cumplimiento y la adaptación de las medidas exigidas reglamentariamente, se han creado roles o perfiles de seguridad, y se han designado los cargos u órganos que los ocuparán, del siguiente modo:
Responsable de Información: Juan Carlos de Vela Benavides
Responsable de los Servicios: Xavier Omella Claparols
Responsable de Seguridad: Marcos Fortún Arranz
Responsable del Sistema: Jesús Moreira Rubio

11.2 Comité de Seguridad de la Información
INDIGITALL ha constituido un Comité de Seguridad de la Información, como órgano colegiado, y está formado por los siguientes miembros:
Director General: Director General de INDIGITALL.
Miembros:
· Responsable del Servicio
· Responsable del Sistema.
· Responsable de Seguridad
Con carácter opcional, otros miembros de INDIGITALL podrán incorporarse a las labores del Comité, incluidos grupos de trabajo especializados ya sean de carácter interno, externo o mixto.
El Comité de Seguridad de la Información celebrará sus sesiones en las dependencias de INDIGITALL o de forma remota con periodicidad semestral previa convocatoria al efecto realizada por el Director General de dicho Comité. En todo caso, el Comité podrá celebrar reuniones extraordinarias cuando existan circunstancias que lo requieran.
11.3 Responsabilidades asociadas al Esquema Nacional de Seguridad
A continuación, se detallan y se establecen las funciones y responsabilidades de cada uno de los roles de seguridad ENS:
Funciones del Responsable de la Información y de los Servicios
Establecer y aprobar los requisitos de seguridad aplicables al servicio y la información dentro del marco establecido en el anexo II del ENS previa propuesta al Responsable de Seguridad ENS, y/o Comité de Seguridad de la Información.
Aceptar los niveles de riesgo residual que afecten al Servicio y a la Información.
Funciones del Responsable de Seguridad (CISO/ RSF)
Mantener y verificar el nivel adecuado de seguridad de la Información manejada y de los servicios electrónicos prestados por los sistemas de información.
Gestionar, supervisar y mantener la seguridad física de las instalaciones de INDIGITALL.
Promover la formación y concienciación en materia de seguridad.
Designar responsables de la ejecución del análisis de riesgos, de la declaración de aplicabilidad, identificar medidas de seguridad, determinar configuraciones necesarias, elaborar documentación del sistema.
Proporcionar asesoramiento para la determinación de la categoría del sistema, en colaboración con el Responsable del Sistema y/o Comité de Seguridad de la Información de la Información.
Participar en la elaboración e implantación de los planes de mejora de la seguridad y llegado el caso en los planes de continuidad, procediendo a su validación.
Gestionar las revisiones externas o internas del sistema.
Gestionar los procesos de certificación.
Elevar al Comité de Seguridad la aprobación de cambios y otros requisitos del sistema.
Funciones del Responsable del Sistema
Paralizar o dar suspensión al acceso a información o prestación de servicio si tiene el conocimiento de que estos presentan deficiencias graves de seguridad.
Implantar y gestionar los Sistemas de Información de INDIGITALL durante todo su ciclo de vida, incluyendo la implantación de los controles de ciberseguridad, así como su operación y verificación de su correcto funcionamiento.
Definir la topología y la gestión del Sistema de Información estableciendo los criterios de uso y los servicios disponibles en el mismo.
Cerciorarse de que las medidas específicas de seguridad se integren adecuadamente dentro del marco general de seguridad.
Colaborar con el Responsable de Seguridad para la investigación y resolución de ciberincidentes que afecten a los Sistemas de Información de INDIGITALL y aplicar el conocimiento obtenido del análisis de los ciberincidentes que hayan tenido lugar para reducir la probabilidad o el impacto de incidentes en el futuro.
Llevar a cabo las funciones del administrador de la seguridad del sistema:
· La gestión, configuración y actualización, en su caso, del hardware y software en los que se basan los mecanismos y servicios de seguridad.
· La gestión de las autorizaciones concedidas a los usuarios del sistema, en particular los privilegios concedidos, incluyendo la monitorización de la actividad desarrollada en el sistema y su correspondencia con lo autorizado.
· Aprobar los cambios en la configuración vigente del Sistema de Información.
· Asegurar que los controles de seguridad establecidos son cumplidos estrictamente.
· Asegurar que son aplicados los procedimientos aprobados para manejar el Sistema de Información.
· Supervisar las instalaciones de hardware y software, sus modificaciones y mejoras para asegurar que la seguridad no está comprometida y que en todo momento se ajustan a las autorizaciones pertinentes.
· Monitorizar el estado de seguridad proporcionado por las herramientas de gestión de eventos de seguridad y mecanismos de auditoría técnica.
· Cuando la complejidad del sistema lo justifique, el Responsable de Sistema podrá designar los responsables de sistema delegados que considere necesarios, que tendrán dependencia funcional directa de aquél y serán responsables en su ámbito de todas aquellas acciones que les delegue el mismo. De igual modo, también podrá delegar en otro/s funciones concretas de las responsabilidades que se le atribuyen.
Funciones del Comité de Seguridad de la Información
El Comité de Seguridad tendrá las siguientes funciones:
Atender las solicitudes, en materia de Seguridad de la Información, de la Administración y de los diferentes roles de seguridad y/o áreas informando regularmente del estado de la Seguridad de la Información.
Asesorar en materia de Seguridad de la Información.
Resolver los conflictos de responsabilidad que puedan aparecer entre las diferentes unidades administrativas.
Promover la mejora continua del sistema de gestión de la Seguridad de la Información. Para ello se encargará de:
· Coordinar los esfuerzos de las diferentes áreas en materia de Seguridad de la Información, para asegurar que estos sean consistentes, alineados con la estrategia decidida en la materia, y evitar duplicidades.
· Proponer planes de mejora de la Seguridad de la Información, con su dotación presupuestaria correspondiente, priorizando las actuaciones en materia de seguridad cuando los recursos sean limitados.
· Velar porque la Seguridad de la Información se tenga en cuenta en todos los proyectos desde su especificación inicial hasta su puesta en operación. En particular deberá velar por la creación y utilización de servicios horizontales que reduzcan duplicidades y apoyen un funcionamiento homogéneo de todos los sistemas TIC.
· Realizar un seguimiento de los principales riesgos residuales asumidos por la Administración y recomendar posibles actuaciones respecto de ellos.
· Realizar un seguimiento de la gestión de los incidentes de seguridad y recomendar posibles actuaciones respecto de ellos.
· Elaborar y revisar regularmente la Política de Seguridad de la Información para su aprobación por el órgano competente.
· Elaborar la normativa de Seguridad de la Información para su aprobación en coordinación con la Dirección General.
· Verificar los procedimientos de seguridad de la información y demás documentación para su aprobación.
· Elaborar programas de formación destinados a formar y sensibilizar al personal en materia de Seguridad de la Información y en particular en materia de protección de datos de carácter personal.
· Elaborar y aprobar los requisitos de formación y calificación de administradores, operadores y usuarios desde el punto de vista de Seguridad de la Información.
· Promover la realización de las auditorías periódicas ENS y de protección de datos que permitan verificar el cumplimiento de las obligaciones de la Administración en materia de seguridad de la Información.
11.4 Procedimientos de designación
La creación del Comité de Seguridad de la Información, el nombramiento de sus integrantes y la designación de los Responsables identificados en esta Política ha sido realizada por el Director General de INDIGITALL y comunicada a las partes interesadas.
Los miembros del Comité, así como los roles de seguridad serán revisados cada tres años o con ocasión de vacante.

11.5 Matriz RACI: matriz de asignación de responsabilidades
Tarea
DG
RI
RS
DPD
CISO/RSF
CIO
Política de Seguridad
A
C
C
C
R
C
Determinación de la categoría del Sistema
C
C

A/R
C
Análisis de Riesgos

I
R

A/R
R
Declaración de aplicabilidad

I
R

A/R
R
Normas y procedimientos de S.I

I

A/R
R
Respuesta incidentes de seguridad
I
I
C
I
A/R
R
Seguridad del ciclo de vida de los servicios y sistemas de información

C
A/R

A: Accountable (toma la decisión, autoriza y aprueba.
R: Responsible (es responsable de la realización del trabajo

C: Consulted (se le consulta antes de tomar la decisión).
I: Informed (se le informa de las decisiones tomadas)

12. RESOLUCIÓN DE CONFLICTOS
El Comité de Seguridad de la Información de INDIGITALL se encargará de la resolución de los conflictos y/o diferencias de opiniones, que pudieran surgir entre los roles de seguridad.

13. DATOS DE CARÁCTER PERSONAL
INDIGITALL solo tratará datos de carácter personal cuando sean adecuados, pertinentes y no excesivos y éstos se encuentren en relación con el ámbito y las finalidades para los que se hayan obtenido. De igual modo, adoptará las medidas de índole técnica y organizativas necesarias para el cumplimiento de la normativa de Protección de Datos vigente en cada caso conforme a la Política de Protección de Datos Personales aprobada por la Presidencia de INDIGITALL.
De conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) y su traslación a la legislación española con la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, se han ido adaptando las medidas oportunas tales como, el análisis de legitimidad jurídica de cada uno de los datos tratamientos de datos que se lleven a cabo, el análisis de riesgos, la evaluación de impacto si el riesgo es alto, el registro de actividades y el nombramiento de quien vaya a desempeñar las funciones de Delegado de Protección de Datos.

14. TERCERAS PARTES
Cuando preste servicios a otros organismos, o maneje información de otros organismos, se les hará partícipe de esta Política de Seguridad de la Información. INDIGITALL definirá y aprobará los canales para la coordinación de la información y los procedimientos de actuación para la reacción ante incidentes de seguridad, así como el resto de las actuaciones que INDIGITALL lleve a cabo en materia de Seguridad en relación con otros organismos.
Cuando INDIGITALL utilice servicios de terceros o ceda información a terceros, se les hará partícipe de esta Política de Seguridad y de la Normativa de Seguridad existente que ataña a dichos servicios o información.
Dicha tercera parte quedará sujeta a las obligaciones establecidas en la mencionada normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de comunicación y resolución de incidencias. Se garantizará que el personal de terceros esté adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política de Seguridad.
De igual modo, teniendo en cuenta la obligación de cumplir con lo dispuesto en las Instrucciones Técnicas de Seguridad establecidas en la disposición adicional segunda del Real Decreto 311/2022, y en consideración a la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad, donde se establece que los operadores del sector privado que presten servicios o provean soluciones a las entidades públicas, a los que resulte exigible el cumplimiento del Esquema Nacional de Seguridad, deberán estar en condiciones de exhibir la correspondiente Declaración de Conformidad con el Esquema Nacional de Seguridad cuando se trate de sistemas de categoría BÁSICA, o la Certificación de Conformidad con el Esquema Nacional de Seguridad, cuando se trate de sistemas de categorías MEDIA o ALTA.
Cuando algún aspecto de esta Política de Seguridad no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad ENS que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.

15. MEJORA CONTINUA
La gestión de la seguridad de la información es un proceso sujeto a actualización permanente. Por ello, es necesario que INDIGITALL implante un proceso de mejora continua que comportará entre otras acciones:
Revisión de la Política de Seguridad de la Información.
Revisión de los servicios e información y su categorización.
Ejecución con periodicidad anual del análisis de riesgos.
Realización de auditorías internas y externas.
Revisión de las medidas de seguridad.
Revisión y actualización de normas y procedimientos.
Para INDIGITALL, la gestión adecuada de la seguridad de la información constituye un reto continuo y colectivo, necesario para la continuidad de la Entidad.

Cámara de Comercio

Título proyecto: "Customer Intelligent Journey By indigitall - CIJI"

Número proyecto: IDI-20220517

Ejecución: De 01-02-2022 hasta 31-07- 2023

Objetivo: El objetivo general del proyecto es el desarrollo de un proceso para pasar de una comunicación multicanal, canales aislados que pueden provocar una comunicación masiva al no tener una visión global de la etapa en la que se encuentra el usuario, al cross-channel basada en la construcción de Customer Journey optimizados gracias a la Inteligencia Artificial.

Descarga tu ebook

indigitall necesita la información de contacto que nos proporcionas para ponernos en contacto contigo acerca de nuestros productos y servicios. Puedes darte de baja de estas comunicaciones en cualquier momento. Para obtener información sobre cómo darte de baja, así como nuestras prácticas de privacidad y el compromiso de proteger tu privacidad, consulta nuestra Política de privacidad.

* Todos los campos son obligatorios

Hay problemas con el servidor. Inténtalo de nuevo.
Si el error persiste, contáctanos.