Política de Seguridad de Datos

Introducción

Esta Política de Seguridad de Datos ("Política") describe los principios y pautas para garantizar la protección, confidencialidad, integridad y disponibilidad de los activos de datos en Waiis Solution Iberia, SL ("la Compañía"). Esta Política se aplica a todos los empleados, contratistas y proveedores externos que manejan o tienen acceso a los datos de la empresa.

Propósito

El propósito de esta Política es:

  1. Salvaguardar la información sensible y confidencial contra accesos, uso, divulgación, alteración o destrucción no autorizados.
  2. Cumplir con las leyes, regulaciones y normas aplicables de protección de datos.
  3. Minimizar el riesgo de violaciones de datos, ciberataques y otros incidentes de seguridad.
  4. Fomentar una cultura de conciencia y responsabilidad en materia de seguridad de datos entre los empleados.

Alcance

Esta Política se aplica a todos los activos de datos, independientemente de su formato o medio de almacenamiento, incluyendo, entre otros:

  1. Datos personales de empleados, clientes, socios y otras personas.
  2. Datos financieros, como información de tarjetas de crédito y detalles de cuentas bancarias.
  3. Propiedad intelectual, secretos comerciales e información confidencial.
  4. Datos operativos, incluyendo registros del sistema y configuraciones de redes.

Roles y Responsabilidades

4.1 Dirección

  1. La dirección es responsable de definir la estrategia general de seguridad de datos, asignar roles y asignar recursos.
  2. Revisarán y actualizarán regularmente esta Política para adaptarla a las amenazas emergentes, las tecnologías y los requisitos normativos.
  3. La dirección deberá promover una cultura de conciencia en materia de seguridad de datos y proporcionar a los empleados la formación y los recursos adecuados.

4.2 Empleados

  1. Todos los empleados deben cumplir con esta Política y ser responsables de proteger los datos de la empresa.
  2. Los empleados deben informar de inmediato cualquier incidente real o sospechoso de seguridad de datos a la autoridad designada.
  3. El cumplimiento de esta Política es una condición de empleo y el incumplimiento puede dar lugar a acciones disciplinarias, incluida la terminación del contrato.

Clasificación y Manejo de Datos

5.1 Clasificación de Datos

  1. Todos los activos de datos deben clasificarse según su sensibilidad, criticidad y requisitos legales/regulatorios.
  2. Los niveles de clasificación incluyen:
    1. Confidencial: Información altamente sensible que requiere el nivel más alto de protección.
    2. Uso Interno: Información destinada exclusivamente al uso interno, con algunas restricciones de acceso y distribución.
    3. Público: Información que se puede compartir libremente con el público.

5.2 Manejo de Datos

  1. Control de Acceso: El acceso a los datos debe concederse en función de la necesidad y de acuerdo con los roles y responsabilidades del usuario.
  2. Cifrado: Los datos confidenciales y sensibles deben cifrarse tanto en tránsito como en reposo, utilizando protocolos de cifrado estándar de la industria.
  3. Almacenamiento de Datos: Los datos deben almacenarse en sistemas e infraestructuras aprobados, garantizando una copia de seguridad adecuada y mecanismos de recuperación ante desastres.
  4. Transmisión de Datos: Se deben utilizar canales seguros, como redes privadas virtuales (VPN), para transmitir datos sensibles a través de redes públicas.
  5. Retención de Datos: Los datos deben conservarse solo durante el tiempo necesario, cumpliendo con los requisitos legales y regulatorios.

Controles de Seguridad

6.1 Infraestructura de Seguridad de la Información

  1. La Compañía establecerá y mantendrá una infraestructura de seguridad de la información para proteger los activos de datos, incluyendo cortafuegos, sistemas de detección y prevención de intrusiones y software antivirus/antimalware.
  2. Se realizarán evaluaciones periódicas de vulnerabilidades, pruebas de penetración y auditorías de seguridad para identificar y mitigar riesgos.

6.2 Autenticación de Usuarios y Control de Acceso

  1. Se implementarán políticas de contraseñas seguras, autenticación multifactor (MFA) y principios de privilegios mínimos para garantizar el acceso autorizado.
  2. Las cuentas de usuario y los derechos de acceso deben revisarse periódicamente para eliminar privilegios innecesarios.

6.3 Gestión de Incidentes

  1. La Compañía mantendrá un plan de respuesta a incidentes para detectar, responder y recuperarse de los incidentes de seguridad de datos de manera oportuna.
  2. Todos los empleados deben conocer el proceso de notificación de incidentes y reportar cualquier incidente real o sospechoso a la autoridad designada.

Capacitación y Concientización

  1. La Compañía proporcionará programas regulares de capacitación y concientización para educar a los empleados sobre las mejores prácticas, políticas y procedimientos de seguridad de datos.
  2. Los empleados deben mantenerse actualizados sobre las amenazas emergentes, las técnicas de ingeniería social y las tendencias de ciberseguridad.

Cumplimiento

  1. La Compañía cumplirá con todas las leyes y regulaciones aplicables de protección de datos, incluido el Reglamento General de Protección de Datos (RGPD) y cualquier otra regulación específica de la industria.
  2. Se realizarán auditorías y evaluaciones periódicas para garantizar el cumplimiento y identificar áreas de mejora.

Revisión de la Política

Esta Política se revisará y actualizará según sea necesario para reflejar los cambios en la tecnología, los requisitos comerciales y los marcos normativos.