Política de Seguretat dels serveis al núvol

El present document estableix les polítiques i mesures tècniques i organitzatives que apliquen als serveis al núvol proporcionats per NUMINTEC.

MESURES DE SEGURETAT GENERALS

Polítiques de l’organització

  • Política de seguretat i privacitat de la informació: Existeix una política de seguretat de la informació i protecció de dades personals publicada i coneguda per tot el personal i col·laboradors.
  • Responsable de seguretat: NUMINTEC ha designat un Responsable de Seguretat de la Informació (“CISO”) com a responsable de coordinar i supervisar les polítiques, normatives i procediments de seguretat.
  • Rols i responsabilitats: Els rols i responsabilitats en matèria de seguretat de la informació i protecció de la privacitat estan definits i assignats apropiadament dins de l’organització.
  • Programa de gestió de riscos: En el marc del Sistema de Gestió de la Seguretat de la Informació existeix un pla d’avaluació i tractament de riscos de seguretat de la informació i es revisa periòdicament.
  • Avaluació contínua: NUMINTEC realitza una verificació i avaluació periòdica de l’eficàcia de les mesures tècniques i organitzatives implantades per protegir la seguretat en la informació. Aquesta avaluació es realitza sota el criteri dels estàndards de seguretat de la indústria i el Sistema de Gestió de la Seguretat de la Informació.
  • Política de seguretat de proveïdors: Existeix un procés formal que permet valorar el compliment dels requisits de seguretat de la informació i protecció de la privacitat que han de complir els proveïdors.

Personal i col·laboradors

  • Responsabilitats: Tot el personal de NUMINTEC s’ha compromès a complir i fer complir les polítiques i normatives de seguretat de la informació de l’empresa.
  • Compromís de confidencialitat: Tot el personal i col·laboradors signen un document contractual mitjançant el qual s’obliguen a guardar secret i garantir la confidencialitat i seguretat de les dades.
  • Normativa interna de seguretat: Existeix una normativa de seguretat de la informació, protecció de dades personals i ús dels mitjans informàtics que tot el personal s’ha compromès a complir.
  • Formació i conscienciació: Tot el personal rep una formació adequada respecte a la seguretat de la informació i la protecció de les dades personals.
  • Normes d’ús dels sistemes: La normativa de seguretat estableix les normes d’ús acceptable dels sistemes d’informació i equips.

Accés als sistemes

  • Política de control d’accessos: NUMINTEC manté una política que determina els privilegis de seguretat sota el principi de mínim privilegi.
  • Autorització d’accés: Existeix un procés formal per gestionar l’autorització, alta, baixa i modificació d’accessos dels usuaris.
  • Comptes individuals: Cada persona utilitza un compte d’usuari individual i intransferible.
  • Mínim privilegi: S’aplica una política de mínim accés per defecte; el personal només té accés a la informació requerida per al seu lloc de treball.
  • Autenticació: S’utilitzen pràctiques estàndards del sector per identificar i autenticar els usuaris.

Actius de tractament de la informació

  • Inventari d’actius: Es disposa d’un inventari dels sistemes i equips utilitzats en el tractament de la informació.
  • Rebuig i reutilització segura: Processos formals per al rebuig i/o reutilització segura dels equips.
  • Manteniment dels equips: Els sistemes i equips estan degudament mantinguts o actualitzats.
  • Protecció contra malware: Els equips disposen de protecció antimalware permanentment activa i actualitzada.

Seguretat de xarxa

  • Equip de seguretat dedicat: Supervisió de seguretat 24×7 i un equip sempre disponible per donar resposta a alertes i incidents.
  • Protecció i segregació de xarxes: Les xarxes estan segregades i separades.
  • Arquitectura: Infraestructura allotjada principalment en centres de dades en territori Espanyol (ISO 27001). Les dades es mantenen a la zona corresponent segons legislació (ex. Europa).
  • Seguretat perimetral: Doble capa de tallafocs per filtrar trànsit no autoritzat i denegar connexions no explícites.
  • Protocols segurs de transmissió: Tot el trànsit per xarxes públiques està xifrat mitjançant protocols segurs.
  • Escaneig de vulnerabilitats: Proves periòdiques per verificar que les xarxes estan lliures de vulnerabilitats.
  • Proves de penetració: Mínim un cop l’any es realitza un pentest ampli a xarxes i servidors de producció enfront d’atacs de tercers.
  • Gestió d’alertes (SIEM): El sistema de supervisió col·lecciona registres d’activitat.
  • Detecció d’intrusions: Control de punts d’entrada/sortida registrant connexions acceptades i denegades.
  • Mitigació DDoS: Monitoratge del trànsit de xarxa en temps real.

Operacions de seguretat

  • Accés lògic: Arquitectura de seguretat basada en rols i política de “necessitat de conèixer” (ISO 27001/27017).
  • Supervisió i gestió de capacitat: Monitoratge continu de l’acompliment i projecció de requisits futurs.
  • Resposta a Incidents: Escalada de successos 24/7 a equips d’operacions i seguretat. Procediment específic de resposta a ciberatacs.
  • Gestió de canvis: Procediment per prevenir que els canvis afectin la seguretat de la informació.
  • Registres d’auditoria: Es recullen, conserven i revisen els registres d’operacions sobre les dades (accés, modificació, eliminació).

Xifrat de dades

  • Xifrat en trànsit: La informació en xarxes públiques es transmet de forma segura.
  • Xifrat de trucades: S’utilitzen els protocols de senyalització de veu més segurs disponibles. (Nota sobre intercepció legal segons Llei 25/2007 i Llei 9/2014).
  • Xifrat en emmagatzematge: S’utilitza encriptació en repòs en tots els casos.

Disponibilitat i continuïtat

  • Disponibilitat: Supervisió contínua per garantir els objectius de disponibilitat compromesos.
  • Redundàncies: Infraestructura redundant (firewalls, routers, servidors) per evitar punts únics de fallada.
  • Còpies de Seguretat: Automatitzades i supervisades contínuament.
  • Proves de recuperació: Proves periòdiques de recuperació i verificació de les dades.
  • Pla de continuïtat: Pla elaborat i provat per respondre a incidents disruptius.
  • Recuperació davant desastres: Procediments específics davant amenaces com ransomware o fallades greus.

Seguretat física

  • Perímetre de seguretat: Protecció dels recintes on es processa informació.
  • Control d’accés: Controls físics per assegurar que només accedeix personal autoritzat.
  • Protecció contra amenaces: Protecció contra amenaces físiques i ambientals.

Seguretat de l’Aplicació

  • Registres: Es manté un registre d’accessos i modificacions des de l’aplicació web InvoxContact.
  • Contrasenyes: Emmagatzematge segur seguint les millors pràctiques.

PROTECCIÓ DE DADES PERSONALS

Mesures tècniques i organitzatives

  • Sistema de Gestió: Sistema per assegurar el compliment legal i tractament de riscos.
  • Responsabilitats: Nomenament d’un Delegat de Protecció de Dades (DPD).
  • Obligacions: Tot el personal signa el compromís de compliment de polítiques de protecció de dades.
  • Formació: Sessions de conscienciació per a empleats.
  • Mesures tècniques: Protecció d’acord amb la certificació ISO 27001.
  • Política de privacitat: Inclosa en els “Termes i condicions generals”.
  • Encàrrec de tractament: NUMINTEC actua com a encarregat de tractament, garantint confidencialitat, integritat, disponibilitat i restauració d’accés.
  • Comunicació de dades: No se cedeixen a tercers excepte a proveïdors necessaris, operadors i organismes oficials per llei.
  • Transferències internacionals: Només a països amb nivell adequat de protecció o certificacions vàlides (EUA).
  • Conservació: Eliminació definitiva als 90 dies de la desconnexió, excepte obligació legal.

Privacitat per disseny i per defecte

  • Minimització: Només dades estrictament necessàries.
  • Limitació de termini: Procediments per limitar retenció i esborrar arxius temporals.
  • Limitació de finalitat: Evitar ús per a finalitats diferents de les establertes.
  • Pseudonimització i xifrat: Aplicable en casos de dades sensibles.
  • Segregació: Accés restringit a informació sensible.

Exercici de drets i Bretxes

  • Drets: Procediment per assistir al responsable en la resposta a interessats.
  • Bretxes de seguretat: Procediment d’identificació i notificació immediata al responsable i assistència per notificar a l’autoritat.

RELACIÓ AMB PROVEÏDORS

Mesures generals

  • Política de seguretat: Valoració del compliment de requisits de seguretat de proveïdors.
  • Confidencialitat: Signatura de NDAs.
  • Certificació: S’exigeix ISO 27001 o equivalent (especialment en proveïdors Cloud).
  • Avaluació: Revisió periòdica de SLAs.
  • Cadena de subministrament: Diversificació i redundància.
  • Dades personals: Acords d’encàrrec de tractament (DPA) amb tots els proveïdors.
  • Cessament de servei: Obligació d’eliminar informació en finalitzar el servei.
  • Segregació: Garantia de segregació d’entorns virtuals.

COMPLIMENT NORMATIU

Certificacions: ISO 9001:2015, ISO 27001:2022, ISO 27017:2015, ISO 27018:2019. (Auditor: SGS).

Protecció de dades: Compliment estricte de la legislació vigent