Política de Seguridad de los servicios en la nube

El presente documento establece las políticas y medidas técnicas y organizativas que aplican a los servicios en la nube proporcionados por NUMINTEC.

MEDIDAS DE SEGURIDAD GENERALES

Políticas de la organización

  • Política de seguridad y privacidad de la información: Existe una política de seguridad de la información y protección de datos personales publicada y conocida por todo el personal y colaboradores.
  • Responsable de seguridad: NUMINTEC ha designado un Responsable de Seguridad de la Información (“CISO”) como responsable de coordinar y supervisar las políticas, normativas y procedimientos de seguridad.
  • Roles y responsabilidades: Los roles y responsabilidades en materia de seguridad de la información y protección de la privacidad están definidos y asignados apropiadamente dentro de la organización.
  • Programa de gestión de riesgos: En el marco del Sistema de Gestión de la Seguridad de la Información existe un plan de evaluación y tratamiento de riesgos de seguridad de la información y se revisa periódicamente.
  • Evaluación continua: NUMINTEC realiza una verificación y evaluación periódica de la eficacia de las medidas técnicas y organizativas implantadas para proteger la seguridad en la información. Esta evaluación se realiza bajo el criterio de los estándares de seguridad de la industria y el Sistema de Gestión de la Seguridad de la Información.
  • Política de seguridad de proveedores: Existe un proceso formal que permite valorar el cumplimiento de los requisitos de seguridad de la información y protección de la privacidad que deben cumplir los proveedores.

Personal y colaboradores

  • Responsabilidades: Todo el personal de NUMINTEC se ha comprometido a cumplir y hacer cumplir las políticas y normativas de seguridad de la información de la empresa.
  • Compromiso de confidencialidad: Todo el personal y colaboradores firman un documento contractual mediante el que se obligan a guardar secreto y garantizar la confidencialidad y seguridad de los datos.
  • Normativa interna de seguridad: Existe una normativa de seguridad de la información, protección de datos personales y uso de los medios informáticos que todo el personal se ha comprometido a cumplir.
  • Formación y concienciación: Todo el personal recibe formación adecuada con respecto a la seguridad de la información y la protección de los datos personales.
  • Normas de uso de los sistemas: La normativa de seguridad establece las normas de uso aceptable de los sistemas de información y equipos.

Acceso a los sistemas

  • Política de control de accesos: NUMINTEC mantiene una política que determina los privilegios de seguridad bajo el principio de mínimo privilegio.
  • Autorización de acceso: Existe un proceso formal para gestionar la autorización, alta, baja y modificación de accesos de los usuarios.
  • Cuentas individuales: Cada persona utiliza una cuenta de usuario individual e intransferible.
  • Mínimo privilegio: Se aplica una política de mínimo acceso por defecto; el personal solo tiene acceso a la información requerida para su puesto.
  • Autenticación: Se utilizan prácticas estándares del sector para identificar y autenticar a los usuarios.

Activos de tratamiento de la información

  • Inventario de activos: Se dispone de un inventario de los sistemas y equipos utilizados en el tratamiento de la información.
  • Desecho y reutilización segura: Procesos formales para el desecho y/o reutilización segura de los equipos.
  • Mantenimiento de los equipos: Los sistemas y equipos están debidamente mantenidos o actualizados.
  • Protección contra malware: Los equipos disponen de protección antimalware permanentemente activa y actualizada.

Seguridad de red

  • Equipo de seguridad dedicado: Supervisión de seguridad 24×7 y un equipo siempre disponible para dar respuesta a alertas e incidentes.
  • Protección y segregación de redes: Las redes están segregadas y separadas.
  • Arquitectura: Infraestructura alojada principalmente en centros de datos en territorio Español (ISO 27001). Los datos se mantienen en la zona correspondiente según legislación (ej. Europa).
  • Seguridad perimetral: Doble capa de cortafuegos para filtrar tráfico no autorizado y denegar conexiones no explícitas.
  • Protocolos seguros de transmisión: Todo el tráfico por redes públicas está cifrado mediante protocolos seguros.
  • Escaneo de vulnerabilidades: Pruebas periódicas para verificar que las redes están libres de vulnerabilidades.
  • Pruebas de penetración: Mínimo una vez al año se realiza un pentest amplio en redes y servidores de producción frente a ataques de terceros.
  • Gestión de alertas (SIEM): El sistema de supervisión colecciona registros de actividad.
  • Detección de intrusiones: Control de puntos de entrada/salida logando conexiones aceptadas y denegadas.
  • Mitigación DDoS: Monitorización del tráfico de red en tiempo real.

Operaciones de seguridad

  • Acceso lógico: Arquitectura de seguridad basada en roles y política de “necesidad de conocer” (ISO 27001/27017).
  • Supervisión y gestión de capacidad: Monitorización continua del desempeño y proyección de requisitos futuros.
  • Respuesta a Incidentes: Escalado de sucesos 24/7 a equipos de operaciones y seguridad. Procedimiento específico de respuesta a ciberataques.
  • Gestión de cambios: Procedimiento para prevenir que los cambios afecten a la seguridad de la información.
  • Registros de auditoría: Se recogen, conservan y revisan los registros de operaciones sobre los datos (acceso, modificación, eliminación).

Cifrado de datos

  • Cifrado en tránsito: La información en redes públicas se transmite de forma segura.
  • Cifrado de llamadas: Se utilizan los protocolos de señalización de voz más seguros disponibles. (Nota sobre intercepción legal según Ley 25/2007 y Ley 9/2014).
  • Cifrado en almacenamiento: Se utiliza encriptación en reposo en todos los casos.

Disponibilidad y continuidad

  • Disponibilidad: Supervisión continua para garantizar los objetivos de disponibilidad comprometidos.
  • Redundancias: Infraestructura redundante (firewalls, routers, servidores) para evitar puntos únicos de fallo.
  • Copias de Seguridad: Automatizadas y supervisadas continuamente.
  • Pruebas de recuperación: Pruebas periódicas de recuperación y verificación de los datos.
  • Pla de continuidad: Plan elaborado y probado para responder a incidentes disruptivos.
  • Recuperación ante desastres: Procedimientos específicos ante amenazas como ransomware o fallos graves.

Seguridad física

  • Perímetro de seguridad: Protección de los recintos donde se procesa información.
  • Control de acceso: Controles físicos para asegurar que solo accede personal autorizado.
  • Protección contra amenazas: Protección contra amenazas físicas y ambientales.

Seguridad de la Aplicación

  • Registros: Se mantiene un registro de accesos y modificaciones desde la aplicación web InvoxContact.
  • Contraseñas: Almacenamiento seguro siguiendo las mejores prácticas.

PROTECCIÓN DE DATOS PERSONALES

Medidas técnicas y organizativas

  • Sistema de Gestión: Sistema para asegurar el cumplimiento legal y tratamiento de riesgos.
  • Responsabilidades: Nombramiento de un Delegado de Protección de Datos (DPO).
  • Obligaciones: Todo el personal firma el compromiso de cumplimiento de políticas de protección de datos.
  • Formación: Sesiones de concienciación para empleados.
  • Medidas técnicas: Protección acorde a la certificación ISO 27001.
  • Política de privacidad: Incluida en los “Términos y condiciones generales”.
  • Encargo de tratamiento: NUMINTEC actúa como encargado de tratamiento, garantizando confidencialidad, integridad, disponibilidad y restauración de acceso.
  • Comunicación de datos: No se ceden a terceros excepto a proveedores necesarios, operadores y organismos oficiales por ley.
  • Transferencias internacionales: Solo a países con nivel adecuado de protección o certificaciones válidas (EE.UU.).
  • Conservación: Eliminación definitiva a los 90 días de la desconexión, salvo obligación legal.

Privacidad por diseño y por defecto

  • Minimización: Solo datos estrictamente necesarios.
  • Limitación de plazo: Procedimientos para limitar retención y borrar archivos temporales.
  • Limitación de finalidad: Evitar uso para fines distintos a los establecidos.
  • Pseudonimización y cifrado: Aplicable en casos de datos sensibles.
  • Segregación: Acceso restringido a información sensible.

Ejercicio de derechos y Brechas

  • Derechos: Procedimiento para asistir al responsable en la respuesta a interesados.
  • Brechas de seguridad: Procedimiento de identificación y notificación inmediata al responsable y asistencia para notificar a la autoridad.

RELACIÓN CON PROVEEDORES

Medidas generales

  • Política de seguridad: Valoración del cumplimiento de requisitos de seguridad de proveedores.
  • Confidencialidad: Firma de NDAs.
  • Certificación: Se exige ISO 27001 o equivalente (especialmente en proveedores Cloud).
  • Evaluación: Revisión periódica de SLAs.
  • Cadena de suministro: Diversificación y redundancia.
  • Datos personales: Acuerdos de encargo de tratamiento (DPA) con todos los proveedores.
  • Cese de servicio: Obligación de eliminar información al finalizar el servicio.
  • Segregación: Garantía de segregación de entornos virtuales.

CUMPLIMIENTO NORMATIVO

Certificaciones: ISO 9001:2015, ISO 27001:2022, ISO 27017:2015, ISO 27018:2019. (Auditor: SGS).

Protección de datos: Cumplimiento estricto de la legislación vigente.