POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
En esta política se pretende dar información acerca de los tratamientos de datos realizados por 4COCOS COMUNICACIÓN Y MARKETING S.L. (en adelante 4COCOS) como Encargado de tratamiento en los servicios a sus clientes que actúan como Responsables de Tratamiento de datos. Todo lo redactado en el presente documento se alinea con lo establecido en el Reglamento Europeo de Protección de datos GDPR 2016/679 y en la Ley Orgánica 03/2018 de Protección de Datos personales y Garantía de los Derechos Digitales, en lo referente a medidas de seguridad adquiridas y la comunicación a sus clientes. Además el presente documento se ha elaborado conforme a los controles de seguridad y requerimiento de la legislación vigente de protección de datos.
El contenido de este documento es confidencial y sólo para uso de clientes que hayan contratado los servicios de 4COCOS, por tanto, no puede ser publicado ni cedido a terceras partes privadas o públicas, sin permiso del responsable.
Objeto
4COCOS desarrolla un sistema de gestión de seguridad de la información con el fin de aportar garantías de seguridad en los tratamientos de datos de sus clientes en los servicios que les presta. Esta política sirve como instrumento de cumplimiento del principio de responsabilidad activa establecido por el Reglamento Europeo de Protección de Datos (UE) 2016/679.
Las medidas de seguridad que se describen a continuación se han desarrollado previa realización de un análisis de riesgos y de una evaluación de impacto de los sistemas de tratamiento de datos, infraestructura y software de 4COCOS.
4COCOS establece contratos de prestación de servicios con sus clientes; mantiene una relación y comunicación constantes, para entender las necesidades de negocio de sus clientes y conseguir los mejores índices de satisfacción con sus servicios.
Gestión de Software y servicios
Proteger nuestra información y la de nuestros clientes es el principal objetivo en 4COCOS, para ello cumplimos con controles de protección ante robos, pérdidas, manipulaciones o publicaciones por terceros no autorizados. Estos controles de seguridad y de calidad de servicios TIC, se basan en lo establecido en la Ley 34/2002 de Servicios de la Sociedad de la Información y Comercio Electrónico y el resto de legislaciones relacionadas con protección de datos personales.
Backup
4COCOS realiza copias de seguridad de datos de usuarios, datos de sistema y datos de aplicaciones. El backup de estos datos es de forma completa, se realizan en disco duro de modo local en cada estación de trabajo y quedan bajo la responsabilidad del usuario del puesto de trabajo, que comparte previa autenticación del usuario local. Dichos respaldos no contemplan la presencia de datos sensibles.
La periodicidad con la que se realizan las copias dependerá del tipo de datos. Datos de usuarios se hará de forma mensual y datos de sistema y datos de aplicaciones únicamente se realizará un backup en caso de instalación o actualización.
Planes de contingencia
Los mecanismos de seguridad física y ambiental establecidos por 4COCOS son la utilización eficiente de la energía y cumplimiento con la legislación vigente en materia ambiental en el desarrollo de nuestras actividades y servicios, asegurando que los impactos ambientales identificados por la empresa están bajo control, en especial en lo que se refiere a los residuos derivados de la actividad de la empresa.
Comunicación y operaciones
Con el objetivo de mantener un correcto funcionamiento y seguro del tratamiento de datos, 4COCOS ha dispuesto una política concreta para la gestión de comunicaciones y operaciones. Se han establecido para ello los siguientes controles:
Controles para establecimiento de responsabilidad y procedimientos, Controles de servicios por terceros, Planificación y aceptación del sistema con gestión de la capacidad, técnica y humana, Controles contra código malicioso en nuestros servidores y en nuestro entorno de producción, Controles y seguridad en los servicios de red, Control de seguridad en intercambios de información, Retirada de soportes, procedimiento de manipulación y seguridad en la documentación.
Proveedores
En 4COCOS contamos actualmente con importantes proveedores a nivel tecnológico que aportan una tradición en tecnología puntera, con política de privacidad sólida y seguridad de datos integral.
4COCOS mantiene informado a sus clientes de la contratación de estos proveedores considerados como subencargados de tratamiento en los servicios que 4COCOS les presta. Estos subencargados de tratamiento se comprometen a cumplir por escrito los mismos requisitos formales que 4COCOS tiene comprometidos con sus clientes, en lo que se refiere a garantizar que el tratamiento de datos personales y los derechos de los usuarios afectados, se ajustan a la normativa vigente.
Software
La política específica de Seguridad en el desarrollo de software de 4COCOS, se centra en Protección del código fuente mediante funcionalidades del framework, Separación entornos de desarrollo, testing, preproducción y producción, Procedimientos de operación para el paso hacia distintos entornos. Procedimiento definido de control de cambios, Copias de seguridad y política de contingencia propia del entorno de desarrollo, desarrollo profesional y formación continua a desarrolladores, Seguridad en formularios de entrada de datos, procesamiento interno, integridad de los mensajes y validación de datos de salida, Seguridad en el front end web. Archivos de configuración encriptados.
Acceso
4COCOS desarrolla la siguiente política concreta de control de acceso: Control de acceso a las aplicaciones y a la información (identificación y autenticación registro de usuario, gestión de privilegios, gestión de contraseñas y revisión de los derechos de acceso del usuario), Control de acceso a la red (identificación de equipos, diagnóstico remoto, protección de los puertos de configuración, segregación de las redes), Registro de accesos, auditoría de sesión, Registro de accesos, auditoria de procesos, Control de acceso al entorno de administración de Servidores
Comunicaciones
Se presta atención especial al manejo de la seguridad en redes, la cual puede extenderse más allá de los límites físicos de 4COCOS. Disponemos de procedimientos y medidas especiales para proteger el paso de información sensible a redes de dominio público. 4COCOS garantiza que los proveedores de servicios de red implementan medidas en cumplimiento con las características de seguridad, acuerdos de niveles de servicio y requisitos de gestión.
Aplicamos controles especiales para salvaguardar la integridad y confidencialidad de los datos que pasan por redes públicas o redes inalámbricas y para proteger los sistemas y aplicaciones conectadas, garantizando la disponibilidad de los servicios de red y computadores conectados.
Quiebras de seguridad
Disponemos de un sistema interno de gestión de peticiones de servicio, incidencias y problemas. En el improbable caso de una quiebra de seguridad, 4COCOS notificará a su cliente afectado, sin dilación indebida, y en cualquier caso antes del plazo máximo de 48 horas, y a través de nuestros sistemas de comunicación habituales establecidos, la brecha de seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia. No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.
En dicha comunicación se facilitará, como mínimo, la información siguiente:
- Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
- Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
- Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
Análisis de riesgo
4COCOS desarrolla un proceso formal interno de análisis de riesgos, que elabora un inventario de las posibles vulnerabilidades y amenazas sobre los activos de información. Realizamos de forma periódica un estudio del nivel de riesgo de nuestra infraestructura y de nuestros servicios, adoptando soluciones, implementando posibles salvaguardas y controles técnicos adecuados para minimizar estos posibles riesgos.
Compliance
En nuestros sistemas de información y procedimientos técnicos están identificados todos los requerimientos relacionados con la normativa actual de prestación de servicios de la Sociedad de la Información, de Propiedad Intelectual y de Protección de Datos de carácter personal. De esta manera 4COCOS garantiza un estricto cumplimiento de las medidas de seguridad, procedimientos y controles que rigen dichas normativas. La seguridad de los datos con los requerimientos legales adecuados se encuentra también en una constante mejora continua y aseguramiento de su calidad, mediante los procesos internos de auditoría y la revisión anual de las certificaciones que poseemos. La normativa de seguridad relativa a datos personales se rige y estipula hacia sus clientes bajo contrato de prestación de servicios y encargado de tratamiento en las cláusulas de privacidad y protección de datos personales, documentación que se realiza en la contratación de los servicios.
De la misma manera podemos garantizar que los usuarios autorizados para tratar datos personales se comprometen, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes. Estos usuarios son informados adecuadamente mediante sesiones de formación y concienciación, planificadas y dirigidas por nuestro Delegado de Protección de Datos.
Derechos de los afectados
Usted tiene derecho a solicitar y obtener gratuitamente información sobre sus datos de carácter personal sometidos a tratamiento, de su origen y de las comunicaciones que puedan afectar a los mismos. Los derechos de protección de datos que usted puede ejercitar son:
- Derecho de acceso, rectificación o supresión:
Tiene derecho a acceder a sus datos personales, así como a solicitarnos la rectificación de los datos inexactos o, en su caso, su supresión cuando, entre otros motivos, los datos ya no sean necesarios para los fines que fueron recogidos. - Derecho de oposición:
En circunstancias concretas podrá oponerse al tratamiento de sus datos. En esos casos dejaremos de tratar los datos, salvo por motivos legítimos imperiosos o el ejercicio o la defensa de posibles reclamaciones. - Derecho a la portabilidad de sus datos:
Puede solicitarnos que sus datos personales automatizados sean cedidos o transferidos a cualquier otra entidad que nos indique. Se facilitarán en un formato estructurado, inteligible y automatizado.
Derecho a solicitar la limitación de su tratamiento: En determinadas circunstancias, usted puede solicitar la limitación del tratamiento de sus datos, en cuyo caso únicamente los reclamaciones.Los usuarios pueden ejercitar los derechos indicados que les asisten, dirigiendo una comunicación por escrito al domicilio social de 4COCOS COMUNICACION Y MARKETING S.L. en Calle Cruz, 19, 18002 Granada o a través del correo electrónico de nuestro Delegado de Protección de Datos dpd@www.4cocos.com, incluyendo en ambos casos fotocopia de su DNI u otro documento identificativo similar haciendo constar su identidad junto con una imagen actualizada. Si considera que no hemos tratado sus datos personales de acuerdo a esta declaración, puede contactar con nuestro Delegado de Protección de Datos a través de los medios indicados. Aun así, le informamos que también puede presentar reclamación de manera directa ante la Autoridad de Control en www.agpd.es, si considera vulnerados sus derechos.
DPD
4COCOS cuenta con un delegado de protección de datos (DPD) nombrado y asignado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados y la práctica en materia de Protección de Datos y a su capacidad para desempeñar las funciones indicadas en la legislación actual de Protección de Datos. Su función es la de asesorarnos en materia de Protección de datos, supervisar su correcta aplicación, formar y concienciar a nuestros usuarios y proveedores y ser el punto de contacto de 4COCOS con posibles reclamaciones y sugerencias de los interesados así como actuar de enlace con la Autoridad de control.