Política de Privacidad

La presente Política de Privacidad regula el tratamiento de datos personales facilitados por el Usuario a través del Portal de Internet que KEY IBERBOARD pone a disposición de los usuarios de Internet.

Esta Política de Privacidad afecta al tratamiento de los datos que sean considerados de carácter Personal de conformidad con lo previsto en la normativa europea y española.

En el supuesto de que un Usuario contrate los servicios profesionales de KEY IBERBOARD, el tratamiento de los datos personales necesarios para la prestación de servicios se regulará por medio de las condiciones y la Política de Privacidad del correspondiente contrato de servicios.

El Usuario garantiza que los datos aportados son verdaderos, exactos, completos y actualizados, siendo responsable de cualquier daño o perjuicio, directo o indirecto, que pudiera ocasionarse como consecuencia del incumplimiento de tal obligación. En el caso de que los datos aportados pertenecieran a un tercero, el Usuario debe haber informado a dicho tercero de los aspectos contenidos en este documento y obtenido su consentimiento para facilitar sus datos a KEY IBERBOARD.

La remisión de los datos personales de contacto por el Usuario a través del Portal supone la aceptación de esta Política de Privacidad, para lo que se solicita su conformidad expresa. Antes de enviar sus datos personales, lea atentamente esta Política.

1. APROBACIÓN Y ENTRADA EN VIGOR

 

Texto aprobado según el cuadro al pie del propio documento en su primera página.

Esta Política se Seguridad de la Información es efectiva, y se actualiza con los parámetros de la nueva ISO 27001 / 2022, hasta que sea reemplazada por una nueva Política.

2. INTRODUCCIÓN

 

KEY IBERBOARD depende de los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o los servicios prestados.

El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.

Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

Los diferentes departamentos deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para todos los proyectos.

Los departamentos deben estar preparados para prevenir, detectar, reaccionar y recuperarse de incidentes.

2.1.  Prevención

Los departamentos deben evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello los departamentos deben implementar cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados.

Para garantizar el cumplimiento de la política, los departamentos deben:

  • Autorizar los sistemas antes de entrar en operación.
  • Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
  • Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.

2.2.  Detección

Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una simple desaceleración hasta su detención, los servicios deben monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia.

Se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales, la monitorización es especialmente relevante para evitar y/o minimizar incidentes.

2.3.  Respuesta

Los departamentos deben:

  • Establecer mecanismos para responder eficazmente a los incidentes de seguridad.
  • Designar punto de contacto para las comunicaciones con respecto a incidentes detectados en otros departamentos o en otros organismos.
  • Establecer protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT).

2.4.  Recuperación

Para garantizar la disponibilidad de los servicios críticos, los departamentos deben desarrollar planes de continuidad de los sistemas TIC como parte de su plan general de continuidad de negocio y actividades de recuperación.

3. ALCANCE

 

Esta política se aplica al sistema de gestión de seguridad de la información relativo a las actividades de servicios del área laboral, fiscal, contable y jurídicos que presta a sus clientes y a todos los miembros de la organización, sin excepciones.

4. MISIÓN

KEY IBERBOARD, en su ámbito propio de actuación y teniendo presente su objetivo: la puesta en marcha y desarrollo de proyectos, programas e iniciativas en el ámbito de la formación y el empleo, dirigidos a nuestros clientes, empresas, organizaciones y profesionales, adquirimos los siguientes compromisos:

  • Comprometidos con la innovación, uno de nuestros pilares.
  • Comprometidos con nuestros clientes, desde el descubrimiento conjunto de sus necesidades y la aportación honesta de las soluciones que mejor se adapten y respondan a ellas.
  • Comprometidos con el equipo humano, plantilla, colaboradores y proveedores, con el que hacemos crecer, cada día, a las personas, a los profesionales, y a tu organización.
  • Comprometidos con el desarrollo sostenible, apoyándonos en el triángulo del crecimiento económico, el equilibrio ecológico y el progreso social.

5. MARCO NORMATIVO

 

La legislación de aplicación es la referente a tecnologías de la información y al acceso electrónico por parte de los ciudadanos. En particular aplican: Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y el Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) y Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

El resto de leyes de referencia se encuentran identificadas en la pestaña correspondiente ( “Legislación SI” ) del documento “Listado de la Documentación en Vigor”

6. ORGANIZACIÓN DE LA SEGURIDAD

 

6.1.  Comités: funciones y responsabilidades

El Comité de Seguridad TIC estará formado por la dirección, que asume además el papel de responsable de seguridad, y el responsable del SGSI. Este comité se formalizó en un acta de constitución.

Las funciones del comité de seguridad se encuentran definidas en la propia acta de constitución.

6.2.  Roles: funciones y responsabilidades

Todos los roles y responsabilidades de la organización se encuentran identificados en las fichas de perfil y en el documento “GUI_PERFILES ROLES Y RESPONSABILIDADES”. Estas funciones se han comunicado a todo el personal de la organización.

6.3.  Procedimientos de designación

Todos los cargos han sido designados oficialmente. El proceso de asignación se encuentra definido en el procedimiento de gestión de RRHH.

6.4.  Procedimientos de resolución de conflictos

El director general y el director de servicios y tecnología son los responsables de la coordinación y de la resolución de conflictos. Cuando se produzca algún conflicto, el afectado lo comunicará por email a su responsable que establecerá las medias para la resolución de los conflictos y le comunicará el hecho y su resolución a la dirección. En caso de no poder resolver el conflicto, éste será escalado a la propia dirección que tomará las medidas necesarias.

6.5.  Política de seguridad de la información

Será misión del Comité de Seguridad la revisión anual de esta Política de Seguridad y la propuesta de revisión o mantenimiento de esta. La Política será aprobada por dirección y difundida para que la conozcan todas las partes afectadas.

En la declaración de aplicabilidad se establecen las medidas implantadas por la organización para la gestión todo lo relacionado con la seguridad de la información, así como el nivel establecido. En particular con:

  1. Organización e implantación del proceso de seguridad.
  2. Análisis y gestión de los riesgos.
  3. Gestión de personal.
  4. Profesionalidad.
  5. Autorización y control de los accesos.
  6. Protección de las instalaciones.
  7. Adquisición de productos.
  8. Seguridad por defecto.
  9. Integridad y actualización del sistema.
  10. Protección de la información almacenada y en tránsito.
  11. Prevención ante otros sistemas de información interconectados.
  12. Registro de actividad.
  13. Incidentes de seguridad.
  14. Continuidad de la actividad.
  15. Mejora continua del proceso de seguridad.

7. DATOS DE CARÁCTER PERSONAL

 

KEY IBERBOARD trata datos de carácter personal. Todos los sistemas de información de KEY IBERBOARD se ajustarán a los niveles de seguridad requeridos por la normativa para la naturaleza y finalidad de los datos de carácter personal recogidos el registro de actividades de tratamiento de datos.

8. GESTIÓN DE RIESGOS

 

Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:

  • Regularmente, al menos una vez al año
  • Cuando cambie la información manejada
  • Cuando cambien los servicios prestados
  • Cuando ocurra un incidente grave de seguridad
  • Cuando se reporten vulnerabilidades graves

Para la armonización de los análisis de riesgos, el Comité de Seguridad establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. El Comité de Seguridad dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.

9. DESARROLLO DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

 

Esta Política de Seguridad complementa las políticas de seguridad de KEY IBERBOARD en diferentes materias:

El listado de las políticas de seguridad se encuentra registrado en el Listado de información documentada.

Esta Política se desarrollará por medio de normativa de seguridad que afronte aspectos específicos. La normativa de seguridad estará a disposición de todos los miembros de la organización que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones.

La normativa de seguridad estará disponible en nuestro servidor a disposición de todo el personal.

10. OBLIGACIONES DEL PERSONAL

 

Todos los miembros y colaboradores de KEY IBERBOARD tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad, siendo responsabilidad del Comité de Seguridad disponer los medios necesarios para que la información llegue a los afectados.

Todos los miembros y colaboradores de KEY IBERBOARD atenderán a una sesión de concienciación en materia de seguridad al menos una vez al año. Se establecerá un programa de concienciación continua para atender a todos los miembros de KEY IBERBOARD , en particular a los de nueva incorporación.

Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.

11. TERCERAS PARTES

 

Cuando KEY IBERBOARD, preste servicios a otros organismos o maneje información de otros organismos, se les hará partícipes de esta Política de Seguridad de la Información, se establecerán canales para reporte y coordinación de los respectivos Comités de Seguridad y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

Cuando KEY IBERBOARD. utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política.

Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.

bpo empleados
Asesoría laboral, fiscal, contable y legal con estándares internacionales y cercanía local.

ISO9001

Dónde encontrarnos

Avenida de Burgos, 12 B 1º Izquierda. 28036 Madrid

Habla con nosotros

Horario de atención

Lunes a Jueves: 8:30h · 18:00h
Viernes: 8:30h · 15:00h