Política de seguridad

Visión General

SALES LAYER TECH S.L. incluyendo todas sus filiales (Sales Layer, Ltd. y Sales Layer, Inc.), en adelante, SALES LAYER, EMPRESA u ORGANIZACIÓN, depende de sistemas TIC (Tecnologías de la Información y las Comunicaciones) para la consecución de sus objetivos. Estos sistemas deben ser gestionados con diligencia, adoptando las medidas oportunas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o de los servicios prestados.

Para defenderse de estas amenazas, es necesaria una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que la empresa debe aplicar las medidas de seguridad mínimas exigidas por la reglamentación, las normas y otras partes interesadas, además de otras derivadas del análisis de riesgos, así como realizar un seguimiento continuo de los niveles de prestación de los servicios, vigilar y analizar las vulnerabilidades notificadas y preparar una respuesta eficaz a los incidentes para garantizar la continuidad de los servicios prestados.

Los distintos departamentos deben garantizar que la seguridad de las TIC forma parte integrante de cada etapa del ciclo de vida del sistema, desde su concepción hasta su desmantelamiento, pasando por las decisiones de desarrollo o adquisición y las actividades operativas. Los requisitos de seguridad y las necesidades de financiación deben identificarse e incluirse en la planificación, la solicitud de propuestas y los documentos de licitación de los proyectos de TIC.

Los departamentos deben estar preparados para prevenir, detectar, reaccionar y recuperarse de los incidentes, de acuerdo con la normativa de seguridad.

Prevención

La empresa debe evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello, los departamentos deben aplicar las medidas de seguridad mínimas determinadas por los reglamentos, normas y otras partes interesadas, así como cualquier control adicional identificado mediante una evaluación de amenazas y riesgos. Estos controles, así como las funciones y responsabilidades de todo el personal en materia de seguridad, deben estar claramente definidos y documentados.

  • Autorizar los sistemas antes de ponerlos en funcionamiento.
  • Evaluar periódicamente la seguridad, incluidas las evaluaciones de los cambios de configuración realizados de forma rutinaria.
  • Solicitar revisiones periódicas a terceros para obtener una evaluación independiente.

Detección

Dado que los servicios pueden degradarse rápidamente debido a incidencias, desde una simple ralentización hasta una parada, los servicios deben monitorizar continuamente el funcionamiento para detectar anomalías en los niveles de prestación del servicio y actuar en consecuencia tal y como se establece en el control sobre la revisión de las políticas de seguridad de la información.

La monitorización es especialmente relevante cuando se establecen líneas de defensa. Periódicamente se establecerán mecanismos de detección, análisis y reporte a los responsables para detectar cuando se produzcan desviaciones significativas de los parámetros preestablecidos como normales.

Respuesta

La organización debe:

  • Establecer mecanismos para responder eficazmente a los incidentes de seguridad.
  • Designar un punto de contacto para las comunicaciones relativas a incidentes detectados en terceros a los que presta servicios.
  • Establecer protocolos para el intercambio de información relacionada con el incidente. Esto incluye las comunicaciones, en ambas direcciones, con el centro de respuesta a incidentes de seguridad (INCIBE-CERT).

Recuperación

Para garantizar la disponibilidad de los servicios esenciales, los departamentos de seguridad y tecnología formulan planes de continuidad para los sistemas TIC. Estos planes deben ser un componente integral de su estrategia general de continuidad de la actividad y de su plan de recuperación en caso de catástrofe.

Visión General

  • SGSI: Son las siglas del Sistema de Gestión de la Seguridad de la Información (regulado por la Norma UNE-ISO/IEC 27001), que es un conjunto de elementos interrelacionados o interactuantes (estructura organizativa, políticas, planificación de actividades, responsabilidades, procesos , procedimientos y recursos) utilizados por una organización para establecer y alcanzar la política y objetivos de seguridad de la información, basados en un enfoque de gestión de riesgos y mejora continua.
  • TIC: Significa Tecnologías de la Información y la Comunicación. Este concepto hace referencia a las teorías, herramientas y técnicas utilizadas en el tratamiento y transmisión de la información: informática, internet y telecomunicaciones.
  • Parte interesada: Persona o grupo que tiene un interés en el rendimiento o el éxito de la organización.
  • Confidencialidad: Propiedad de la información que no debe ponerse a disposición o divulgarse a personas y/o empresas no autorizadas.
  • Integridad: Propiedad o característica de que el activo de información no ha sido alterado de forma no autorizada.
  • Disponibilidad: Propiedad de la información de ser accesible y utilizable en el momento requerido por la persona y/o empresa autorizada.
  • Activo: En relación con la seguridad de la información, se refiere a cualquier información o elemento relacionado con su tratamiento (sistemas, soportes, edificios, personas...) que tenga valor para la organización.
  • Riesgo: Es la posibilidad de que una determinada amenaza aproveche una vulnerabilidad para causar pérdidas o daños en un activo de información. Suele considerarse como una combinación de la probabilidad de un suceso y sus consecuencias.
  • Amenaza: Causa potencial de un incidente no deseado, que puede causar daños a un sistema o a la organización.
  • Análisis de riesgos: Proceso para comprender la naturaleza del riesgo y determinar su nivel.
  • Tratamiento del riesgo: Proceso de modificación del riesgo, mediante la implantación de controles.

Ámbito de aplicación

Esta política se aplica a todos los procesos empresariales de SALES LAYER TECH S.L, incluidas todas sus filiales (SALES LAYER, Ltd. y SALES LAYER, Inc.), así como a los empleados, contratistas y terceros que tengan acceso a los sistemas de información de la empresa. Se refiere a toda la información, independientemente de la forma o el formato, que se crea o utiliza en apoyo de las actividades empresariales.

Misión, compromiso y liderazgo

La misión es permitir a los equipos de marketing de todo el mundo crear experiencias de compra superiores tanto en los canales de empresa a empresa como en los de venta directa al consumidor, garantizando al mismo tiempo la seguridad y la protección de la información en todas las operaciones.

La alta dirección se compromete a proporcionar los recursos necesarios para el establecimiento, la implantación, el mantenimiento y la mejora continua del Sistema de Gestión de la Seguridad de la Información (SGSI). Para ello:

  • Garantiza que la seguridad de la información está alineada con la estrategia empresarial.
  • Garantiza que la seguridad forma parte de todos los procesos internos de la empresa.
  • Comunica a la organización la importancia de implantar y mantener el SGSI para garantizar la seguridad de la organización y de las partes interesadas.
  • Garantiza que el SGSI alcance los objetivos establecidos y promueve la mejora continua.
  • Revisa y aprueba esta política.
  • Crea un comité de seguridad de la información compuesto por líderes de diversas áreas de la organización junto con el responsable de seguridad, que se encarga de supervisar y dirigir las iniciativas de seguridad.

Referencias normativas

SALES LAYER está sujeta, a título enunciativo y no limitativo, a las siguientes leyes, normas y reglamentos:

  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos).
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
  • Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
  • Real Decreto Legislativo 1/1996, de 12 de abril, Ley de Propiedad Intelectual.
  • Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo
  • Ley de protección de datos de 2018.
  • Norma ISO/IEC 27001 sobre sistemas de gestión de la seguridad de la información.
  • La Ley de Protección de la Privacidad de los Consumidores de California de 2018 (CCPA).
  • Ley de control del ataque de pornografía y marketing no solicitados de 2003 (Ley CAN-SPAM).
  • Ley de fraude y abuso informático (CFAA).
  • REGLAMENTO (UE) Nº 910/2014 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE.

Objetivos de seguridad del SGSI

Esta política demuestra el compromiso de la alta dirección y tiene los siguientes objetivos:

  • Garantizar el cumplimiento de las leyes, reglamentos y normas aplicables, incluida la norma ISO 27001.
  • Cumplir los requisitos de seguridad de las partes interesadas.
  • Adoptar el principio de seguridad por defecto, privacidad por diseño y seguridad por diseño.
  • Gestionar la seguridad de la información de todos los proveedores y terceros que tengan acceso a nuestra información, garantizando que cumplen nuestras normas de seguridad.
  • Preservar la confidencialidad, integridad y disponibilidad de la información en todos los activos de la empresa.
  • Crear una sólida cultura de seguridad en toda la organización fomentando comportamientos seguros y haciendo que la seguridad sea responsabilidad de todos.
  • Implantar y mantener un programa de concienciación sobre seguridad que permita a los empleados ser conscientes de los riesgos a los que está expuesta la organización, con actualizaciones periódicas y actividades de formación cada año.
  • Proporcionar liderazgo a la alta dirección para garantizar que los objetivos de seguridad se establecen y se alinean con la estrategia empresarial.
  • Asignar responsabilidades generales y específicas de seguridad de la información para funciones definidas.
  • Garantizar la realización de un análisis de riesgos al menos una vez al año o cuando surjan nuevas amenazas emergentes , desarrollar un plan de tratamiento, aplicar todos los controles necesarios y supervisar los riesgos.
  • Establecer y mantener procedimientos de prevención, detección, respuesta y recuperación de la información en caso de incidente de seguridad.
  • Establecer un sistema de mejora continua para tratar cualquier desviación, nuevos riesgos o cambios en los requisitos normativos o de seguridad de la información.
  • Revisar periódicamente la documentación del SGSI para adaptarla a nuevos requisitos o riesgos de seguridad.

Gestión de riesgos

SALES LAYER sabe que la gestión de riesgos es un componente crítico de sus operaciones y que garantiza la protección de los datos de sus recursos y de las partes interesadas. SALES LAYER ha definido un procedimiento de gestión de riesgos con el objetivo de garantizar que el Sistema de Gestión de la Seguridad de la Información pueda alcanzar los resultados esperados, prevenir y reducir los efectos no deseados y lograr una mejora continua.

Este análisis se repetirá:

  • Periódicamente, al menos una vez al año.
  • Cuando la información manejada y/o los servicios prestados cambien significativamente, incluyendo nuevos riesgos.
  • Cuando se produzca un incidente grave de seguridad o se detecten vulnerabilidades graves.
  • Cuando existan nuevos proyectos o implantaciones de tecnologías nuevas o emergentes.

SALES LAYER identifica todas las amenazas a las que están expuestos los activos, el impacto que pueden tener si se materializan, la probabilidad de que se repitan y la vulnerabilidad de los activos. A partir de estos datos, la organización realiza un análisis del riesgo potencial y genera un Plan de Tratamiento del Riesgo para tomar medidas sobre su mitigación, aceptación, eliminación o transferencia.

Los resultados del proceso de gestión de riesgos son constantemente documentados, supervisados y revisados por el Comité de Seguridad.

Desarrollo de la política de seguridad de la información

El Responsable de Seguridad es responsable de revisar y actualizar esta Política de Seguridad al menos una vez al año. La Política será aprobada por el CEO de SALES LAYER y difundida para conocimiento de todas las partes interesadas. Esta Política se desarrollará a través de normas de seguridad que aborden aspectos específicos. Las normas de seguridad estarán a disposición de todos los miembros de la organización que necesiten conocerlas, especialmente de aquellos que utilicen, operen o gestionen los sistemas de información y comunicaciones.

Valencia, 15 de abril de 2024

Álvaro Verdoy
CEO SALES LAYER

Transforma tus datos en inteligencia de producto