El Objeto de este documento es establecer los principios y reglas básicas en las que se sostiene la Seguridad de la información de Jackpots Systems. Este conjunto de principios fundamentales ha sido formulado basándose en necesidades de negocio, reconocimiento del valor de los sistemas a proteger y una compresión de los riesgos asociados a estos sistemas. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados, que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o los servicios prestados.
Este documento aplica a todos los activos del SGSI de Jackpots Systems y a todas las partes interesadas del mismo, siendo especialmente relevante para todo el personal de la organización.
Los usuarios de este documento son todos los empleados y empleadas de la organización así como otras partes interesadas. El Responsable de Seguridad es el responsable de garantizar que el SGSI sea implementado y mantenido de acuerdo con esta Política y de garantizar que todos los recursos necesarios estén disponibles. El Responsable de Seguridad es el responsable de la coordinación operativa del SGSI, como también de informar su desempeño. La Dirección debe revisar el SGSI al menos una vez por año o cada vez que se produzca una modificación significativa; y debe elaborar minutas de dichas reuniones. El objetivo de las verificaciones por parte de la dirección es establecer la conveniencia, adecuación y eficacia del SGSI. El Responsable de Seguridad implementará programas de capacitación y concienciación de empleados sobre seguridad de la información. La protección de la integridad, disponibilidad y confidencialidad de los activos es responsabilidad del propietario de cada activo. Todos los incidentes o debilidades de seguridad deben ser informados al Responsable de Seguridad. El Responsable de Seguridad definirá qué información relacionada con la seguridad de la información será comunicada a qué parte interesada (tanto interna como externa), por quién y cuándo.
Documentos de referencia Norma ISO/IEC 27001 Documento sobre el alcance del SGSI Declaración de aplicabilidad Desarrollo
Jackpots Systems está altamente comprometida con mantener sus servicios en un entorno de calidad, donde el desarrollo de buenas prácticas en Seguridad de la Información es fundamental para conseguir los objetivos de confidencialidad, integridad, disponibilidad y legalidad de toda la información gestionada. En consecuencia, a lo anterior, define los siguientes principios de aplicación a tener en cuenta en el marco del Sistema de Gestión de Seguridad de la Información
La Dirección entiende su deber de garantizar la seguridad de la información como elemento esencial para el correcto desempeño de los servicios de la organización, y, por tanto, soporta los siguientes objetivos y principios:
• Implementar el valor de la Seguridad de la Información en el conjunto de la Organización.
• Contribuir, todas y cada una de las personas de la organización, a la protección de la Seguridad de la Información.
• Preservar la confidencialidad, integridad, disponibilidad y resiliencia de la información, con el objetivo de garantizar que se cumplan los requisitos legales, normativos, y de nuestros clientes, relativos a la seguridad de la información; y de forma específica en lo que respecta a datos de carácter personal:
• Los datos serán tratados de manera lícita, leal y transparente en relación con el interesado (Licitud, lealtad y transparencia).
• Serán, recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines (Limitación de la finalidad).
• Los datos serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (Minimización de datos).
• Los datos deberán ser exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan (Exactitud).
• Mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos (Limitación del plazo de conservación).
• Tratados de manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas (Integridad y confidencialidad).
• Proteger los activos de la información de amenazas, ya sean internas o externas, deliberadas o accidentales, con el objetivo de garantizar la continuidad del servicio ofrecido a nuestros clientes y la seguridad de la información.
• Establecer un Plan de seguridad de la información que integre las actividades de prevención y minimización del riesgo de los incidentes de seguridad en base a los criterios de gestión del riesgo establecidos.
• Proporcionar los medios necesarios para poder realizar las actuaciones pertinentes de cara a la gestión de los riesgos identificados.
• Asumir la responsabilidad en materia de concienciación y formación en materia de seguridad de la información como medio para garantizar el cumplimiento de esta política.
• Extender nuestro compromiso con la seguridad de la información a nuestro personal trabajador y proveedores.
• Mejorar continuamente la seguridad mediante el establecimiento y seguimiento periódico de objetivos de seguridad de la información.
Esta política será mantenida, actualizada y adecuada a los fines de la Organización, alineándose con el contexto de gestión de riesgos de esta. A este efecto se revisará a intervalos planificados o siempre que se produzcan cambios significativos, a fin de asegurar que se mantenga su idoneidad, adecuación y eficacia. De igual forma, para gestionar los riesgos que afrontamos se establece un procedimiento de evaluación de riesgos formalmente definido. Por su parte, todas las políticas y procedimientos incluidos en el SGSI serán revisados, aprobados e impulsados por la Dirección.
Cualquier violación premeditada o negligente de las políticas y normas de seguridad y que suponga un potencial daño, consumado o no a LA ORGANIZACIÓN, será considerada como FALTA GRAVE o MUY GRAVE, según el caso, de acuerdo con lo previsto en materia de régimen disciplinario aplicable en el Estatuto de los Trabajadores o el convenio colectivo aplicable y en la normativa legal, contractual y corporativa vigentes. Todas las acciones en las que se comprometa la seguridad de LA ORGANIZACIÓN y que no estén previstas en esta política, deberán ser revisadas por el responsable de Seguridad de la Información para dictar una resolución sujetándose al criterio de la empresa y la legislación prevista. Las acciones disciplinarias en respuesta a los incumplimientos de la Política de Seguridad de la Información son atribución de la Dirección de LA ORGANIZACIÓN y de los órganos de gobierno según la legislación aplicable. Existe un canal de denuncias y un procedimiento de gestión de incidencias puesto a disposición de los trabajadores a través del cual, cualquier miembro de la empresa puede comunicar una posible incidencia o incumplimiento al responsable de seguridad. Se le informa de que la sustracción o revelación de información propiedad de la organización puede constituir ilícito penal según el artículo 197 del Código Penal.
Esta Política de Seguridad de la información es efectiva desde la fecha de aprobación y hasta que fuere reemplazada por una nueva. El responsable de Seguridad de la Información es el responsable de construir y mantener la Política de Seguridad de la Información, si bien, es la Dirección ejecutiva de la organización la responsable de la aprobación y publicación de dicha Política, así como distribuirla a los interesados. Cualquier cambio o evolución que afecte o pudiera afectar al contenido de la Política de Seguridad de la Información quedara registrado en una nueva firma del documento de aprobación. De esta forma se concreta y confirma el compromiso de esta entidad con la seguridad de la información. Periódicamente, y en todo caso no superando el plazo de un año, se revisará la vigencia y razonabilidad de la presente política y se llevaran a cabo las mejoras, adaptaciones o modificaciones requeridas en función de los cambios organizativos, técnicos o regulatorios aplicables.
La distribución de la Política de Seguridad de la Información se realizará mediante correo electrónico corporativo dentro de la organización y se publicará en la web para darla a conocer a terceras partes.