1. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

QUER SYSTEM es consciente de la sensibilidad de la información que gestiona en la prestación de sus servicios, entiende que es necesario aplicar medidas de protección más allá de las establecidas por la actual legislación en materia de seguridad de la información, fijándose como objetivo garantizar a todas las partes interesadas, la confidencialidad, disponibilidad e integridad de la información.

La Política de Seguridad de la Información, junto con la labor de los responsables designados, se erigen como los pilares para la gestión de la seguridad de la información corporativa.

La Política de Seguridad de la Información de QUER SYSTEM se centra en:

– Definir , desarrollar e implantar los controles necesarios para garantizar de un modo efectivo y medible la confidencialidad, disponibilidad, integridad, autenticidad y trazabilidad de la información.

– Cumplir con los requisitos legales y de negocio respecto a la seguridad de la información y los sistemas de información.

– Proporcionar los recursos necesarios para el Sistema de Gestión y el cumplimiento de los objetivos establecidos respecto a la seguridad de la información y los sistemas de información.

– Implementar e integrar la Seguridad de la Información como un proceso de mejora continua, inherente a la propia Entidad y sus servicios.

– Establecer y mantener normas, políticas y procedimientos para cumplir con la presente Política.

– Formar, sensibilizar y concienciar a todos los empleados y colaboradores externos promoviendo una “cultura de la seguridad de la información” que permita la asunción de responsabilidades.

– Implementar, mantener y realizar un seguimiento y mejora del Sistema de Gestión de Seguridad de la Información.

– Asegurar que la información está protegida contra accesos no autorizados.

– Asegurar que incidencias de seguridad son comunicadas y tratadas apropiadamente.

– Dotar al proceso de gestión de seguridad de la información de un marco organizativo con una asignación clara de funciones y responsabilidades.

– Implantar un proceso de análisis y gestión de riesgos de seguridad asociados a la información, identificando y evaluando diferentes opciones para su tratamiento.

El responsable de Seguridad de la Información será el encargado de mantener esta política, los procedimientos y de proporcionar apoyo en su implementación.

Los responsables de cada área de negocio serán los encargados de implementar esta Política y sus correspondientes procedimientos dentro de su área.

Cada empleado es responsable de cumplir esta Política y sus procedimientos según aplique a su puesto de trabajo.

1.1. Gestión de Activos

1.1.1. Responsabilidades asociadas a los activos

Para gestionar correctamente los activos el Responsable de Seguridad mantendrá un inventario actualizado de los activos importantes.

En este inventario se registrará quién es el propietario del activo. Esta responsabilidad será asignada al responsable del área o departamento de QUER SYSTEM donde esté ubicado física o lógicamente el activo.

1.1.2. Clasificación de la información

La clasificación de la información será de acuerdo con la siguiente escala:

ConfidencialInformación a la que sólo determinadas personas o departamentos dentro de la organización deben tener acceso. Si se filtrara a terceras partes, podría tener consecuencias serias para la organización
Uso InternoInformación a la que sólo debe tener acceso el personal de la organización. Si se filtrara a terceras partes, podría tener consecuencias para la organización.
PúblicaInformación sin ninguna necesidad de restringir el acceso.  Si se filtrara a terceras partes, no tendría consecuencias para la organización.

Existirá una relación de cada tipo de documento existente en QUER SYSTEM con la clasificación que le corresponde (Confidencial/Uso Interno/Público). El personal de QUER SYSTEM tendrá conocimiento de esta clasificación de manera que sepan en todo momento el tipo de información que utilizan, sin necesidad de establecer un marcado de la misma, no revelando así a fuentes externas la clasificación de la información. La destrucción de esta información la realizará el responsable del activo siguiendo las pautas aprobadas por el Responsable de Seguridad y con su colaboración si es necesaria.

La clasificación de la información se desarrolla en el Anexo II del presente documento.

1.2. Seguridad de la Gestión de los Recursos Humanos

La seguridad ligada al personal es fundamental para reducir los riesgos de errores humanos, robos, fraudes o mal uso de las instalaciones y servicios.

La contratación de personal pasa por un proceso de selección en el que deben revisarse las referencias y antecedentes siempre que sea posible.

En las condiciones de la relación laboral deberán quedar reflejadas las responsabilidades del empleado en materia de seguridad de la información. Esta responsabilidad continuará durante un tiempo establecido tras la finalización del contrato.

Se requerirá la firma de un acuerdo de confidencialidad para todos los empleados para evitar la divulgación de información secreta.

Todas las políticas y procedimientos en materia de seguridad deberán ser comunicadas regularmente a todos los trabajadores y usuarios terceros si procede. Se realizarán periódicamente seminarios para que el personal conozca los procesos y tareas que deben realizar en materia de seguridad.

Los empleados que infrinjan las normas de Seguridad pueden ser sancionados por un proceso disciplinario de acuerdo con el convenio general.

Cuando se termine la relación laboral o contractual con empleados o personal externo, se les retirarán los permisos de acceso a las instalaciones y la información y se les pedirá que devuelvan cualquier tipo de información o equipos que se les haya entregado para la realización de los trabajos.

1.3. Seguridad Física y del Entorno

Para que una seguridad lógica sea efectiva es primordial que las instalaciones de QUER SYSTEM mantengan una correcta seguridad física para evitar los accesos no autorizados, así como cualquier otro tipo de daño o interferencia externa.

1.3.1. Áreas Seguras

  •               QUER SYSTEM tomará las precauciones necesarias para que sólo las personas autorizadas tengan acceso a las instalaciones.
  •               La totalidad de las oficinas de QUER SYSTEM cuentan con las barreras físicas necesarias para asegurar los recursos que éstas alberguen. 
  •               Los lugares donde se ubican el servidor y el cableado estarán cerrados bajo llave y sólo tendrán acceso las personas autorizadas y los proveedores de servicios cuando vayan acompañados por alguien autorizado.
  •               Las ventanas y puertas deberán permanecer cerradas cuando las instalaciones estén vacías.
  •               Las instalaciones de QUER SYSTEM están dotadas de dispositivos de extinción de incendios marcados por la legislación vigente en esa materia. En este sentido, se dispone de extintores y salidas de emergencia debidamente señalizados.
  •               Se prohíbe expresamente al personal comer y beber cerca de los servidores y equipos informáticos. Así mismo, se tendrá especial cuidado con el manejo de cualquier producto que pueda verterse sobre activos de información.
  •               Para la prevención de fugas de agua e inundaciones será necesaria la revisión periódica de la grifería, sanitarios y demás instalaciones que puedan causar daños de este tipo.

1.3.2. Seguridad de los equipos

  •             Los equipos informáticos son un activo importante del que depende la continuidad de las actividades de la organización, por lo que serán protegidos de manera adecuada y eficaz.
  •             Tanto los puestos de usuario como los servidores están protegidos contra posibles fallos de energía u otras anomalías eléctricas, para ello se han instalado equipos de alimentación ininterrumpida.
  •            Los equipos deberán mantenerse de forma adecuada para garantizar su correcto funcionamiento y su perfecto estado de forma para que mantengan la confidencialidad, integridad y sobre todo la disponibilidad de la información. Para ello deben someterse a las revisiones recomendadas por el suministrador. Sólo el personal debidamente autorizado podrá acceder al equipo para proceder a su reparación. También será necesario adoptar las medidas de precaución necesarias en caso de los equipos deban abandonar las instalaciones para su mantenimiento.
  •             La eliminación de equipos sólo se llevará a cabo por el Responsable de Seguridad o personal en el que éste delegue.

1.4. Gestión de comunicaciones y operaciones

1.4.1. Procedimientos Operativos y Responsabilidades

QUER SYSTEM controlará el acceso a los servicios en redes internas y externas y se asegurará de que los usuarios no ponen en riesgo dichos servicios. Para ello deberá establecer las interfaces adecuadas entre la red de QUER SYSTEM y otras redes, los mecanismos adecuados de autenticación para usuarios y equipos, y los accesos para cada usuario del sistema de información.

Para evitar un uso malicioso de la red de QUER SYSTEM existirán mecanismos para cubrir los servicios en red a los que se puede acceder, los procedimientos de autorización para establecer quién puede acceder a que recursos de red y los controles de gestión para proteger los accesos a la red.

Todos los trabajadores autorizados para el manejo de información automatizada deberán estar registrados como usuarios del sistema de información. Cada vez que accedan al sistema de información deberán validarse con su nombre de usuario, que será único e intransferible, y su contraseña personal.

Para asegurar la operación correcta y segura de los sistemas de información, los procedimientos de operación estarán debidamente documentados y se implementarán de acuerdo a estos procedimientos. Estos procedimientos serán revisados y convenientemente modificados cuando haya cambios significativos en los equipos o el software que así lo requieran.

1.4.2. Gestión de los Servicios Suministrados por Terceros

QUER SYSTEM al contratar un servicio externo para gestionar activos de información introduce en el proceso nuevas vulnerabilidades, ya que los recursos se exponen a posibles daños, pérdidas o filtraciones de información. Por todo ello será necesario tomar una serie de precauciones que aseguren el perfecto uso de la información de QUER SYSTEM

Antes de contratar un servicio externo para la gestión de la información, QUER SYSTEM identificará los riesgos que esta situación conlleva y elaborará un acuerdo en el que se traten las siguientes cuestiones: qué aplicaciones se mantienen en QUER SYSTEM por su especial criticidad, la aprobación de los propietarios de la aplicación, qué implicaciones tiene el contrato para los planes de continuidad del negocio, las normas de seguridad y cómo se medirá su eficacia, quiénes son los responsables y qué procedimientos especiales se seguirán para monitorizar las actividades importantes de seguridad, quién y cómo manejará las incidencias de seguridad y mediante qué procedimientos se informará a QUER SYSTEM de esas incidencias.

1.4.3. Protección frente a código malicioso y código móvil

Queda totalmente prohibida la instalación de otro software que no sea el permitido y necesario para el desarrollo del trabajo por parte del personal de QUER SYSTEM

Todo software adquirido por la organización sea por compra, donación o cesión es propiedad de la institución y mantendrá los derechos que la ley de propiedad intelectual le confiera, vigilando los diferentes tipos de licencias.

Cualquier software que requiera ser instalado para trabajar sobre la Red deberá ser evaluado por la Dirección.

El Responsable de Seguridad supervisará la instalación de las herramientas informáticas adecuadas para la protección de los sistemas contra virus, gusanos, troyanos, etc. y los usuarios deberán seguir las directrices que se les indiquen para proteger los equipos, aplicaciones e información con los que trabajan.

1.4.4. Copias de Seguridad

Los datos deben ser guardados en un directorio de la red para asegurar que se realizan copias de seguridad habitualmente.

Habrá procedimientos para la realización de copias de seguridad que se archivarán para recuperar los datos en caso de incidencia. Estas copias estarán claramente identificadas y se guardarán en sitio seguro, preferiblemente fuera de las instalaciones de la organización.

También se desarrollarán procedimientos para recuperar los datos a partir de las copias de seguridad.  Hay que asegurarse periódicamente de que la información se guarda correctamente y permite recuperar un nivel mínimo de servicio en caso necesario. 

Si se corrompe la información en operación, hay que comprobar el software, el hardware y las comunicaciones implicadas antes de utilizar las copias de seguridad, para asegurarse de que no se pueda corromper la información contenida en ellas también.

1.4.5. Gestión de la seguridad de la red

Todos los equipos informáticos (estaciones de trabajo y el servidor…) que estén o sean conectados a la red, o aquellos que en forma autónoma se tenga y que sean propiedad de QUER SYSTEM deberán estar sujetos a las normas y procedimientos de instalación que emite el departamento de Informática y que han sido ratificados previamente por la Dirección.

Los elementos de red (switch, router, etc.) permanecerán fuera del acceso del personal no autorizado para evitar usos malintencionados que puedan poner en peligro la seguridad de del sistema.

1.4.6. Gestión de Soportes

Los usuarios aplicarán las mismas medidas de seguridad a los soportes que contengan información sensible que a los ficheros de donde han sido extraídos.

Los soportes (tanto papel como lógicos) que contengan información sensible deben permanecer en cajones o armarios cerrados bajo llave. Cuando alguna persona autorizada deba utilizarla para realizar alguna gestión relacionada con las labores propias de la empresa, ésta se hará responsable del buen cuidado de los soportes. No los dejará encima de su mesa cuando abandone su puesto de trabajo ni los colocará en cualquier otro lugar donde una persona sin autorización pueda verlos o apropiarse de ellos.

Los soportes reutilizables cuya información ya no se necesite deberá borrarse, siempre que se cuente con la autorización precisa. Esta eliminación debe hacerse de forma segura para que los datos que contiene no se filtren a otras personas. Algunos procedimientos de destrucción que se consideran adecuados son la incineración, el triturado o vaciamiento de los soportes para que sean usados en otra aplicación dentro de QUER SYSTEM

Siempre será necesario registrar la eliminación de soportes que contengan información sensible para mantener una pista de auditoría.


Política de seguridad aprobada por La Dirección de la Empresa.
16 de Marzo de 2025

Estamos preparados para protegerte. Tenemos técnicos de seguridad altamente cualificados y una amplia experiencia, por lo que estamos muy preparados para asistirte en tu proyecto de seguridad informática

Información Legal

Financiado por la Unión Europea-Next Generation EU

QUER SYSTEM INFORMATICA SL, “Financiado por la Unión Europea” e IVACE ha completado con éxito el proyecto “ADAPTACIÓN Y DESARROLLO DE UN APLICATIVO DE DOBLE FACTOR CON MÓDULOS ENTERPRISE DEL PROYECTO OPEN SOURCE JANSSEN”, mediante su programa INNOVATeiC-CV. Innovación en TEICs. 2023 con expediente IMINOD/2023/156

© 2.023 Todos los derechos reservados - Quersystem - 96 115 41 09