Política de seguridad de la información de TramitApp

Información legal

TRAMITAPP, tiene como misión el desarrollo y explotación de aplicaciones para la gestión del Control Horario y los RRHH, a través de soluciones digitales basadas en la nube. Para que nuestros servicios resulten competitivos y fiables, la gestión eficaz de la seguridad de la información es un imperativo.

Hemos implementado procedimientos bien definidos y tenemos un equipo perfectamente capacitado que trabaja para mantener sus datos seguros. Nos comprometemos a mejorar continuamente nuestros procesos y procedimientos, garantizando la seguridad de la información manejada en nombre de nuestros clientes.
Para proporcionar metodología, coherencia y estructura a nuestros esfuerzos de seguridad, TramitApp asume su compromiso con la seguridad de la información de acuerdo con el estándar de referencia ISO 27001, para que la Administración de la empresa establezca los siguientes principios:

Liderazgo de la Dirección en el proceso de desarrollo del Sistema de Gestión de Seguridad de la Información (SGSI).

Identificación de partes interesadas internas y externas que son relevantes para el SGSI.

Definir el SGSI y cumplir con sus requisitos.

Utilizar los riesgos y oportunidades de seguridad de la información como base para planificar acciones futuras a abordar.

Establecer objetivos y metas enfocados a la evaluación del desempeño de la Seguridad de la Información y su mejora continua.

Cumplimiento con la Ley, con compromisos adquiridos con nuestros clientes y las partes interesadas y con todas aquellas normas y lineamientos internos a los que está sujeta la empresa.

Confidencialidad, integridad y disponibilidad de los datos bajo custodia.

Capacidad para responder a situaciones de emergencia, restaurando la operación de servicios críticos en el menor tiempo posible.

Establecimiento de las medidas apropiadas para la gestión de riesgos derivadas de la identificación y evaluación de activos.

Motivar y capacitar a todo el personal de la empresa, tanto para la correcta ejecución de sus tareas como para cumplir con los requisitos impuestos por el Estándar de Referencia, proporcionando un ambiente adecuado para la implementación de los procesos.

Asegurar una comunicación fluida entre los diferentes niveles de la empresa y los clientes.

Garantizar la competencia técnica de los empleados de TramitApp y su participación en los procesos de mejora continua.

Asegurar las instalaciones y los medios adecuados para lograr nuestros objetivos comerciales y brindar el mejor servicio posible a nuestros clientes.

Asegurar el análisis y el establecimiento de las mejoras basadas en los resultados y objetivos.

Marco legal:

El marco legal y regulatorio en el que desarrollamos nuestras actividades es:

REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Real Decreto Legislativo 1/1996, de 12 de abril, Ley de Propiedad Intelectual

Real Decreto-ley 2/2018, de 13 de abril, por el que se modifica el texto refundido de la Ley de Propiedad Intelectual

Real Decreto 3/2010, de 8 de enero, de desarrollo del Esquema Nacional de Seguridad modificado por el Real Decreto 951/2015, de 23 de octubre

Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.

Real Decreto 203/2021, de 30 de marzo, por el que se aprueba el Reglamento de actuación y funcionamiento del sector público por medios electrónicos.

Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos.

Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

Roles y responsabilidades:

Los roles o funciones de seguridad definidos son:

Responsable de la información

Deberes y responsabilidades:

Tomar las decisiones relativas a la información tratada.

Responsable de los servicios

Deberes y responsabilidades:

Coordinar la implantación del sistema.

Mejorar el sistema de forma continua.

Responsable de la seguridad

Deberes y responsabilidades:

Determinar la idoneidad de las medidas técnicas.

Proporcionar la mejor tecnología para el servicio.

Responsable del sistema

Deberes y responsabilidades:

Coordinar la implantación del sistema.

Mejorar el sistema de forma continua.

Implantación, gestión y mantenimiento de las medidas de seguridad.

Dirección

Deberes y responsabilidades:

Proporcionar los recursos necesarios para el sistema.

Liderar el sistema.

Esta definición de deberes y responsabilidades se completa en los perfiles de puesto y en los documentos del sistema, así como la guía CCN 801.

Comité de seguridad

El comité de seguridad ENS es el órgano con mayor responsabilidad dentro del sistema de gestión de seguridad de la información para ENS y está formado por el responsable de la información, el responsable del servicio, el responsable de seguridad y el responsable de los sistemas de información. La toma de decisiones se realizará mediante la votación de los miembros y con el único requisito de mayoría simple. En caso de conflicto entre los diferentes responsables, éste será resuelto por el superior jerárquico de los mismos. En defecto de lo anterior, prevalecerá la decisión del Responsable de Seguridad

La gestión de la seguridad ENS se encomienda al responsable de seguridad que informará al comité de seguridad ENS de las necesidades de la emisión de políticas y procedimientos complementarios a las políticas de seguridad corporativa para asegurar el cumplimiento de la normativa española.

Estos miembros se designan por el Comité de dirección, único órgano que puede nombrarlos, renovarlos y cesarlos. Las decisiones son tomadas por unanimidad y en el caso de empate, el voto del Responsable de Seguridad.

Estructura del sistema

Procedimientos

Políticas

Normas y códigos

Políticas de seguridad

La presente política se complementa con las siguientes políticas:

Organización e implantación del proceso de seguridad, según nuestro procedimiento.
Análisis y gestión de los riesgos, según nuestro procedimiento PE 07 Análisis de riesgos.
Gestión de personal, según nuestro procedimiento PE03 Competencia y toma de conciencia.
Profesionalidad, según nuestro procedimiento PE03 Competencia y toma de conciencia.
Autorización y control de los accesos, según nuestro procedimiento PE 08 TRAMITAPP Normas de uso sistemas de información.
Protección de las instalaciones, según nuestro procedimiento PE06 Plan de Seguridad Física.
Adquisición de productos, según nuestro procedimiento PE05 Control de procesos, productos y servicios externos.
Seguridad por defecto, según nuestro procedimiento
ntegridad y actualización del sistema, según nuestro procedimiento
Protección de la información almacenada y en tránsito, según nuestro procedimiento PE08 Bastionado
Prevención ante otros sistemas de información interconectados, según nuestro procedimiento PE08 Bastionado
Registro de actividad, según nuestro procedimiento PE08 Bastionado
Incidentes de seguridad, según nuestra Política Respuesta Incidencias
Continuidad de la actividad, según nuestro procedimiento PE06 Continuidad de Negocio
Mejora continua del proceso de seguridad., según nuestro Manual de Gestión de seguridad de la información.

Estos principios son asumidos por la Alta Dirección, quien dispone los medios necesarios y dota a sus empleados de los recursos suficientes para su cumplimiento, plasmándolos y poniéndolos en público conocimiento a través de la presente Política de Seguridad de la Información.

Fdo.: Manuel Santillan

Director General

Fecha: 14 de septiembre de 2023. Anexo I. Ed. 02

Última versión: Septiembre 2023