POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
Cláusula 5.2 — ISO/IEC 27001:2022
Sistema de Gestión de Seguridad de la Información (SGSI)
DATEM GROUPE SPAIN S.A.
1. Objeto y Propósito
La presente Política establece el compromiso de DATEM GROUPE SPAIN S.A. (en adelante, Datem) con la seguridad de la información y constituye el documento de referencia del Sistema de Gestión de Seguridad de la Información (SGSI) de la organización. La Política es emitida y aprobada por la Dirección General de Datem.
Como Encargado del Tratamiento de los datos personales de socios y donantes de las entidades clientes del tercer sector, Datem asume un nivel de exigencia elevado en la protección de la información que se le confía. La presente Política expresa el compromiso institucional y operativo con esa exigencia y proporciona el marco para la definición de los objetivos del SGSI.
2. Alcance
El alcance de la presente Política coincide con el alcance del SGSI definido en el documento REG-4.3-Alcance: la totalidad de las actividades de contact center especializado en servicios de captación y fidelización de socios y donantes para Organizaciones No Gubernamentales (ONG), fundaciones y asociaciones, prestados desde la sede ubicada en Cerdanyola del Vallès (Barcelona).
La Política aplica a todo el personal de Datem así como a colaboradores externos, proveedores y cualquier tercero que acceda a información o sistemas de la organización en el desempeño de su actividad.
3. Compromiso de la Dirección
La Dirección General de Datem manifiesta su compromiso explícito con la seguridad de la información y con el mantenimiento y mejora continua del SGSI, y asume las siguientes responsabilidades:
– Liderar y promover una cultura organizativa orientada a la seguridad de la información y a la protección de los datos confiados por las entidades clientes.
– Asignar los recursos humanos, técnicos y económicos necesarios para el despliegue, mantenimiento y mejora del SGSI.
– Establecer los objetivos del SGSI alineados con la estrategia de la organización, garantizar su seguimiento y revisarlos periódicamente.
– Asegurar la integración del SGSI en los procesos de negocio, evitando que la seguridad opere como una capa desconectada de la operación.
– Velar por el cumplimiento de los requisitos legales, regulatorios y contractuales aplicables, en particular en materia de protección de datos personales.
– Comunicar la importancia de una gestión eficaz de la seguridad y la conformidad con los requisitos del SGSI a todo el personal.
– Apoyar al Responsable de Seguridad de la Información en el desempeño de sus funciones y al resto de personas con responsabilidades en el SGSI.
– Promover la mejora continua del Sistema de Gestión y de la consecución de los resultados previstos.
4. Principios de Seguridad de la Información
Datem se compromete a proteger la confidencialidad, integridad y disponibilidad de la información tratada en el desempeño de su actividad, conforme a los siguientes principios que guían las decisiones del SGSI:
– Protección de los datos personales: los datos personales de socios y donantes confiados por las entidades clientes constituyen el activo central del SGSI y se protegen con los más altos estándares operativos y técnicos disponibles para el sector.
– Cumplimiento normativo y contractual: la organización garantiza el cumplimiento del RGPD, la LOPDGDD, la normativa autonómica catalana en materia de protección de datos, la Ley 2/2023 reguladora del canal de denuncias, la normativa laboral aplicable al sector y demás normativa sectorial vigente.
– Gestión basada en el riesgo: las decisiones sobre seguridad se toman a partir de un análisis formal del riesgo, con criterios documentados y trazables de aceptación, tratamiento, transferencia o evitación.
– Responsabilidad y trazabilidad: los accesos a la información se otorgan según el principio de mínimo privilegio y necesidad de conocer, garantizando la rendición de cuentas de toda acción significativa sobre los activos del SGSI.
– Continuidad operativa: la organización dispone de mecanismos de continuidad y de recuperación para asegurar la disponibilidad de los servicios prestados a las entidades clientes ante incidentes que afecten a la operación.
– Concienciación y formación: el personal recibe formación continua en seguridad y privacidad, adaptada a sus funciones, y participa activamente en la cultura de seguridad de la organización.
– Gestión de incidentes: cualquier incidente de seguridad o brecha de los datos personales se gestiona conforme a un procedimiento formal que incluye análisis de causas, comunicación a las partes interesadas afectadas y aprendizaje organizativo.
– Relaciones con terceros: los proveedores y colaboradores que accedan a información o sistemas de Datem quedan vinculados por cláusulas contractuales que extienden los principios de esta Política a su actividad.
– Mejora continua: la organización mantiene un compromiso permanente con la mejora continua del SGSI, traducido en revisiones, auditorías y planes de acción regulares.
5. Objetivos del SGSI
La presente Política establece el marco general para la definición de los objetivos operativos del SGSI, que se documentan formalmente, se miden mediante indicadores y se revisan con periodicidad anual.
Los objetivos del SGSI son consistentes con la presente Política, se establecen en función del análisis del contexto, de las necesidades y expectativas de las partes interesadas y de los resultados de la valoración del riesgo, y se comunican a las funciones y niveles relevantes de la organización.
6. Roles y Responsabilidades
Las responsabilidades del SGSI se distribuyen entre los siguientes roles, sin perjuicio de las asignaciones detalladas en los procedimientos específicos:
– Dirección General: aprueba la presente Política, asigna los recursos del SGSI, revisa periódicamente el sistema, asume la responsabilidad última y rinde cuentas ante las partes interesadas.
– Responsable de Seguridad de la Información (RSI): lidera la operación del SGSI, propone los objetivos y los planes de acción, coordina la gestión del riesgo, supervisa el cumplimiento de los controles y reporta a la Dirección.
– Áreas funcionales: aplican los controles del SGSI en sus procesos, participan en la identificación y tratamiento de riesgos y proponen mejoras desde su ámbito de actividad.
– Todo el personal: cumple la presente Política y los procedimientos del SGSI, participa en las acciones de formación y notifica los incidentes y vulnerabilidades observadas en el desempeño de su actividad.
7. Cumplimiento, Mejora Continua y Revisión
Datem se compromete a satisfacer todos los requisitos aplicables relativos a la seguridad de la información, incluyendo los derivados de la legislación vigente, los contratos con las entidades clientes y los compromisos voluntarios asumidos por la organización.
La Dirección revisa el SGSI con periodicidad anual mediante la Revisión por la Dirección, evaluando su eficacia, los resultados alcanzados respecto a los objetivos y las oportunidades de mejora. Las desviaciones y no conformidades identificadas se tratan formalmente, con análisis de causa raíz y plan de acción.
La presente Política se revisa con periodicidad anual y, adicionalmente, ante cualquier cambio sustancial del contexto, del alcance o del marco normativo aplicable, así como tras incidentes significativos que revelen necesidades de ajuste.
8. Comunicación y Disponibilidad
La presente Política se comunica a todo el personal de Datem a través de los canales habituales del SGSI (publicación interna, formación inicial al incorporarse a la organización y formación continua), y se pone a disposición de las partes interesadas que lo requieran (entidades clientes, autoridades, organismo certificador, auditores) como evidencia del compromiso de la organización.
El incumplimiento de la presente Política o de los procedimientos del SGSI puede dar lugar a las consecuencias previstas en la normativa laboral, contractual y, en su caso, penales aplicables, sin perjuicio de las medidas correctivas que la organización adopte en el marco del SGSI.