913 770 647 [email protected]

Política de SGSI

1.   OBJETIVO

El presente documento tiene por objeto establecer las directrices necesarias para proteger los sistemas de información y garantizar un tratamiento adecuado de los datos personales utilizados en la prestación de los servicios de PROVIMAD DE VERIFICACIONES REGISTRALES S.L. (en adelante, PROVIMAD). Asimismo, se pretende asegurar el cumplimiento de las obligaciones legales y reglamentarias aplicables al Sistema de Gestión de la Seguridad de la Información y de la Privacidad (SGSI-SGPI), en conformidad con:

•          ISO/IEC 27001:2023 sobre seguridad de la información

•          ISO/IEC 27701 sobre gestión de la privacidad

•          Reglamento General de Protección de Datos (RGPD)

•          Esquema Nacional de Seguridad (ENS)

PROVIMAD asume un compromiso firme y permanente con la protección integral de la información, garantizando la confidencialidad, integridad y disponibilidad de los activos, así como la licitud, transparencia, minimización y responsabilidad proactiva en el tratamiento de los datos personales.

2.   ALCANCE

La Política del Sistema de Gestión de Seguridad de la Información y de la Privacidad define un conjunto de principios aplicables a los sistemas de información, que dan soporte a los servicios de facturación electrónica, presentación telemática de documentos, notificaciones/comunicaciones postales y electrónicas, en el ámbito privado y público.

3.   RESPONSABILIDADES

El cumplimiento de esta política es responsabilidad del Comité de Seguridad, el Responsable del SGSI, el Responsable de Protección de Datos, el auditor líder, el personal, los proveedores estratégicos y la Alta Dirección de la organización.

4.   POLÍTICA DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Y DE LA PRIVACIDAD

  • Asegurar la confidencialidad, integridad y disponibilidad de la información.
  • Cumplir con los requisitos legales y reglamentarios aplicables.
  • Gestionar los riesgos de seguridad de la información y de la privacidad.
  • Establecer objetivos de mejora alineados con esta política.
  • Satisfacer los requerimientos de las partes interesadas.
  • Establecer un plan de continuidad que asegure la recuperación ante desastres.
  • Formar y concienciar a todo el personal.
  • Registrar y gestionar los incidentes de seguridad.
  • Informar sobre funciones y obligaciones de seguridad.
  • Revisar periódicamente la eficacia del SGSI-SGPI.
  • Garantizar el tratamiento de datos personales conforme a principios de protección de datos.
  • Implementar medidas técnicas y organizativas adecuadas.
  • Facilitar el ejercicio de derechos de los interesados.
  • Realizar evaluaciones de impacto sobre la privacidad (PIA).
  • Incorporar procesos de inteligencia de amenazas para identificar, analizar y gestionar amenazas emergentes.
  • Asegurar la seguridad en la nube, incluyendo responsabilidades compartidas y auditorías periódicas.
  • Fortalecer la gestión avanzada de incidentes, incluyendo aprendizaje posterior.
  • Aplicar la privacidad desde el diseño y por defecto en servicios y sistemas.
  • Establecer controles para la seguridad en la cadena de suministro TIC.
  • Reforzar la gestión de identidades y autenticación mediante MFA y el principio de mínimo privilegio.
    Fecha de última actualización  25/03/2025