Electrònica Saltó, SLU, com a empresa dedicada al desenvolupament, suport i implementació de programari assumeix el seu compromís amb la seguretat de la informació, comprometent-se a l’adequada gestió d’aquesta, amb la finalitat d’oferir a tots els seus grups d’interès les majors garanties entorn de la seguretat de la informació utilitzada.
Per tot l’anteriorment exposat, la Direcció estableix els següents objectius de seguretat de la informació:
• Proporcionar un marc per a augmentar la capacitat de resistència o resiliència per a donar una resposta eficaç davant situacions crítiques de seguretat.
• Assegurar la recuperació ràpida i eficient dels serveis, enfront de qualsevol desastre físic o contingència que pogués ocórrer i que posés en risc la continuïtat de les operacions.
• Prevenir incidents de seguretat de la informació en la mesura que sigui tècnica i econòmicament viable, així com mitigar els riscos de seguretat de la informació generats per les nostres activitats.
• Garantir la confidencialitat, integritat, disponibilitat, autenticitat i traçabilitat de la informació
Per a poder aconseguir aquests objectius és necessari:
• Millorar contínuament el nostre sistema de seguretat de la informació.
• Complir amb requisits legals aplicables i amb qualssevol altres requisits que subscriguem a més dels compromisos adquirits amb els clients, així com l’actualització contínua d’aquests.
• Identificar les amenaces potencials, així com l’impacte en les operacions de negoci que aquestes amenaces, en cas de materialitzar-se, puguin causar.
• Preservar els interessos de les seves principals parts interessades (clients, accionistes, empleats i proveïdors), la reputació, la marca i les activitats de creació de valor.
• Treballar de manera conjunta amb els nostres subministradors i subcontractistes amb la finalitat de millorar la prestació de serveis de TU, la continuïtat dels serveis i la seguretat de la informació, que repercuteixin en una major eficiència de la nostra activitat.
• Avaluar i garantir la competència tècnica del personal, així com assegurar la motivació adequada d’aquest per a la seva participació en la millora contínua dels nostres processos, proporcionant la formació i la comunicació interna adequada perquè desenvolupin bones pràctiques definides en el sistema.
• Garantir el correcte estat de les instal·lacions i l’equipament adequat, de manera tal que estiguin en correspondència amb l’activitat, objectius i metes de l’empresa.
• Garantir una anàlisi de manera contínua de tots els processos rellevants, establint-se les millores pertinents en cada cas, en funció dels resultats obtinguts i dels objectius establerts.
• Estructurar el nostre sistema de gestió de manera que és fàcil comprendre.
El nostre sistema de gestió té la següent estructura:
Marc normatiu
• REGLAMENT (UE) 2016/679 DEL PARLAMENT EUROPEU I DEL CONSELL de 27 d’abril de 2016 relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades.
• Llei orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals.
• Reial decret legislatiu 1/1996, de 12 d’abril, Llei de Propietat Intel·lectual
• Reial decret llei 2/2018, de 13 d’abril, pel qual es modifica el text refós de la Llei de Propietat Intel·lectual.
• Reial decret 3/2010, de 8 de gener, de desenvolupament de l’Esquema Nacional de Seguretat modificat pel Reial decret 951/2015, de 23 d’octubre.
• REGLAMENT (UE) 910:2014 DEL PARLAMENT EUROPEU I DEL CONSELL de 23 de juliol de 2014 relatiu a la identificació electrònica i els serveis de confiança per a les transaccions electròniques en el mercat interior (Reglament Europeu eIDAS).
• Prevenció de Riscos Laborals Llei 31/1995 de 8 de novembre i Reial decret 39/1997 de 17 de gener, pel qual s’aprova el Reglament dels Serveis de Prevenció.
• Llei 34/2002, d’11 de juliol, de Serveis de la Societat de la Informació i Comerç Electrònic (LSSI-CE).
• RD-llei 13/2012 de 30 de març, llei de cookies.
• Reial decret legislatiu 1/1996, de 12 d’abril, pel qual s’aprova el text refós de la Llei de Propietat Intel·lectual, regularitzant, aclarint i harmonitzant les disposicions legals vigents sobre la matèria.
• Resolució de 7 d’octubre de 2016, de la Secretaria d’Estat d’administracions públiques, per la qual s’aprova la Instrucció Tècnica de Seguretat d’Informe de l’Estat de la Seguretat.
• Resolució de 13 d’octubre de 2016, de la Secretaria d’Estat d’administracions públiques, per la qual s’aprova la Instrucció Tècnica de Seguretat de conformitat amb l’Esquema Nacional de Seguretat.
• Resolució de 27 de març de 2018, de la Secretaria d’Estat de Funció Pública, per la qual s’aprova la Instrucció Tècnica de Seguretat d’Auditoria de la Seguretat dels Sistemes d’Informació.
• Resolució de 13 d’abril de 2018, de la Secretaria d’Estat de Funció Pública, per la qual s’aprova la Instrucció Tècnica de Seguretat de Notificació d’Incidents de Seguretat.
• Reial decret 311/2022, de 3 de maig, pel qual es regula l’Esquema Nacional de Seguretat.
Gestió del sistema
La gestió del nostre sistema s’encomana al responsable de Gestió i el sistema estarà disponible en el nostre sistema d’informació en un repositori, al qual es pot accedir segons els perfils d’accés concedits segons el nostre procediment en vigor de gestió dels accessos.
Aquests principis són assumits per la Direcció, qui disposa els mitjans necessaris i dota als seus empleats dels recursos suficients per al seu compliment, plasmant-los i posant-los en públic coneixement a través de la present Política Integrada de Sistemes de Gestió.
Rols i responsabilitats
Els rols o funcions de seguretat definits en Saltó són:
Responsable de la informació:
• Prendre les decisions relatives a la informació tractada
Responsable dels serveis:
• Coordinar la implantació del sistema
• Millorar el sistema de manera contínua
Responsable de la seguretat:
• Determinar la idoneïtat de les mesures tècniques
• Proporcionar la millor tecnologia per al servei
Responsable del sistema:
• Coordinar la implantació del sistema
• Millorar el sistema de manera contínua
Direcció:
• Proporcionar els recursos necessaris per al sistema
• Liderar el sistema
Aquesta definició es completa en els perfils de lloc i en els documents del sistema.
El procediment per a la seva designació i renovació serà la ratificació en el comitè de seguretat
El comitè per a la gestió i coordinació de la seguretat és l’òrgan amb major responsabilitat dins del sistema de gestió de seguretat de la informació, de manera que totes les decisions més importants relacionades amb la seguretat s’acorden per aquest comitè. Els membres del comitè de seguretat de la informació són:
• Responsable de la informació.
• Responsable dels serveis.
• Responsable de la seguretat.
• Responsable del sistema.
• Direcció Empresa (administrador únic).
Aquests membres són designats pel comitè, únic òrgan que pot nomenar-los, renovar-los i cessar-los.
El comitè de seguretat és un òrgan autònom, executiu i amb autonomia per a la presa de decisions i que no ha de subordinar la seva activitat a cap altre element de la nostra empresa.
Està política es complementa amb la resta de les polítiques, procediments i documents en vigor per a desenvolupar el nostre sistema de gestió.
Incompliment de la norma
En cas d’incompliment d’alguna de les obligacions legals contingudes en aquest document i dins de la legislació, el responsable li notificarà tal circumstància sempre que fos possible i durà a terme aquelles mesures que entengui necessàries, entre elles l’aplicació de la legislació.
L’empleat/usuari haurà de col·laborar amb el responsable en qualsevol recerca que es faci sobre l’ús dels recursos, aportant la informació que se’ls requereixi i col·laborant amb el responsable per a denunciar, corregir, cessar i, si és el cas, rectificar les accions que incompleixin aquest protocol.
A més, el responsable es reserva el dret a exercitar les accions legals pertinents per a la protecció i defensa dels seus legítims interessos, ja siguin disciplinàries, laborals, administratives, civils o penals enfront de tots aquells empleats/usuaris o tercers que poguessin estar implicades en aquests incompliments.
Revisió, comunicació i vigència
El present document entrarà en vigor el següent dia hàbil després de la data de la seva publicació, i la seva vigència es mantindrà mentre no sigui modificada o derogada de manera expressa per una altra posterior.
El present document serà revisat, com a mínim, una vegada a l’any o quan sorgeixin canvis importants en l’organització que justifiquin la seva revisió i actualització a nova normativa jurídica.
El present document estarà disponible, en la seva versió més actualitzada, per a tot el personal de Saltó i per a tercers, en les plataformes corporatives destinades a la gestió de polítiques.
Data d’aprovació de la política: 29/05/2025.
Versió: 1.2