ENGLISH
INTRODUCTION
At Euro Economics Holding, S.L. and subsidiaries (hereinafter, EE), information is a fundamental asset for the provision of our services, which is why there is an express commitment to protect information adequately against possible threats, whether intentional or accidental, as part of a strategy aimed at business continuity, risk management and the consolidation of a security culture. This is what we know as information security. Aware of the current needs, through the publication of this Security Policy, the Management of EE formalizes this commitment to information security with the aim of ensuring the integrity, confidentiality and availability of this important asset, promoting compliance with the strategic objectives of the company and the legal and contractual requirements in this area. By information assets, we must understand any information supported in physical or electronic format, necessary for the company to perform its functions and achieve the strategic and operational objectives.
SCOPE
Effective information security can only be achieved through a joint effort that requires the participation of all company employees and collaborators working with information assets. Therefore, all users of these assets must comply with this policy in accordance with their role when dealing with company or customer information in any format (paper or electronic). This policy applies to all information infrastructures and assets, including the infrastructure provided by the company, by the specific one of each project or the client infrastructure under the responsibility of the personnel (WAN, LAN and mobile and fixed telephone communications networks, personal devices, all information assets that are used for the performance of activities, etc.).
INFORMATION SECURITY OBJECTIVES
EE establishes, defines and reviews objectives aimed at improving its security, understood as the preservation of the confidentiality, integrity and availability of all information assets, as well as the systems that support it, thus increasing the confidence of our customers and improving the way we provide our services and treat our own and third party information. Therefore, EE takes as a reference framework for its objectives:
- Protecting information, preventing access to unauthorized persons.
- Comply with business objectives, legal or regulatory and contractual obligations that apply.
- Evaluate the information assets to apply the appropriate technical and organizational measures according to the risks analyzed.
- Promote a culture of security through training and awareness of staff working in the entity and affecting their performance in information security.
- Establish that all personnel are responsible for reporting vulnerabilities and threats to security, preserving the confidentiality, integrity and availability of information and complying with this policy and other regulations that develop it.
- Establish the necessary means to guarantee the continuity of the company’s activities.
COMMITMENT AND RESPONSIBILITIES
The Management of EE, as Responsible for the Information, is committed to providing those means and resources that are necessary to meet the security objectives defined in this Policy and encouraging all staff to assume this commitment. To this end, EE will implement the measures required for the training and awareness of staff with information security. The general responsibility for information security will fall on the Security Manager, who will have the backing and support of the Technical Manager and Information Security System Administrator as part of his team, with the ultimate responsibility of the Management as the maximum responsible for security. The Security Officer is directly responsible for the maintenance of this policy, providing advice and guidance for its implementation.
APPLICABILITY OF THE POLICY AND REGULATORY FRAMEWORK
All internal personnel, suppliers, collaborators and, in general, all those who have responsibilities over the sources, repositories and resources for processing information in the U.S. must adopt the guidelines contained in this document and in related documents, in order to maintain the confidentiality, integrity and ensure the availability of the information. The regulatory framework on which this policy is based is defined by:
- Legislation related to the Protection of Personal Data (LOPD, GDPR)
- Legislation on Information Society Services and Electronic Commerce (LSSI).
- Legislation on legal protection for intellectual property works (LPI).
- Other regulations and legislation applicable to the organization’s activity.
FAILURE TO COMPLY WITH THE POLICY AND DISCIPLINARY PROCESS
Failure to comply with this Policy and the information security regulations and procedures that implement it may result in disciplinary action within the applicable legal framework, depending on the impact on the organization.
REVIEWS AND DISCLOSURE
This Security Policy, reviewed and approved by the Management of EE, may be modified according to the needs for revision established periodically or to the applicability of the same, ensuring its adaptation at all times. This Security Policy and the regulations that develop it, will be disseminated through the appropriate channels to all interested parties based on the need for knowledge.
SPANISH
INTRODUCCIÓN
En Euro Economics Holding, S.L. y las empresas del grupo (en adelante, EE), la información es un activo fundamental para la prestación de nuestros servicios, razón por la cual existe un compromiso expreso de proteger la información de forma adecuada contra posibles amenazas, intencionadas o accidentales, como parte de una estrategia orientada a la continuidad del negocio, la administración de riesgos y la consolidación de una cultura de seguridad. Esto es lo que conocemos como seguridad de la información. Consciente de las necesidades actuales, a través de la publicación de la presente Política de Seguridad, la Dirección de EE formaliza este compromiso de seguridad de la información con el objetivo de asegurar la integridad, confidencialidad y disponibilidad de este importante activo, favoreciendo el cumplimiento de los objetivos estratégicos de la compañía y de los requisitos legales y contractuales vigentes en esta materia. Por activos de la información, debemos entender cualquier información soportada en formato físico o electrónico, necesarios para que la compañía pueda desempeñar sus funciones y logro de los objetivos estratégicos y operativos.
ALCANCE
Una seguridad de la información efectiva sólo se puede conseguir con un esfuerzo conjunto que requiere la participación de todos los trabajadores y colaboradores de la compañía que trabajan con activos de información, por ello, todos los usuarios de estos activos deben cumplir esta política de acuerdo con su rol cuando traten con información de la compañía o sus clientes en cualquier formato (papel o electrónico). Esta política es de aplicación en todas las infraestructuras y activos de la información, incluyendo la infraestructura proporcionada por la compañía, por la específica de cada proyecto o la infraestructura de cliente bajo responsabilidad del personal (redes de comunicaciones WAN, LAN y telefonía móvil y fija, dispositivos personales, todos los activos de la información que son utilizados para el desempeño de las actividades, etc.).
OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN
EE establece, define y revisa unos objetivos encaminados a mejorar su seguridad, entendiéndola como la conservación de la confidencialidad, integridad y disponibilidad de todos los activos de la información, así como de los sistemas que la soportan, aumentando así la confianza de nuestros clientes y mejorando la forma en que prestamos nuestros servicios y tratamos la información propia y de terceros. Por ello, EE toma como marco de referencia para sus objetivos:
- Proteger la información, evitando el acceso a personas no autorizadas.
- Cumplir con los objetivos del negocio, legales o reglamentarios y las obligaciones contractuales que sean de aplicación.
- Evaluar los activos de la información para aplicar las medidas técnicas y organizativas adecuadas según los riesgos analizados.
- Promover una cultura de seguridad mediante la formación y concienciación del personal que trabaja en la entidad y afecta a su desempeño en seguridad de la información.
- Establecer que todo el personal es responsable de reportar las vulnerabilidades y amenazas a la seguridad, preservar la confidencialidad, integridad y disponibilidad de la información y cumplir con la presente política y demás normativa que la desarrolla.
- Establecer los medios necesarios para garantizar la continuidad de las actividades de la compañía.
COMPROMISO Y RESPONSABILIDADES
La Dirección de EE, como Responsable de la Información, se compromete a dotar de aquellos medios y recursos que sean necesarios para dar cumplimiento a los objetivos de seguridad definidos en esta Política e instando a todo el personal para que asuma este compromiso. Para ello, EE implantará las medidas requeridas para la formación y concienciación del personal con la seguridad de la información. La responsabilidad general de la seguridad de la información recaerá sobre el Responsable de Seguridad, que contará con el respaldo y soporte del Responsable Técnico y Administrador del Sistema de Seguridad de la Información como parte de su equipo, siendo la responsabilidad última de la Dirección como máximo responsable de la seguridad. El Responsable de Seguridad es el responsable directo del mantenimiento de esta política, prestando consejo y guía para su implementación.
APLICABILIDAD DE LA POLÍTICA Y MARCO NORMATIVO
Todo el personal interno, proveedores, colaboradores y, en general, todos aquellos que tengan responsabilidades sobre las fuentes, repositorios y recursos de procesamiento de la información de EE, deben adoptar los lineamientos contenidos en el presente documento y en los documentos relacionados con él, con el fin de mantener la confidencialidad, la integridad y asegurar la disponibilidad de la información. El marco normativo sobre el que se sustenta la presente política está definido por:
- Legislación relacionada con la Protección de Datos de Carácter Personal (LOPD, GDPR).
- Legislación sobre Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI).
- Legislación sobre protección legal para las obras de Propiedad Intelectual (LPI).
- Demás normativa y legislación aplicable a la actividad de la organización.
INCUMPLIMIENTO DE LA POLÍTICA Y PROCESO DISCIPLINARIO
El incumplimiento de esta Política y de la normativa y procedimientos de seguridad de la información que la desarrollan, puede resultar en una acción disciplinaria dentro del marco legal aplicable, y dimensionadas al impacto que tengan sobre la organización.
REVISIONES Y DIVULGACIÓN
La presente Política de Seguridad, revisada y aprobada por la Dirección de EE, podrá ser modificada de acuerdo con las necesidades de revisión establecidas periódicamente o a la aplicabilidad de la misma, asegurando su adaptación en todo momento. Esta Política de Seguridad y la normativa que la desarrolla, será difundida por los canales adecuados a todas las partes interesadas en base a la necesidad del conocimiento.