El Grupo A3Sec blinda entornos digitales evolucionando permanentemente, añadiendo su deber y compromiso de custodiar procesos e información privilegiada, con el objetivo de contrarrestar ataques cibernéticos de la industria y elevar el perfil de seguridad de sus clientes.

La Dirección del Grupo A3Sec reconoce el valor de los datos como un pilar importante en el logro de los objetivos estratégicos, calidad de servicio y la necesidad constante de brindar un tratamiento efectivo que asegure la confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad de la información, por lo cual, ha establecido e implantado el Sistema de Gestión de Seguridad y Privacidad de la Información SGSPI, teniendo en cuenta las buenas prácticas y estándares de industria como lSO/IEC 27001:2022 “Seguridad de la información, ciberseguridad y protección de la privacidad”, el Real Decreto por el que se regula el Esquema Nacional de Seguridad (ENS), RD 311/2022, de 3 de mayo, PCI DSS “Payment Card Industry Data Security Standard” incluyendo controles de distintos marcos de referencia (frameworks), circulares y decretos aplicables a nivel global. La presente Política Corporativa de Seguridad y Privacidad de la información regula el marco de responsabilidad, manejo de la información y el ciberespacio del objeto social alineados a la misión, visión, procesos, prestación de servicios, así como, asegura la continuidad de sus operaciones.

ÁMBITO Y ALCANCE

A3Sec Identificación Corporativa

La Política Corporativa de Seguridad y Privacidad de la Información se aplica a todo el Grupo A3sec, desde las instalaciones físicas, colaboradores, contratistas, proveedores, aliados, clientes, integrantes de diferentes comités, procesos físicos, digitales, inteligencia artificial o cualquier actor que tenga acceso de cualquier forma o motivo a la información. También es aplicable a todo activo de información o del ciberespacio que el Grupo A3sec posea en la actualidad o en el futuro, de manera que la no inclusión explícita en el presente documento no constituye argumento para la falta de protección de estos activos frente a la presente política. La aplicación de esta política se realizará mediante un proceso sistemático, documentado y conocido por las partes interesadas incluyendo procesos estratégicos, misionales, apoyo y evaluación definidos en el Sistema de Gestión de Calidad SGC. Así también, como apoyo a la Política Corporativa de Seguridad y Privacidad de la información se normalizará como alcance el Manual de Políticas SGSPI e información documentada que contiene cada dominio o control implementado por buenas prácticas de estándares, normas, frameworks y todos los controles de protección de seguridad, privacidad y ciberseguridad del Sistema de Gestión de Seguridad y Privacidad (SGSPI) del Grupo A3sec.

OBJETIVOS

La Política Corporativa de Seguridad y Privacidad de la información:

  1. Establece la orientación de la Dirección y el Comité de Seguridad de la información hacia el Grupo A3sec, fija el marco de actuación necesario para proteger activos de información y ciberespacio, frente a amenazas internas, externas, deliberadas o accidentales, con el fin de asegurar el cumplimiento y garantizar el adecuado tratamiento de la información registrada en sus bases de datos.

  2. Promover la comprensión y las responsabilidades individuales para todas las partes interesadas, con el objeto de mantener acciones obligatorias de seguridad, privacidad y ciberseguridad para reducir brechas de riesgo.

  3. Alinear y comunicar la estrategia de seguridad, privacidad y ciberseguridad para preservar la confianza de clientes y órganos de supervisión, fortaleciendo los servicios de monitoreo y gestión de eventos e incidentes de seguridad de la información y ciberseguridad así como en la nube (SOC-NOC) prestados a través del Centro de Seguridad y Vigilancia Digital - CSVD de A3SEC; Servicio de gestión de vulnerabilidades; Servicio de Vigilancia Digital y Cibernética.

  4. Mantener un nivel aceptable de exposición de riesgo que permita mantener de manera sistémica la confidencialidad, disponibilidad, integridad, autenticidad y trazabilidad de la información acorde con las necesidades de las partes interesadas.

MISIÓN DEL SGSPI

La misión del SGSPI del Grupo A3sec, es garantizar la protección de la información en cualquier estado contemplando las posibles amenazas del entorno empresarial, industria y ciberespacio, para mantener y preservar la confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad de los Servicios de Detección y Respuesta para el mantenimiento de la operación unificada de seguridad.

Estamos altamente comprometidos con la innovación, la mejora continua y la seguridad de la información como uno de los puntos principales en el modelo de gobierno. Para ello, A3Sec ha obtenido las certificaciones correspondientes a nivel global para establecer así un marco de calidad y seguridad de la información para construir servicios a las organizaciones con las que trabaja.

MARCO NORMATIVO

El presente marco normativo es adaptado acorde a la legislación de cada país donde opera el Grupo A3sec, para ampliar la información y solicitar la matriz de requisitos legales.

  • REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
  • Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
  • Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual, regularizando, aclarando y armonizando las disposiciones legales vigentes sobre la materia
  • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
  • Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de la Administraciones Públicas. (Esquema nacional de seguridad).
  • Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público. (Esquema nacional de seguridad).
  • Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero.

PREVENCIÓN

Las áreas del Grupo A3sec en la medida de lo posible, implementan las medidas mínimas de seguridad determinadas por el SGSPI, así como cualquier control adicional identificado a través de evaluación de riesgos, trazabilidad y tratamiento de los mismos. Para garantizar el cumplimiento de la política:

  • Autoriza los sistemas antes de entrar en operación.
  • Evalúa regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
  • Solicita la revisión periódica por parte de terceros, con el fin de obtener una evaluación independiente.

DETECCIÓN

El Grupo A3sec pone sus esfuerzos principalmente en procesos que permitan la detección y respuesta nombrando al Centro de Seguridad y Vigilancia (CSVD) para el monitoreo de sus redes y procesos internos, con el fin de detectar y mitigar los posibles eventos que generen riesgos en las operaciones diarias, sus servicios y establecer su línea de defensa.

RESPUESTA

Los procesos del Grupo A3sec se encuentran disponibles y con respuesta efectiva para quien sea autorizado a conocerla, implantando en cada uno de sus estados, pilares de seguridad.

  • Designado punto de contacto para las comunicaciones con respecto a incidentes detectados en otras áreas o en otros organismos.
  • Ha establecido protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta ERI.

 

Fecha de aprobación  22/11/2022

Dirección

Javier Díaz Evans Gerente General

Javier Díaz Evans

Gerente General
Javier López-Tello CEO & Founder

Javier López-Tello

CEO & Founder
Isotipo A3Sec