Política de Seguridad de la Información
Objetivo de la política
El objeto del presente documento, denominado Política de Seguridad de la Información, es definir las directrices básicas para garantizar la seguridad de la información (en base a criterios de integridad, confidencialidad y disponibilidad) para que repercuta, en última instancia, en la mejora de la seguridad de los servicios que la compañía ofrece a sus clientes y en la mejora de los propios procesos internos de la organización.
En WE Gender Lab (Women Empowered Certification, S.L.), nos comprometemos a garantizar la seguridad y protección de los datos y la información que nos confían nuestros clientes y/o empresas colaboradoras durante el proceso de realización de pilotos de nuestra plataforma “WE Gender Lab”, así como otras actividades empresariales en las que exista un intercambio de información y datos.
Esta política establece nuestras medidas de seguridad, así como nuestras prácticas para el almacenamiento, tratamiento y conservación de los datos de acuerdo con la legislación española y de la Unión Europea en materia de protección de datos, comprendiendo la información relevante en este sentido, así como medidas en marcha para garantizar la seguridad de sistemas de información.
Alcance de la política
La presente Política es aplicable a Women Empowered Certification S.L. (WE Gender Lab), que deberá cumplir este mínimo requisito sin perjuicio de tener políticas más restrictivas y mejorar la seguridad en la medida de lo posible.
Por su carácter de política general es de obligado conocimiento y cumplimiento por parte de todas las direcciones de Women Empowered Certification S.L. (WE Gender Lab), tanto en sus relaciones internas como en sus relaciones con otras organizaciones. Esta política abarca toda la información utilizada por Women Empowered Certification S.L. en el desarrollo de sus actividades.
Especificaciones
A continuación se detallan todas las especificaciones de la presente Política de Seguridad de la Información de Women Empowered Certification S.L. (comercialmente conocida con la marca WE Gender Lab).
3.1. Principios Generales de Seguridad de la Información
Women Empowered Certification S.L. concede un interés prioritario y el máximo apoyo a la protección de la información por su carácter estratégico y como medio para asegurar la continuidad del negocio.
Esta Política, por tanto, persigue la adopción, implantación y operatividad continuada de protocolos y procedimientos que consideren la preservación, al menos, de los tres componentes básicos de la seguridad de la información:
-
Confidencialidad: Garantizar que sólo accedan a los datos y a los sistemas las personas debidamente autorizadas.
-
Integridad: Garantizar la exactitud de la información y de los sistemas contra la alteración, pérdida o destrucción, ya sea de forma accidental o intencionada.
-
Disponibilidad: Garantizar que la información y los sistemas pueden ser utilizados en la forma y tiempo requeridos.
Esta Política será considerada en la ejecución de todas las fases del ciclo de vida de la información: generación, distribución, almacenamiento, procesamiento, transporte, consulta y destrucción, y de los sistemas que los procesan (análisis, diseño, desarrollo, implantación, operación y mantenimiento).
La seguridad de la información incumbe a todo el personal de la Organización por lo que está Política debe ser conocida, comprendida y asumida por todos los niveles de la Organización.
La Política debe ser comunicada a toda la Organización y estar a disposición de las partes interesadas.
Las relaciones con terceras empresas colaboradoras deben de estar amparadas siempre por las debidas garantías en el uso y tratamiento de la información.
Además, Women Empowered Certification S.L. establece los siguientes principios básicos como directrices fundamentales de seguridad de la información que han de tenerse siempre presentes en cualquier actividad relacionada con el tratamiento de información:
-
Alcance estratégico: La seguridad de la información deberá contar con el compromiso y apoyo de todos los niveles directivos para poder estar integrada con el resto de iniciativas estratégicas, conformando un marco de trabajo coherente y eficaz.
-
Seguridad integral: La seguridad de la información se entenderá como un proceso integral constituido por elementos técnicos, humanos, materiales y organizativos. La seguridad de la información deberá considerarse como parte de la operativa habitual, estando presente y aplicándose durante todo el proceso de diseño, desarrollo y mantenimiento de los sistemas de información.
-
Gestión de riesgos: El análisis y gestión de riesgos será parte esencial del proceso de seguridad de la información. La gestión de riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables.
-
Proporcionalidad: El establecimiento de medidas de protección, detección y recuperación deberá ser proporcional a los potenciales riesgos y a la criticidad y valor de la información y de los servicios afectados.
Mejora continua: Las medidas de seguridad se reevaluarán y actualizarán periódicamente para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección.
3.2. Identificación del responsable
Nombre de la empresa: Women Empowered Certification S.L.
Nombre de dominio: www.wegenderlab.com
CIF: B76226216
Domicilio social: Calle Capitán Eliseo López Orduña, 14, 35014, Las Palmas de Gran Canaria, España
Todo usuario de los sistemas de información es responsable del uso adecuado que haga de los mismos y de cumplir con los controles y recomendaciones establecidas en los correspondientes protocolos elaborados de manera alineada a esta Política.
3.3. Objetivos de seguridad de la información
Con el objetivo de contribuir a minimizar y controlar los riesgos de la Organización, Women Empowered Certification S.L. definirá una serie de objetivos alcanzables y medibles, que se revisarán anualmente con el fin de encontrarse alineados con la estrategia de la compañía.
Estos objetivos irán en línea con los principios y directrices fundamentales de seguridad de la información expuestos en el punto 3.1. Principios Generales de Seguridad de la Información.
3.4. Aplicación de la política de seguridad
Con el objetivo de aplicar los principios expuestos en esta Política, se precisa la definición, elaboración, implantación y mantenimiento de planes de actuación o de acciones de mejora continua. Así mismo, la organización tendrá una serie de documentos análogos que cubran otros aspectos de la seguridad, como son en la actualidad:
-
Política de protección de datos para la información tratada y almacenada en la web y el dominio mencionado
-
Política de contraseñas seguras, incluyendo directrices sobre su modificación periódica, el formato sugerido, y el doble factor de autentificación como medida de seguridad adicional (generando códigos de acceso)
-
Política de actualizaciones de herramientas en uso para la realización de actividades, asegurando la periodicidad de las mismas y reduciendo el riesgo de exposición a ciberamenazas, activando actualizaciones automáticas de sistemas operativos en equipos y dispositivos de empresa
La elaboración de estas políticas y otros planes y acciones, así como su actualización, se basará en procesos formales de análisis de riesgos, criterios de evaluación y gestión de riesgos o necesidades objetivas de negocio, que permitan implantar las soluciones idóneas.
Así mismo, se definirán las normas de gestión de seguridad de la información necesarias, acordes con estándares internacionales reconocidos, para asegurar el seguimiento efectivo y eficiente de las acciones en seguridad así como de los procesos de revisión y mejora continua de la seguridad.
3.5. Cumplimiento normativo
Women Empowered Certification S.L. (WE Gender Lab) tiene el compromiso de velar por el cumplimiento de la legislación vigente devenida de la protección y seguridad de la información considerando su objeto, razón social y finalidad de negocio, así como por razón de los servicios de tecnologías de la información que presta o pudiera prestar, incluyendo en estos los servicios relacionados con los procesos de piloto (que comprenden el diagnóstico de igualdad en la empresa y la realización de dashboards de resultados para clientes y/o empresas colaboradoras).
En este sentido, se identificarán los requerimientos de las leyes aplicables en el tratamiento y seguridad de la información y se establecerán los mecanismos y medidas adecuadas y razonables para su cumplimiento.
Women Empowered Certification S.L. velará por el cumplimiento de normas de rango superior (leyes, normas y disposiciones legales) que sean de aplicación por la naturaleza y objeto de negocio, teniendo prevalencia, cuando apliquen, sobre las directrices contenidas en esta Política de Seguridad de la información e incluso sobre requerimientos de Clientes asociados a la prestación de servicios contratados. Se considerarán también las normas que provengan de organismos supranacionales de los que España sea miembro y la normativa comunitaria y/o extracomunitaria, en razón a las áreas de prestación de servicios.
3.6. Clasificación y tratamiento de la información
La información deberá estar clasificada en virtud de su importancia para la organización y ha de ser tratada según dicha clasificación, acorde a lo dispuesto en la normativa sobre clasificación y tratamiento de la información.
3.7. Privacidad de la información
Women Empowered Certification S.L. deberá asegurar la privacidad de los datos de carácter personal con el objetivo de proteger los derechos fundamentales de las personas físicas, especialmente su derecho al honor, intimidad personal y familiar y a la propia imagen, mediante el establecimiento de medidas para regular el tratamiento de los datos.
La organización deberá cumplir con la legislación vigente en materia de protección de datos personales en función de la jurisdicción en la que esté establecida y opere (a modo ilustrativo, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantías de los Derechos Digitales para el caso de España) y deberá incluir las medidas necesarias para cumplir con la normativa.
Se deberán implementar medidas adecuadas para asegurar la privacidad de la información en todas las fases de su ciclo de vida.
3.8. Tratamiento de datos e información
3.8.1. Seguridad de los Datos
Todos los datos recopilados durante la actividad desarrollada por la Organización, en especial aquellos recopilados durante los procesos de pilotos y testeos de la solución WE Gender Lab, son tratados con la máxima confidencialidad y protección.
La Organización implementará medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos contra el acceso no autorizado, la divulgación, la alteración o destrucción no autorizada, tanto durante su transmisión como en su almacenamiento.
Todo el personal autorizado de la organización que tenga acceso a la información señalada estará debidamente capacitado en materia de seguridad de la información y mantendrá la confidencialidad y seguridad de los datos en todo momento.
3.8.2. Almacenamiento de Datos
Los datos recopilados durante la actividad desarrollada por la Organización, en especial aquellos recopilados durante los procesos de pilotos y testeos de la solución WE Gender Lab, se almacenarán de manera segura en servidores protegidos, ubicados en la Unión Europea, cumpliendo con los estándares de seguridad establecidos por la normativa vigente.
Los datos recabados a través de los formularios de recogida de datos serán incorporados a un tratamiento automatizado de datos de carácter personal del que es responsable WE Women Empowered S.L.. Esta entidad tratará los datos de forma confidencial y exclusivamente con la finalidad de gestionar la relación con sus clientes y desarrollar la actividad mencionada.
En este sentido, el almacenamiento de los datos se hará a través de Google Drive de acuerdo a los Términos y Condiciones de Servicio de dicha plataforma, en consonancia con los requisitos de seguridad y privacidad establecidos por la normativa europea.
3.8.3. Tratamiento de Datos
Los datos recopilados se utilizan exclusivamente con la finalidad de realizar los pilotos de software solicitados por las empresas clientes, así como la actividad principal de la Organización. Los datos se procesan para generar informes personalizados que son entregados a las empresas clientes exclusivamente para su uso interno y con el propósito de mejorar sus procesos internos.
La finalidad de dicho tratamiento es, por tanto, para el envío de boletines o dashboards de resultados, que recojan las políticas y prácticas empresariales relacionadas con la gestión y medición de la igualdad de género dentro de la empresa; informando sobre posibles medidas a implementar, iniciativas viables o recursos adicionales que la empresa pueda contratar. Así mismo, los datos se utilizarán con el fin de tramitar solicitudes o cualquier tipo de petición que sea realizada por el usuario a través de cualquiera de las formas de contacto que se ponen a su disposición; así como para crear contenido agregado para futuros informes; o para el envío de comunicaciones relativas a iniciativas, jornadas, eventos (nacionales e internacionales) y servicios, así como publicaciones, actividades, convocatorias y otras noticias del sector. Siempre con el fin último de ayudar a la empresa, cliente o colaborador, a mejorar procesos internos en relación con la igualdad de género.
3.8.4. Conservación de Datos
Los datos recopilados se conservan durante el tiempo necesario para cumplir con la finalidad para la que fueron recabados y de acuerdo con la legislación aplicable. Los datos se conservarán durante el período necesario para cumplir con los requisitos legales y regulatorios, así como para fines de auditoría interna.
De forma excepcional, se podrán conservar los datos durante plazos más largos con fines de investigación y estadística, con el correspondiente cifrado y sujetos a medidas técnicas y organizativas apropiadas, tal como prevé la ley aplicable en este caso (RGPD, artículo 5).
Los criterios de conservación de datos se establecen de acuerdo a la previsión legal que obliga a conservarlos por razones fiscales y contables y el tiempo necesario para las finalidades descritas, salvo que se ejerza la oposición al tratamiento o cancelación de los datos.
Asimismo, WE Women Empowered S.L. cancelará, borrará y/o bloqueará los datos cuando resulten inexactos, incompletos o hayan dejado de ser necesarios o pertinentes para su finalidad, de conformidad con lo previsto en la legislación en materia de protección de datos.
3.8.5. Acceso a los Datos
Las empresas clientes tienen acceso exclusivo a sus propios datos a través de su área personal en nuestra página web (www.wegenderlab.com).
La Organización implementa medidas de autenticación y control de acceso para garantizar que solo los usuarios autorizados puedan acceder a los datos correspondientes a su empresa.
3.8.6. Derechos que asisten a empresas clientes / usuarios
El Usuario tiene derecho a retirar el consentimiento en cualquier momento, así como a ejercer los derechos de acceso, rectificación, portabilidad y supresión de sus datos y a la limitación u oposición al su tratamiento.
3.8.7. Datos de contacto para ejercer sus derechos
Para ejercitar los derechos enviar un correo electrónico a cualquiera de los corresponsables indicados a continuación:
-
Correo genérico: hello@wegenderlab.com
-
Otros correos: maria@wegenderlab.com; alejandra@wegenderlab.com
El Usuario deberá especificar cuál de estos derechos solicita sea satisfecho y, a su vez, deberá acompañarse de la fotocopia del DNI o documento identificativo equivalente. En caso de que actuara mediante representante, legal o voluntario, deberá aportar también un documento que acredite la representación y documento identificativo del mismo. Si desea disponer de un modelo para lo cual podrá: Utilizar un modelo oficial de la Agencia Española de Protección de Datos (AEPD).
3.9. Gestión de activos
Se deberán tener identificados e inventariados los activos de información necesarios para la prestación de los procesos de negocio del Women Empowered Certification S.L. Adicionalmente, se deberá mantener actualizado el inventario de activos.
Se deberá realizar la clasificación de los activos en función del tipo de información que se vaya a tratar, de acuerdo con lo dispuesto en el apartado 3.6. Clasificación de la información.
Se deberán actualizar de manera periódica las configuraciones de los activos para permitir el seguimiento de estos y facilitar una correcta actualización de la información.
3.9.1. Gestión de dispositivos personales
Women Empowered Certification S.L. permitirá la política conocida como BYOD (Bring Your Own Device), que permite a los empleados utilizar sus recursos o dispositivos móviles personales para acceder a recursos o información.
Adicionalmente, los usuarios deberán tener en cuenta una serie de requisitos establecidos en esta Política:
-
Se deberán aplicar las mismas medidas y configuraciones de seguridad a los dispositivos BYOD que tratan información igual que al resto de dispositivos
-
El usuario será responsable de los equipos BYOD
-
Los usuarios deberán mantener actualizado el dispositivo BYOD personal donde traten información de cualquier tipo de Women Empowered Certification S.L. Asimismo, deberán tener instaladas aplicaciones de seguridad mediante software
-
Cualquier incidencia que pueda afectar a la confidencialidad, integridad o disponibilidad de estos dispositivos debe ser reportada al responsable de seguridad.
3.9.2. Gestión del ciclo de vida de la información
Women Empowered Certification S.L. gestionará adecuadamente el ciclo de vida de la información, de manera que se puedan evitar usos incorrectos durante cualquiera de las fases.
El ciclo de vida de un activo de información consta de las siguientes fases:
-
Creación o recolección: esta fase se ocupa de los registros en su punto de origen. Esto podría incluir su creación por un miembro de Women Empowered Certification S.L. o la recepción de información desde una fuente externa. Incluye correspondencia, formularios, informes, entrada/salida del ordenador u otras fuentes.
-
Distribución: es el proceso de gestión de la información una vez que se ha creado o recibido.
-
Uso o acceso: se lleva a cabo después de que la información se distribuye internamente, y puede generar decisiones de negocio, generar nueva información, o servir para otros fines, como la creación de dashboards de resultados; planes de acción o informes de recomendaciones, entre otros.
-
Almacenamiento: es el proceso de organizar la información en una secuencia predeterminada y la creación de un sistema de gestión para garantizar su utilidad.
-
Destrucción: establece las prácticas para la eliminación de la información que ha cumplido los periodos de retención definidos. Los periodos de conservación de la información deberán estar basados en los requisitos normativos, legales y jurídicos que afectan a Women Empowered Certification S.L.
3.9.3. Gestión de las copias de seguridad
Se deberán realizar copias de seguridad de la información, del software y del sistema y se deberán verificar periódicamente. Como norma general, la frecuencia con la que se realizarán las copias de seguridad se determinará en función de la sensibilidad de las aplicaciones o datos, de acuerdo con los criterios de clasificación de información.
Las copias de seguridad deberán recibir las mismas protecciones de seguridad que los datos originales, asegurándose su correcta conservación, así como los controles de acceso adecuados.
Como norma general y siempre que sea posible, se deberá requerir que la información en las copias de seguridad esté cifrada. Se deberá establecer un período de retención de las copias de seguridad hasta su destrucción una vez terminado el periodo de existencia.
3.10. Seguridad física y del entorno
Los espacios físicos donde se ubiquen los sistemas de información de Women Empowered Certification S.L. deberán estar protegidos adecuadamente mediante controles de acceso perimetrales, sistemas de vigilancia y medidas preventivas de manera que puedan evitarse o mitigar el impacto de incidentes de Seguridad (accesos no autorizados a sistemas de información, robo o sabotaje) y accidentes ambientales (incendios, inundaciones, cortes de suministro eléctrico, etc.).
3.11. Seguridad en el trabajo en la nube y en dispositivos
Women Empowered Certification S.L. mantendrá una política de trabajo en la nube o cloud computing que establezca las medidas de seguridad adecuadas para la confidencialidad, integridad y disponibilidad de la información.
El trabajo en la nube de Women Empowered Certification S.L. se hace en los servidores indicados de Google Drive, por lo que a esta Política se suma la propia Política de Privacidad de Google, que puede encontrarse aquí.
Women Empowered Certification S.L. se asegura de que dicho Proveedor u otros futuros monitoriza el entorno para detectar cambios no autorizados; y que permite el establecimiento de niveles de autenticación y control de acceso para los administradores y las operaciones que estos realicen.
Todos los sistemas de información de Women Empowered Certification S.L. que procesan o almacenan información de su propiedad deberán contar con las medidas de seguridad oportunas que optimicen su nivel de madurez adecuado (monitorización, control de cambios, revisiones, etc).
Asimismo, se deberán gestionar, controlar y monitorizar las redes de manera adecuada, a fin de protegerse de las amenazas y mantener la seguridad de los sistemas y aplicaciones que utilizan la red, incluidos los controles de acceso a la red, protegiendo así toda la información que se transfiera a través de estos elementos y/o entornos.
En cuanto a la seguridad y transmisión de información y datos a través de la web de la Organización, remitirse a la Política de Privacidad de la propia web (disponible aquí) y a la propia de nuestro Proveedor de servicios -Wix- en este sentido (disponible aquí).
3.12. Seguridad en las telecomunicaciones
La arquitectura de red de Women Empowered Certification S.L. deberá contar con medidas de prevención, detección y respuesta para evitar brechas en los dominios internos y externos.
3.13. Seguridad en las relaciones con proveedores
Se deberá poner especial atención en evaluar la criticidad de todos los servicios susceptibles de ser subcontratados de manera que puedan identificarse aquellos que sean relevantes desde el punto de vista de la seguridad de la información, ya sea por su naturaleza, la sensibilidad de los datos que deban tratarse o la dependencia sobre la continuidad de negocio.
3.14. Gestión de incidentes
El personal de Women Empowered Certification S.L. tiene la obligación y responsabilidad de la identificación y notificación al responsable de seguridad de la sociedad de cualquier incidente o delito que pudiera comprometer la seguridad de sus activos de información.
Se implementarán procedimientos para la correcta gestión de los incidentes detectados, tales como procedimientos de respuesta, que definan la categorización de los incidentes, análisis de su impacto en el negocio y escalado.
3.15. Revisiones y actualizaciones
Esta política de seguridad será revisada y actualizada periódicamente para garantizar su efectividad y cumplimiento continuo de los requisitos legales y normativos aplicables.
Women Empowered Certification S.L., se compromete a mantener la seguridad y privacidad de los datos de sus clientes y/o colaboradores como una prioridad absoluta, de acuerdo con la estrategia global empresarial.
3.16. Auditoría
Los sistemas de información, de manera total o parcial se someterán periódicamente a auditorías internas con la finalidad de verificar su correcto funcionamiento, determinando grados de cumplimiento y recomendando medidas correctoras para una mejora continua.
3.17. Mejora continua
Women Empowered Certification S.L. considera fundamental velar por la mejora continua, por ello, definirá acciones que permitan mejorar el desempeño de la organización en cuanto a la disponibilidad, integridad y confidencialidad de la información.