Política de seguridad
Despacho Pereira ha tomado la decisión de gestionar los Sistemas de Información (en adelante, SGSI) siguiendo buenas prácticas de seguridad y protección de datos, con el objetivo de garantizar la confidencialidad, integridad, disponibilidad y autenticidad de la información que se maneja.
Teniendo en cuenta lo anterior, la Política de Seguridad de la Información se elabora en cumplimiento de las exigencias legales previstas en las siguientes disposiciones normativas:
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos, RGPD).
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD-gdd).
- Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y comercio electrónico (LSSI-CE).
Nota: Aunque el Despacho Pereira no dispone de certificación oficial bajo la norma ISO 27001 ni el Esquema Nacional de Seguridad (ENS), aplica medidas técnicas y organizativas alineadas con sus principios para proteger los activos digitales y la información de sus clientes.
Medidas aplicadas por el despacho
- Aplicamos medidas inspiradas en el estándar ISO/IEC 27001 para proteger la información de nuestros clientes.
- El almacenamiento y gestión de documentos sensibles se realiza exclusivamente mediante plataformas certificadas bajo la norma ISO 27001, como Tresorit.com, que ofrece cifrado de extremo a extremo.
- Los documentos como DNI, certificados digitales o poderes se conservan únicamente durante el tiempo necesario para prestar el servicio, y se eliminan de forma segura una vez finalizada la relación contractual, conforme al principio de minimización del RGPD.
- Las firmas electrónicas se recogen a través de Sign.com o Clientify, una plataforma certificada en ISO 27001, conforme a la normativa eIDAS, que garantiza la validez legal de las firmas, la protección de la privacidad y el sellado electrónico contra manipulaciones.
- No se utilizan canales inseguros (como WhatsApp o email sin cifrado) para el envío de documentación personal sensible.
- Se aplican principios alineados con el Esquema Nacional de Seguridad (ENS) en nivel básico, adoptando medidas proporcionales al riesgo.
Objetivo de la Política
El objetivo de la Política de Seguridad de los Sistemas de Información es doble:
Por un lado, consiste en definir el marco de referencia que permita salvaguardar las características de seguridad de los activos que dan soporte a los procesos del Despacho Pereira. Y ello, en base a los resultados del análisis de riesgos realizado, a los requisitos estratégicos del negocio alineados con los requisitos de seguridad, así como a los requisitos legales y contractuales. Esta Política de Seguridad sirve para establecer los principios fundamentales de seguridad de los Sistemas de Información que se desarrollan en las normas, procedimientos, instrucciones técnicas, registros u otros documentos necesarios para especificar el uso de la información, de los sistemas y de los activos que los soportan.
Por otro, la Política de Seguridad de la Información del Despacho Pereira tiene como objetivo establecer las medidas de seguridad de naturaleza organizativa, física y lógica que se consideran adecuadas para salvaguardar las características de seguridad de los activos mencionados, partiendo del presupuesto de que la seguridad debe ser concebida como un proceso integral transversal (que comprende todos los elementos técnicos, humanos, materiales y organizativos relacionados con los sistemas de información y comunicaciones), y no debe entenderse como un gasto en la gestión, sino como una inversión en evitar impactos negativos sobre el negocio.
Ámbito de aplicación
Esta Política se aplica a los Sistemas de Información referentes al proceso de clientes que trata el Despacho Pereira en el desarrollo de sus actividades. Cualquier normativa, procedimiento o documento interno que trate algún aspecto particular de la seguridad referida a los Sistemas de Información debe respetar y cumplir con lo establecido en esta Política.
La Política establecida es aplicable a todos los colaboradores y terceros relacionados con las actividades y procesos de negocio definidos dentro del alcance del SGSI, que dan soporte a los procesos relacionados con clientes del Despacho Pereira (en adelante, “usuarios de la información” o, simplemente, “usuarios”).
Principios fundamentales de la Política de Seguridad
- Principio de cumplimiento normativo: todos los sistemas de información se ajustarán a la normativa de aplicación legal regulatoria y sectorial que afecte a la seguridad de la información, en especial aquellas relacionadas con la protección de datos de carácter personal, seguridad de los sistemas, datos, comunicaciones y servicios electrónicos.
- Principio de gestión del riesgo: se deben minimizar los riesgos hasta niveles aceptables y buscar el equilibrio entre los controles de seguridad y la naturaleza de la información. Los objetivos de seguridad deben ser establecidos, ser revisados y coherentes con los aspectos de seguridad de la información.
- Principio de concienciación y formación: se articularán programas de formación, sensibilización y campañas de concienciación para todos los usuarios con acceso a la información, en materia de seguridad de la información.
- Principios de confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad:
- Se debe garantizar la confidencialidad de la información, de tal manera que solo tengan acceso a la misma las personas autorizadas.
- Deberá asegurarse la integridad de la información, de modo que sea concisa y precisa, incidiéndose en la exactitud, tanto de su contenido como de los procesos involucrados.
- Se debe garantizar la disponibilidad de la información, asegurándose la continuidad del negocio soportado por los servicios de la información mediante planes de contingencias.
- Se debe garantizar la trazabilidad de la información, para asegurar que las actuaciones de una entidad (persona o proceso) puedan ser trazadas de forma indiscutible hasta dicha entidad.
- Se debe garantizar la autenticidad de la información, para asegurar la identidad de la entidad (persona o proceso) que trata dicha información.
- Principio de proporcionalidad: la implantación de controles que mitiguen los riesgos de seguridad de los activos debe hacerse buscando el equilibrio entre las medidas de seguridad, la naturaleza de la información y riesgo.
- Principio de responsabilidad: todos los miembros del Despacho Pereira deben ser responsables en su conducta en cuanto a la seguridad de la información, cumpliendo con las normas y controles establecidos.
- Principio de mejora continua: se revisará de manera recurrente el grado de eficacia de los controles de seguridad implantados en el despacho para aumentar la capacidad de adaptación a la constante evolución del riesgo y del entorno tecnológico.
Plan de continuidad
El Despacho Pereira dispone de un plan de continuidad básico para garantizar la disponibilidad de sus servicios. En concreto, se ha establecido:
- Plan de continuidad de negocio.
- Plan de recuperación ante desastres.
El Plan de Continuidad del Despacho Pereira está diseñado para respaldar la operación continua en actividades clave, reducir el daño y el impacto de incidentes inesperados en los servicios y mejorar la capacidad de recuperación.
Notificación de incidencias
De conformidad con el artículo 33 del Real Decreto 311/2022, de 3 de mayo, el Despacho Pereira notificará a sus clientes aquellas incidencias que tengan un impacto significativo en la seguridad de la información manejada y de los servicios prestados.
Obligaciones de terceros
Cualquier tercero que acceda a información del Despacho Pereira, en el marco de una prestación de servicios, deberá conocer esta Política de Seguridad y la normativa asociada, y comprometerse al debido cumplimiento de las obligaciones derivadas de ella, pudiendo desarrollar en su caso sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se exigirá que el personal de esos terceros esté adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política de Seguridad.
Contacto
Si necesita cualquier información adicional sobre nuestra política de seguridad o tiene alguna sugerencia al respecto, puedes contactar con nosotros en el correo electrónico: Despachopereira@outlook.es
