Política de Seguretat de la Informació

1 Resum executiu 

En tota organització hi ha informació confidencial, en major o menor grau, la pèrdua o ús indegut pot danyar la seva reputació. Així mateix, el deteriorament o poca disponibilitat dels sistemes d’informació pot interrompre el normal desenvolupament de l’operativa, produint efectes negatius en la qualitat del servei i els beneficis de la companyia.

El principal objectiu d’aquest document és mitigar els riscos associats als sistemes d’informació de basetis descrivint el que s’espera de tot el personal que pertany a basetis i que en el desenvolupament de les seves funcions pugui tenir accés a la informació, sistemes d’informació o recursos de basetis en general, per tal de protegir la confidencialitat, integritat i disponibilitat de la informació i sistemes utilitzats per basetis.

Així mateix, es pretén fomentar l’ús de bones pràctiques en matèria de seguretat de la informació.

Per a això, les persones treballadores de basetis donen el seu compromís de complir i respectar les normes incloses en aquest document. Aquesta Política de Seguretat reflecteix requeriments legals i ètics aplicables a les actuacions dels empleats de basetis. Amb aquest propòsit es transmet les Normes que el desenvolupen i les obligacions a què està subjecta per la legislació vigent.


2 Abast 

Aquesta política és aplicable a totes les persones treballadores de basetis, així com també a les empreses proveïdores de serveis a les que els apliqui, ia tots els serveis que es duen a terme: Artificial Intelligence, Data Integration & Analytics, Design, Development , Infrastructure, Management & Business, Mobile.


3 Marc Normatiu

Es pren com a referència, la següent legislació:

      • REGLAMENT (UE) 2016/679 DEL PARLAMENT EUROPEU I DEL CONSELL, de 27 d’abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals la lliure circulació d’aquestes dades (RGPD).
      • Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals.

4 Desenvolupament metodològic

4.1 Observacions

Aquesta Política de Seguretat, propietat de basetis, està disponible per a totes les parts interessades a manera d’informació documentada i es comunica dins de l’organització.

4.2 Responsabilitats

      • El Comitè de Seguretat de la Informació és el responsable d’assegurar que la seguretat de la informació es gestiona adequadament en tota l’organització.
      • Cada membre d’àrea / team és responsable de vetllar pel resguard de la informació de l’organització, d’acord amb les normes establertes. 
      • Tots i cada un dels usuaris de sistema d’informació de basetis, són responsables de la seguretat dels actius informàtics mitjançant l’ús correcte dels mateixos, així com la seguretat de la informació i les dades que s’utilitzen segons les activitats que desenvolupen pròpies de el seu lloc de treball.

4.3  Desenvolupament de la Política de Seguretat

Política General de Seguretat de la Informació

basetis garanteix l’adequada gestió de la seguretat de la informació processada i / o albergada pels sistemes i serveis previstos en l’abast.

Per desenvolupar aquesta Política, el Comitè de Seguretat amb la col·laboració de la resta d’àrees que conformen  basetis es compromet a:

        • Dur a terme un anàlisi periòdica de riscos que permeti mantenir una adequada visió dels riscos de seguretat de la informació a què estan exposats els actius i desenvolupar les mesures necessàries per limitar i reduir aquests riscos, definint les mesures de seguretat a establir.
        • Desenvolupar una completa normativa de seguretat que reguli les condicions en què l’empresa, dins de l’abast establert, ha de desenvolupar la seva activitat per respectar els requeriments de seguretat establerts.
        • Destinar els recursos i mitjans necessaris per desenvolupar totes les mesures de seguretat que es determinin, mantenint un adequat balanç entre cost i benefici.
        • Establir un pla de formació i conscienciació en matèria de seguretat de la informació que ajudi a tot el personal implicat a conèixer i complir les mesures de seguretat establertes i participar de forma proactiva a la gestió de la seguretat de l’informació.
        • Desenvolupar totes les mesures necessàries per garantir l’adequada gestió dels incidents de seguretat que puguin produir-se, i que permetin la resolució tant de les incidències menors com de les situacions que puguin posar en risc la continuïtat de les activitats previstes.
        • Establir periòdicament un conjunt d’objectius i indicadors en matèria de seguretat de la informació que permetin l’adequat seguiment de l’evolució de la seguretat dins de l’empresa.
        • Establir una metodologia de revisió, auditoria i millora contínua del sistema, seguint un cicle PDCA que garanteix el manteniment continu dels nivells de seguretat desitjats. 

basetis estableix els procediments i formes d’actuació necessàries per garantir el correcte desenvolupament d’aquesta Política, que es plasmen en un sistema de seguretat, documentat i conegut per tot el personal de l’empresa, i que compleix els requisits establerts en la Norma.

 

Principis generals

Tal com s’ha establert en l’àmbit d’aplicació, tot el personal, tant extern com intern, que desenvolupa tasques per basetis, haurà de complir amb la Política de Seguretat recollida en el present document.

En cas d’incompliment de qualsevol d’aquestes obligacions, basetis es reserva el dret de vet sobre el personal que hagi comès la infracció, així com l’adopció de les mesures disciplinàries que es considerin pertinents recollides en el Procés Disciplinari, i que poden arribar a la dissolució de la relació laboral entre les dues parts.

Tot el personal que accedeixi als sistemes d’informació de basetis, haurà de seguir les següents normes d’actuació: 

      • Protegir la informació confidencial pertanyent o cedida per tercers a basetis de tota revelació no autoritzada, modificació, destrucció o ús incorrecte, ja sigui accidental o no .
      • Protegir tots els sistemes d’informació i xarxes de telecomunicacions contra accessos o usos no autoritzats, interrupcions d’operacions, destrucció, mal ús o robatori.
      • Per obtenir l’accés als sistemes d’informació propis o sota supervisió de basetis, serà necessari disposar d’un accés autoritzat.
      • Caldrà conèixer, acceptar i complir la present Política abans de poder accedir als sistemes d’informació de basetis. De forma addicional, tot el personal amb responsabilitats específiques dins de l’àmbit d’actuació indicat s’ha d’assegurar que es compleixen les següents mesures: 
        • (a) Amb caràcter general, tot disseny, desenvolupament, implementació i operació ha d’incorporar mecanismes d’identificació, autenticació, control d’accés, auditoria i integritat, que s’especificaran per a cada cas concret.
        • (b) S’hauran d’incorporar identificacions segures i úniques per a l’autenticació d’usuaris.
        • (c) Per a un correcte funcionament en matèria de seguretat hauran compartir les tasques de seguretat entre usuaris, administradors i els encarregats directes de la pròpia seguretat.
        • (d) S’han de prendre totes les precaucions possibles per protegir físicament els sistemes i prevenir-los davant del robatori, destrucció o interrupció.
      • (f) Hi ha d’haver un pla de recuperació de sistema per al cas en què es doni robatori, destrucció o interrupció del servei.
      • (g) S’ha d’assegurar la confidencialitat de la informació emmagatzemada, tant en format electrònic com no electrònic.
      • (h) Tots els intervinents en el pla de continuïtat de negoci (pla de recuperació davant desastres) hauran de conèixer i saber aplicar quan sigui necessari aquest pla.
      • (i) El personal de l’àrea de Systems ha de tenir coneixement dels procediments de recuperació de dades de caràcter personal, de sanitització dels suports de dades de caràcter personal i del procediment de registre entrada / sortida d’aquests suports.

 

El responsable del Sistema de Seguretat de la Informació (RSGSI) centralitza els esforços globals de protecció dels actius de basetis, per tal d’assegurar el correcte funcionament de les tecnologies de la informació que suporten els processos de l’organització. De forma genèrica, els actius inclouen tota forma d’informació, a més de les persones i la tecnologia que suporten els processos d’informació.

El responsable del Sistema de Seguretat de la Informació disposarà d’un inventari actualitzat sobre els proveïdors que comptarà amb les següents dades: nom i responsable de la contracta, telèfon i correu electrònic de contacte, responsable del contracte en basetis, activitats desenvolupades pel proveïdor del’ servei, data d’inici dels treballs i data de finalització. Per cada proveïdor, també s’ha d’informar dels usuaris i equips corporatius utilitzats. El responsable de proveïdor en basetis, ha d’informar l’àrea de Responsable de Sistema de Seguretat de la Informació quan hi hagi alteracions de qualsevol d’aquestes dades.

 

Confidencialitat de la Informació

La confidencialitat de la informació es defineix com la garantia que la informació no és divulgada de manera inadequada a entitats o processos.

Per tal de preservar-la:

      • El personal que tingui accés a informació de basetis, haurà considera que aquesta informació, per defecte, té el caràcter de Confidencial.Només es podrà considerar com a informació no confidencial aquella informació de basetis a la qual hagi tingut accés a través dels mitjans de difusió pública d’informació.
      • Els usuaris protegiran la informació confidencial a la qual tenen accés, contra revelacions no autoritzades o accidentals, modificació, destrucció o mal ús, sigui quin sigui el suport en què es trobi continguda aquesta informació.
      • Es guardarà per temps indefinit la màxima reserva i no s’emetrà a l’exterior informació confidencial en qualsevol tipus de suport, llevat que estigui degudament autoritzat.
      • S’utilitzarà el menor nombre d’informes en format paper que continguin informació confidencial i es mantindran els mateixos en lloc segur i fora de l’abast de tercers.
      • En relació a la utilització d’agendes de contactes disposades per basetis (per exemple, GmaiI) el personal únicament introduirà determinades dades personals que siguin indispensables com nom i cognoms, les funcions o llocs exercits, així com l’adreça postal o electronica, telèfon i número de fax professionals.
      • Cap col·laborador extern en projectes o treballs puntuals ha de tenir, per a usos no propis de la seva responsabilitat, cap material o informació pròpia o confiada a basetis tant ara com en el futur.
      • En el cas que, per motius directament relacionats amb el lloc de treball, l’empleat de basetis entri en possessió d’informació confidencial continguda en qualsevol tipus de suport, s’ha d’entendre que aquesta possessió és estrictament temporal, amb obligació de secret i sense que això li confereixi cap dret de possessió, titularitat o còpia sobre aquesta informació.
      • Així mateix, l’empleat de basetis haurà de retornar el o els actius esmentats immediatament després de la finalització de les tasques que han originat l’ús temporal dels mateixos i, en qualsevol cas, a la finalització de la relació amb l’organització. La utilització continuada de la informació en qualsevol format o suport diferent de la pactada i sense coneixement de basetis no suposarà, en cap cas, una modificació d’aquest punt.
      • Totes aquestes obligacions continuaran vigents després de la finalització de les activitats que el personal desenvolupa per basetis.

L’incompliment d’aquestes obligacions pot constituir un delicte de revelació de secrets, previst en l’article 197 del Codi Penal, que pot donar dret a exigir compensacions.

Per garantir la seguretat de les Dades de Caràcter Personal albergats en fitxers automatitzats, el personal haurà de seguir les normes d’actuació, a més de les consideracions ja esmentades:

      • El personal només podrà crear fitxers temporals que continguin dades de caràcter personal quan sigui necessari per a l’exercici del seu treball. Aquests fitxers temporals mai seran ubicats en unitats locals de disc dels llocs (ordinadors personals) amb el personal i han de ser destruïts quan hagin deixat de ser útils per a la finalitat per a la qual es van crear.
      • La sortida de suports informàtics que continguin dades de caràcter personal, fora dels locals en què estigui ubicada aquesta informació, únicament podrà ser autoritzada pel responsable d’aquesta informació o fitxer.
      • El propietari de la informació s’encarregarà de verificar la definició i correcta aplicació dels procediments de realització de còpies de seguretat i de recuperació de les dades. 
      • Els suports informàtics que continguin dades de caràcter personal han de permetre identificar el tipus d’informació que contenen, ser inventariats i emmagatzemar-se en un lloc d’accés restringit al personal autoritzat.

 

Informació comercialment sensible (ICS)

Les societats que realitzin activitats regulades tenen la prohibició de compartir informació comercialment sensible amb les empreses de el grup a què pertanyen, en el cas que aquestes realitzin activitats liberalitzades.

Per això, cal que en l’execució del servei contractat basetis guardi la confidencialitat de la informació comercialment sensible que les diferents empreses clients li proporcionin.

Així, per facilitar el compliment de la regulació relativa a la separació d’activitats s’inclourà en el contracte una clàusula que recull aquesta obligació per part del proveïdor.

A l’efecte d’aquest punt, es considera informació comercialment sensible qualsevol informació concreta referida a l’exercici de les activitats regulades que no sigui pública i que, de comunicar-se o haver-se comunicat a les activitats liberalitzadores, podria influir, de manera apreciable, en el resultat de el seu negoci o suposar-un avantatge competitiu en el desenvolupament de les activitats liberalitzadores que realitzen.

basetis se sotmetrà a el tractament que els clients tinguin establert per aquesta informació. Així mateix, s’ha d’assegurar que tots els mitjans humans que intervinguin en l’execució del servei respecten el deure de confidencialitat en els termes que han estat assenyalats.

 

Control d’accés físic a instal·lacions de basetis.

S’estableixen les següents normes:

      • El personal no podrà romandre ni executar treballs en àrees no definides prèviament sense supervisió.
      • Es limitarà l’accés a el personal de suport extern a les àrees de treball de basetis. Aquest accés, com el de qualsevol altra persona aliena que requereixi accedir a aquestes àrees, s’assignarà únicament quan sigui necessari i es trobi autoritzat, i sempre sota la vigilància de personal autoritzat. El sistema de control ha de mantenir un registre de tots els accessos de persones alienes.
      • S’acompanya els visitants a les oficines de basetis i el sistema registrarà la data i hora de la seva entrada i sortida. Només es permet l’accés prèvia identificació de la persona de contacte a basetis.

 

Ús apropiat dels recursos

Els recursos que basetis posa a disposició de personal, sense importar el tipus que siguin (informàtics, dades, programari, xarxes, sistemes de comunicació, etc.), estan disponibles exclusivament per a emplenar les obligacions i propòsit de l’operativa per la qual van ser dissenyats i implantats. Tot el personal usuari d’aquests recursos ha de saber que no té el dret de confidencialitat en el seu ús. Queda terminantment prohibit:

      • L’ús d’aquests recursos per a activitats no relacionades amb el propòsit de el servei, o bé l’extralimitació en el seu ús.
      • Hi o explotació de vulnerabilitats en qualsevol aplicació o equips.
      • Els equips i / o aplicacions que no estiguin especificats com a part del programari o dels estàndards dels recursos informàtics propis de basetis  o sota la seva supervisió.
      • Introduir en els sistemes d’informació o la xarxa corporativa continguts obscens, amenaçadors, immorals o ofensius.
      • Introduir voluntàriament qualsevol tipus de malware (programes, macros, applets, controls ActiveX, etc.), grayware, dispositiu lògic, dispositiu físic o qualsevol altre tipus de seqüència d’ordres que causin o siguin susceptibles de causar qualsevol tipus d’alteració o dany en els recursos informàtics. El proveïdors tindrà l’obligació d’utilitzar els programes antivirus i les seves actualitzacions per prevenir l’entrada en els sistemes de qualsevol element destinat a destruir o corrompre les dades informàtiques.
      • Intentar obtenir altres drets o accessos diferents a aquells que els hagin estat assignats.
      • Intentar distorsionar o falsejar els registres “log” dels sistemes d’informació.
      • Intentar desxifrar les claus, sistemes o algoritmes de xifrat i qualsevol altre element de seguretat que intervingui en els processos telemàtics.
      • Posseir, desenvolupar o executar programes que poguessin interferir sobre el treball d’altres usuaris, o danyar o alterar els recursos informàtics.
      • Intentar destruir, alterar, inutilitzar o qualsevol altre forma de danyar dades, programes o documents electrònics. Aquests actes poden constituir un delicte de danys, segons la legislació vigent.
      • Albergar dades de caràcter personal en les unitats locals de disc dels llocs (ordinadors personals) d’usuari.
      • Qualsevol fitxer introduït en la xarxa corporativa o en el lloc de treball de l’usuari a través de suports automatitzats, Internet, correu electrònic o qualsevol altre mitjà, ha de complir els requisits establerts en aquestes normes i, en especial, les referides a propietat intel·lectual, protecció de dades de caràcter personal i control de virus.
      • Connectar ordinadors no corporatius a la xarxa de comunicacions de basetis, excepte a l’habilitada per a això (BasetisGuests),disponible per a visites, PROVEÏDORS, etc. que necessitin d’una connexió amb accés a Internet.

 

Protecció enfront de malware

Els recursos que el treballador utilitza per a la prestació de servei a basetis hauran de seguir les següents indicacions:

      • Es mantindran els sistemes a el dia amb les últimes actualitzacions de seguretat disponibles.
      • El programari antivirus s’ha d’instal·lar i usar en tots els servidors, si escau, i en tots els ordinadors personals per reduir el risc operacional associat amb els virus o un altre programari maliciós.
      • El programari antivirus ha d’estar sempre habilitat. S’establirà una actualització automàtica dels fitxers de definició de virus tant en els ordinadors personals com servidors, si és el cas, així com de bloqueig davant de la detecció de virus informàtics.
      • Tot el programari ha d’estar correctament llicenciat o ser codi obert (open source) pel que es prohibeix expressament l’ús de programari pirata, pirates, etc.
      • En cas que sigui detectat qualsevol malware en un dels equips connectats a la xarxa de basetis, aquest equip serà desconnectat d’aquesta xarxa sense que sigui necessari avís previ. El responsable del Sistema de Seguretat de la Informació de notificar amb els mitjans disponibles a l’àrea corresponent el problema trobat i procedirà a l’eliminació de malware detectat. La connexió de nou a la xarxa corporativa ha de ser autoritzada pel responsable de Sistema de Seguretat de la Informació, la qual sol·licita tota la informació necessària sobre l’equip per tal d’assegurar la neteja de la mateixa.

 

Intercanvi d’informació

S’estableixen les següents normes:

      • Els usuaris no han d’ocultar o manipular la seva identitat sota cap circumstància.
      • En els casos en què basetis assigni un usuari genèric, es mantindrà una relació actualitzada de les persones que utilitzen aquest usuari genèric en cada moment.
      • La distribució d’informació ja sigui en format digital o paper es realitzarà mitjançant els dispositius facilitats per basetis per a aquesta comesa i amb la finalitat exclusiva de facilitar les funcions de la parada. basetis es reserva, en funció de el risc identificat, la implementació de mesures de control, registre i auditoria sobre aquests dispositius de difusió.

En relació a l’intercanvi d’informació, es consideraran no autoritzades les següents activitats:

      • Transmissió o recepció de material protegit per Copyright infringint la Llei de Protecció Intel·lectual.
      • Transmissió o recepció de tota mena de material pornogràfic, missatges o bromes d’una naturalesa sexual explícita, declaracions discriminatòries racials i qualsevol altra classe de declaració o missatge classificable com ofensiu o il·legal.
      • Transferència de fitxers a terceres parts no autoritzades de material de basetis o material que és d’alguna o altra manera confidencial.
      • Transmissió o recepció de fitxers que infringeixin la Llei de Protecció de Dades de Caràcter Personal o directrius de basetis.
      • Transmissió o recepció de jocs i / o aplicacions no relacionades amb el negoci.
      • Participació en activitats d’Internet com a grups de notícies, jocs, apostes o altres que no estiguin directament relacionades amb el negoci.
      • Totes les activitats que puguin danyar la bona reputació de basetis estan prohibides a Internet i en qualsevol altre lloc. Això es refereix també a activitats realitzades per al propi benefici econòmic de l’usuari o de terceres parts, ia activitats de naturalesa política.
      • Tota sortida d’informació que contingui dades de caràcter personal (tant en suports informàtics com en paper o per correu electrònic) només podrà ser realitzada per personal autoritzat i amb el degut permís.
      • Si el tractament de dades de caràcter personal es dugués a terme fora dels locals on està ubicat el fitxer, aquest tractament ha de ser autoritzat expressament pel responsable de l’arxiu i, en tot cas, s’ha de garantir el nivell de seguretat corresponent al tipus de fitxer tractat.
      • La transmissió de dades de caràcter personal de nivell alt a través de xarxes de telecomunicacions s’ha de fer xifrant les dades esmentades o bé utilitzant qualsevol altre mecanisme que garanteixi que la informació no sigui intel·ligible ni manipulada per tercers.

 

Ús del correu electrònic

El compte de correu electrònic té la consideració d’eina que l’organització ha d’aportar per a l’exercici dels treballs.

S’estableix el següent criteri general:

      • Cada usuari dels sistemes informàtics de basetis disposarà d’un compte de correu electrònic específica i única, assignada exclusivament a aquest usuari (xxx@basetis.com).
      • Els usuaris externs no disposaran d’una adreça de correu de basetis. 

De forma excepcional, en consideració a les circumstàncies que es justifiquin, i sempre prèvia autorització expressa, un usuari extern podria disposar d’una adreça de correu de basetis.En aquest cas, el responsable del servei i / o projecte basetis per al qual aquesta persona treballarà ha de cursar la corresponent sol·licitud davant l’equip de Systems i un cop aprovada es crea un compte de la mateixa manera que la d’un usuari intern, però s’assigna a una unitat organitzativa diferent anomenada “externals”. A efectes pràctics no hi ha diferències en els comptes. Si és necessari es restringiran els accessos a serveis. 

La utilització del correu electrònic per part dels usuaris externs estarà subjecta a les següents normes:

      • Es considera el correu electrònic una eina més de treball proveïda a l’usuari amb la finalitat de ser utilitzada d’acord amb l’ús per al qual està destinada. Aquesta consideració facultarà basetis a implementar sistemes de control destinats a vetllar per la protecció i el bon ús d’aquest recurs. Aquesta facultat, però, s’ha d’exercir salvaguardant la dignitat de l’usuari i el seu dret a la intimitat.
      • El sistema de correu electrònic de basetis no ha de ser usat per a enviar missatges fraudulents, obscens, amenaçadors o un altre tipus de comunicats similars.
      • Els usuaris no hauran de crear, enviar o reenviar missatges publicitaris o piramidals (missatges que s’estenen a múltiples usuaris).
      • No està permesa la transmissió via correu electrònic d’informació que contingui dades de caràcter personal de nivell alt, llevat que la comunicació electrònica estigui xifrada i l’enviament estigui expressament permès.
      • No està permesa la transmissió via correu electrònic d’informació confidencial de basetis  llevat que la comunicació electrònica estigui ben xifrada i l’enviament estigui expressament permès.

 

 Connectivitat a Internet

La utilització d’internet per part dels usuaris estarà subjecta a les següents normes:

      • Internet és una eina de treball. Totes les activitats a Internet hauran d’estar en relació amb tasques i activitats de treball. Els usuaris no han de buscar o visitar llocs que no serveixin com a suport al servei prestat a basetis.
      • Tot el trànsit des de i cap a Internet serà inspeccionat en recerca d’amenaces. En cas que algun equip es trobi accedint a llocs classificats com maliciosos (pornografia, joc, etc.) o aliens al negoci podrà ser desconnectat de la xarxa sense que sigui necessari avís previ.
      • basetis es reserva el dret de, en el permès pel marc legal, i sense avís previ, limitar l’accés total o parcial a Internet a partir de la xarxa informàtica i terminals de l’organització.
      • L’accés a Internet des de la xarxa corporativa es restringeix per mitjà de dispositius de control incorporats en la mateixa. La utilització d’altres mitjans de connexió haurà de ser prèviament validada i estarà subjecta a les anteriors consideracions sobre l’ús d’Internet.
      • Els usuaris no hauran de fer servir el nom, símbol, logotip de basetis o símbols similars a aquest, en cap element d’Internet (correu electrònic, pàgines web, etc.) no justificat per activitats estrictament laborals.
      • Únicament es permetrà la transferència de dades de  Internet en connexió amb les activitats del servei prestat a basetis. La transferència de fitxers no relativa a aquestes activitats (per exemple, la descàrrega de jocs d’ordinador, fitxers de so i continguts multimèdia) està prohibida, quedant expressament prohibit l’ús de programari tipus P2P o torrents.

 

Responsabilitat de l’usuari

Tot usuari, pel sol fet de ser-ho, assumeix determinades responsabilitats:

      • Cada usuari serà responsable del seu identificador (compte d’empresa) i tot el que d’ell se’n derivi, per la qual cosa és imprescindible que aquest sigui únicament conegut pel propi usuari; no ha de revelar-ho a la resta d’usuaris sota cap concepte.
      • L’usuari serà responsable de totes les accions registrades en els sistemes informàtics de basetis amb el seu identificador.
      • Els usuaris hauran de seguir les directives definides en relació a la gestió de les contrasenyes.
      • Els usuaris hauran d’assegurar que els equips quedin protegits quan estiguin desatesos.

S’establiran les següents normes de taules netes per protegir documents en paper i dispositius d’emmagatzematge extraïbles per tal de reduir els riscos d’accés no autoritzat, pèrdua i dany de la informació, tant durant l’horari normal de treball com fora d’ell mateix:

      • Emmagatzemar amb clau, quan correspongui, els documents en paper i els mitjans informàtics, en mobiliari segur quan no estan sent utilitzats, especialment fora de l’horari de treball.
      • No deixar desatesos els equips assignats a funcions crítiques i bloquejar el seu accés quan sigui estrictament necessari.
      • Assegurar la confidencialitat dels documents tant en els punts de recepció i enviament d’informació (correu postal, màquines d’escàner i fax) com en els equips de duplicat (fotocopiadora, fax i escaner).
      • La reproducció o enviament d’informació amb aquest tipus de dispositius queda sota la responsabilitat de l’usuari.
      • Els llistats amb dades de caràcter personal o informació confidencial s’han d’emmagatzemar en un lloc segur a què únicament tingui accés personal autoritzat.
      • Els llistats amb dades de caràcter personal o informació confidencial s’han d’eliminar de manera segura una vegada no siguin necessaris.

En cas d’identificar incidents o debilitats relacionades amb la seguretat de la informació, es prohibeix als usuaris la realització de proves per detectar i / o utilitzar aquesta suposada debilitat o incident de seguretat.

 

Equips d’usuari

Sobre l’equipament informàtic associat a el lloc de l’usuari s’estableixen els següents principis:

      • Tots els llocs d’usuari amb connectivitat a recursos informàtics de basetis estaran controlats per Helpdesk / Systems.
      • Cap usuari intentarà per cap mitjà transgredir el sistema de seguretat i les autoritzacions, ni disposarà d’eines que puguin realitzar-lo.
      • Es prohibeix la captura de tràfics de xarxa per part dels usuaris, tret que s’estiguin duent a terme tasques d’auditoria expressament autoritzades per l’àrea de Responsable de Sistema de Seguretat de la Informació de basetis.
      • Quan es desatengui un lloc durant un període curt de temps l’usuari haurà activar el seu bloqueig. Quan es finalitza la jornada de treball es deurà apagar l’equip.

 

Identificadors d’usuari i contrasenyes

Tot el personal que accedeix als sistemes d’informació de basetis dins del seu àmbit de treball, és responsable d’assegurar que les dades, les aplicacions i els recursos informàtics siguin usats únicament per al desenvolupament de l’operativa pròpia per la qual van ser creats i implantats .

Aquest personal està obligat a utilitzar els recursos de basetis i les dades contingudes en ells sense incórrer en activitats que puguin ser considerades il·lícites o il·legals.

Per obtenir l’accés als sistemes d’informació aquest personal ha de disposar d’un accés autoritzat (identificador d’usuari i contrasenya) sobre el qual, com a usuaris de sistemes d’informació, han d’observar els següents principis d’actuació i bones pràctiques:

      • Quan l’usuari rep el seu identificador d’accés als sistemes de basetis es considera que accepta formalment la Política de Seguretat vigent.
      • Els usuaris han de mantenir les seves credencials d’accés confidencials.
      • Tots els usuaris amb accés a un sistema d’informació disposaran d’una única autorització d’accés composta identificador d’usuari i contrasenya.
      • El primer registre on des d’equips externs és notificat el responsable del compte (equip de Systems). En aquest cas es valida amb l’usuari que ha fet el log on que efectivament va ser ell o ella. Els successius “log on” des d’aquest equip ja no són notificats perquè es considera un equip vàlid. Si aquest log on no hagués estat realitzat per l’usuari, es procedeix a investigar la causa ia un canvi de contrasenya de l’usuari.
      • Els usuaris són responsables de tota activitat relacionada amb l’ús del seu accés autoritzat.
      • Els usuaris no han d’utilitzar cap accés autoritzat d’un altre usuari, encara que disposin de l’autorització del propietari.
      • Els usuaris tindran accés autoritzat únicament a aquelles dades i recursos que necessitin per al desenvolupament de les seves funcions.
      • Els usuaris no han d’incloure contrasenyes en els processos automatitzats d’inici de sessió, per exemple, aquelles emmagatzemades en una tecla de funció o macro.
      • Les contrasenyes estan constituïdes per combinació de caràcters alfabètics i numèrics. Tot el relacionat amb les contrasenyes d’usuari es troba recollit en la Política de Control d’Accessos.
      • Els usuaris no han de revelar en cap concepte el seu identificador i / o contrasenya a una altra persona ni mantenir-la per escrit a la vista ni a l’abast de tercers.
      • Els usuaris no han d’utilitzar les mateixes contrasenyes per a ús personal i professional.
      • Els accessos autoritzats temporals es configuraran per a un curt període de temps. Un cop expirat aquest període, es desactiven els sistemes.
      • En relació a dades de caràcter personal, exclusivament el personal autoritzat per a això en el Document de Seguretat podrà concedir, alterar o anul·lar l’accés autoritzat sobre les dades i recursos, d’acord amb els criteris establerts pel responsable de l’arxiu.
      • Si un usuari té sospites que el seu accés autoritzat (identificador d’usuari i contrasenya) està sent utilitzat per una altra persona, ha de procedir immediatament a el canvi de la seva contrasenya i contactar amb l’àrea de helpdesk per notificar la incidència.

 

Software

Sobre el software s’estableixen els següents principis:

      • Tot el personal que accedeix als sistemes d’informació de basetis ha d’utilitzar únicament les versions de programari indicades i seguint les seves normes d’utilització.
      • Tot el personal té prohibit instal·lar còpies il·legals de qualsevol programa, inclosos els estandarditzats.
      • Es prohibeix l’ús de programari no validat.
      • Es prohibeix l’ús de programari sense la seva respectiva llicència.
      • Es prohibeix l’ús de programari crackejat o piratejat.

 

Gestió d’accessos

Hi ha una Política formal per al registre, concessió, alteració i revocació d’accessos als usuaris, aplicable a tots els sistemes d’Informació de basetis.

S’estableixen els següents principis:

      • Hi ha una Política formal per a la gestió dels accessos dels usuaris als sistemes.
      • S’ha d’assegurar la comunicació de les regles i responsabilitats en l’ús dels sistemes d’informació de basetis als usuaris a l’atribuir-los qualsevol accés als sistemes.
      • Per a cada sistema hi ha un conjunt de perfils i privilegis que s’atribueixen als usuaris d’acord a les seves necessitats.
      • Els privilegis d’accés als sistemes s’atribueixen als usuaris considerant les necessitats efectives per a l’exercici de les seves funcions, no havent de ser atribuïts ni per excés ni per defecte.
      • Els sistemes de basetis, per omissió, bloquegen l’accés als usuaris no autoritzats, fins que el responsable d’un sistema / aplicació no emet aquesta autorització.
      • Els privilegis d’accés als sistemes garanteixen una correcta segregació de funcions. En els casos en què no és possible garantir la segregació de funcions, estan implementats els controls compensatoris adequats.
      • Qualsevol sol·licitud d’atribució o modificació de privilegis d’accés als sistemes de basetis es realitza a través del Responsable d’Àrea i / o el RSGSI.
      • Els accessos i respectius privilegis només s’implementen en els sistemes després d’obtenir totes les aprovacions necessàries.
      • Es manté un registre formal de tots els usuaris autoritzats i respectius privilegis d’accés als sistemes de basetis.
      • Les modificacions en les necessitats d’accés als sistemes, han de portar aparellats els ajustos als drets d’accés.
      • Els privilegis d’accés als sistemes atribuïts als usuaris són revocats de forma automàtica quan acaba la seva relació professional amb basetis.
      • Es realitza una revisió periòdica per tal d’eliminar o bloquejar comptes redundants o innecessàries.
      • Els usuaris han de tenir associats, identificadors individuals (user ID), protegits per contrasenya.
      • L’ús d’etiquetes genèrics (comptes genèriques o de grup) s’ha de permetre només en casos excepcionals degudament justificats, aprovats i registrats.
      • Els comptes genèriques tenen associat un usuari individual responsable d’aquest compte.
      • La nomenclatura utilitzada en la generació dels identificadors obeeix a regles definides per basetis.
      • L’identificador d’usuari permet reconèixer la seva identitat, però mai els seus nivells de privilegis.
      • L’identificador ha de ser personal, d’ús exclusiu i únic per a tots els sistemes (quan sigui tècnicament viable).
      • Els identificadors dels usuaris que ja no tenen vincle amb basetis no poden ser atribuïts a altres usuaris.
      • En els casos d’àrees de gran rotació referides en el punt anterior, ha d’haver una aprovació formal de l’excepció pel responsable de l’àrea.
      • Per a les excepcions ha de quedar registrat i mantingut un històric de les persones associades a un user ID i el temps que duri aquesta associació (dates d’inici i de final).
      • basetis es reserva el dret de, sense avís previ, bloquejar, suspendre, modificar i monitoritzar els usuaris dels seus sistemes i els respectius privilegis d’accés.

 

Propietat intel·lectual

En relació a la Propietat Intel·lectual s’aplicaran els següents principis:

      • Els usuaris que accedeixen a Internet a partir de la xarxa informàtica i terminals de basetis són responsables de respectar els drets de propietat intel·lectual aplicables als continguts accedits.
      • Es garantir el compliment de les restriccions legals a l’ús del material protegit per normes de propietat intel·lectual.
      • Els usuaris únicament podran utilitzar material autoritzat per basetis per al desenvolupament de les seves funcions.
      • Queda estrictament prohibit l’ús de programes informàtics sense la corresponent llicència.
      • Així mateix, queda prohibit l’ús, reproducció, cessió, transformació o comunicació pública de qualsevol tipus d’obra o invenció protegida per la propietat intel·lectual sense la deguda autorització.
      • basetis únicament s’autoritzarà l’ús de material produït pel mateix, o material autoritzat o subministrat a el mateix pel seu titular, conforme els termes i condicions acordades i el que disposa la normativa vigent.

 

 Incidències

En cas de detectar-se alguna incidència relacionada amb els sistemes d’informació es seguiran les següents normes:

      • Tot el personal ha de posar-se en contacte amb el responsable del Sistema de Seguretat de la Informació (RSGSI) en cas que detecti qualsevol incidència relacionada amb la informació o els recursos informàtics de basetis que pugui afectar el SGSI.
      • Qualsevol usuari podrà traslladar al Responsable de Sistema de Seguretat de la Informació (RSGSI) a (iso27001@basetis.com) suggeriments i / o debilitats, que pugui tenir relació amb la seguretat de la informació i les directrius contemplades en la present Política.
      • S’haurà de notificar el responsable de Sistema de Seguretat de la Informació qualsevol incidència que es detecti i que afecti o pugui afectar la seguretat de les dades de caràcter personal: pèrdua de llistats i / o disquets, sospites d’ús indegut de l’accés autoritzat per altres persones, recuperació de dades, etc.
      • basetis centralitza la recollida, anàlisi i gestió de les incidències rebudes.

4.4 Requisits de seguretat per a l’externalització

L’empresa proveïdora (PROVEÏDOR) de documentar i aplicar la sistemàtica adequada per assegurar els següents requisits:

      • El personal afectat ha de conèixer i aplicar la Política de Seguretat.
      • S’han de complir els requisits reglamentaris i normatius aplicables.
      • basetis facilitarà al proveïdor un document amb les directrius a seguir per a la connexió a la seva xarxa corporativa i la instal·lació dels llocs de treball.
      • La llista d’usuaris autoritzats i el registre d’accessos estaran disponibles per a la seva verificació per part de l’responsable de l’servei.
      • L’accés ocasional a les instal·lacions de persones no autoritzades haurà de quedar registrat. Aquestes persones estaran degudament identificades i acompanyades en tot moment per personal autoritzat.
      • El responsable de l’servei per part de basetis podrà verificar aquestes condicions personalment o delegar en una altra persona de basetis o en una altra empresa especialitzada. S’ha de facilitar l’accés per als aspectes relacionats amb auditories internes o externes quan basetis ho consideri convenient.
      • El PROVEÏDOR notificarà el responsable de Sistema de Seguretat de la Informació (iso27001@basetis.com) si s’ha produït una bretxa de seguretat o qualsevol canvi en el sistema de seguretat en el moment en què es detecti. Aquesta bretxa serà presa com una no conformitat segons el seu sistema de Seguretat de la Informació ISO 27001.
      • El sistema ha de tenir en compte la Política de devolució / destrucció de les dades i actius un cop finalitzat el servei. En cas de detectar algun incompliment d’aquests requisits, serà registrat en el seu sistema de Seguretat de la Informació ISO 27001 on s’establiran les accions correctives i preventives pertinents i es donarà seguiment de la mateixa fins al seu tancament en un termini màxim acordat amb el responsable de l’ servei.

 

basetis es reserva el dret d’exigir:

      • La implementació de qualsevol mecanisme que basetis consideri necessari per garantir la seguretat d’accés a les seves dades i actius. Així mateix, podrà exigir les penalitzacions i / o les garanties apropiades en funció dels riscos d’incompliment o deteriorament dels actius de el servei.
      • La presència i col·laboració, de totes les empreses col·laboradores i proveïdores i el seu millor ajuda en la restauració -sota la coordinació directa de basetis – de l’activitat normal de les seves operacions de negoci, després que aquestes hagin estat interrompudes per una emergencia o desastre.
      • La tinença de polítiques i plans de continuïtat de negoci o contingències que permetin assegurar la continuïtat de les activitats d’aquestes companyies en el cas que es veiessin afectades per una catàstrofe o situació de desastre. De la mateixa manera, basetis es reserva el dret d’auditar l’existència i grau d’implantació dels esmentats plans.

 

4.5  Seguiment i control (Millora contínua)

EL SGSI de basetis ha de millorar contínuament la idoneïtat, adequació i la seva eficàcia mitjançant les auditories internes i externes, la Revisió per la Direcció, l’anàlisi dels riscos, les No Conformitats, i les accions correctives, entre altres eines pròpies de el sistema de gestió .

Per aquesta raó per assegurar aquesta millora, i vetllar pel correcte ús dels esmentats recursos, a través dels mecanismes formals i tècnics que es consideri oportuns basetis comprovarà, ja sigui de forma periòdica o quan per raons específiques de seguretat o de el servei resulti convenient, la correcta utilització d’aquests recursos per tots els usuaris. En cas d’apreciar que algú utilitza incorrectament aplicacions i / o dades, principalment, així com qualsevol altre recurs informàtic, se li comunicarà tal circumstància i se li facilitarà, si escau, la formació necessària per al correcte ús dels recursos.

En cas d’apreciar mala fe en la incorrecta utilització de les aplicacions i / o dades, principalment, així com qualsevol altre recurs informàtic, basetis exercirà les accions que legalment li emparin per a la protecció dels seus drets.


5 Actualització de la Política de Seguretat

A causa de la pròpia evolució de la tecnologia, les amenaces de seguretat ia les noves aportacions legals en la matèria, basetis es reserva el dret a modificar aquesta Política quan sigui necessari.

La revisió inclourà oportunitats d’avaluació per millorar la política i un acostament a la gestió de seguretat d’informació en resposta als canvis de l’ambient organitzacional, circumstàncies del negoci, condicions legals o canvis en l’ambient tècnic. Es tindran en compte els resultats de les revisions de la gestió de la seguretat, però també de les activitats generals pròpies basetis rellevants per a l’abast d’aplicació de l’SGSI.

Els canvis realitzats en aquesta Política seran divulgats a totes les persones treballadores de l’organització, com també a les empreses proveïdores de serveis a les que els apliqui utilitzant els mitjans que es considerin pertinents. És responsabilitat de cada empresa proveïdora garantir la lectura i coneixement de la Política de Seguretat més recent basetis per part del seu personal.


6  Altres

6.1 Abreviatures, Acrònims i Definicions

LOPD Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals.

RSGSI Responsable del Sistema de Gestió de Seguretat de la Informació.

ICS Informació comercialment sensible.