POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

1. Finalidad

La presente Política, aprobada por el Consejo de Administración, establece los principios y directrices con los que Acuerdo Servicios Jurídicos protegerá su información, de conformidad con la normativa aplicable y sus valores éticos.

Acuerdo velará por la protección de la información, independientemente de la forma en la que esta se comunique, comparta, proyecte o almacene (en adelante, la «Información»). Esta protección afecta tanto a la información existente dentro de la organización como a la información compartida con terceros.

En este sentido, se entiende por Seguridad de la Información, la salvaguarda y protección de la Información titularidad de Acuerdo, con independencia de que se encuentre en sistemas propios o de terceros; y la información titularidad de terceros, que se encuentre en los sistemas de Acuerdo.

A los efectos de la presente Política, se entiende por Sistemas de Información el conjunto de tecnologías o medios tecnológicos, propios o de terceros que gestionen, almacenen o transmitan Información (incluyendo tecnologías en la nube o similares).

2. Ámbito de aplicación y alcance

La presente Política se aplicará a los servicios de recobro en vía extrajudicial y judicial de Acuerdo Servicios Jurídicos, y vinculará a todo su personal, independientemente de la posición y función que desempeñe según el Contexto de la organización.

La aplicación de la Política podrá hacerse extensiva, total o parcialmente, a cualquier otra persona física y/o jurídica vinculada con Acuerdo por una relación distinta de la laboral cuando ello sea posible por la naturaleza de la relación y resulte conveniente para el cumplimiento de la finalidad de aquella.

Asimismo, la aplicación de esta Política es complementaria a otras normas internas de obligado cumplimiento, como la Política de Cumplimiento en Materia de Protección de Datos Personales y Privacidad, y todas aquellas relacionadas con la privacidad de la información.

3. Objetivos

La presente Política constituye el marco sobre el que Acuerdo define las pautas de una protección eficaz de la información y tiene los siguientes objetivos:

• Garantizar el grado de confidencialidad necesario a cada clase de Información.
• Mantener la Integridad de la información, de modo que no sufra alteraciones con respecto al momento en que haya sido generada por los propietarios o responsables de la misma.
• Asegurar la disponibilidad de la Información, en todos los soportes y siempre que sea necesaria, asegurando la continuidad del negocio y el cumplimiento de cuantas obligaciones sean exigibles a Acuerdo.

4. Principios generales

La consecución de los objetivos descritos en el apartado 3 se articula a través de los siguientes principios generales:

Clasificación de la Información. La Información se clasificará en función a su valor, importancia y criticidad para el negocio, de forma que las medidas de protección se adecúen al nivel de clasificación de cada activo de información. Del mismo modo, la clasificación de los activos de Información se realizará tomando en consideración los requisitos legales, operacionales y las buenas prácticas y estándares al respecto.

Uso de los Sistemas de Información. El uso de los Sistemas estará limitado a fines lícitos y exclusivamente profesionales, para la realización de tareas relacionadas con el puesto de trabajo. En consecuencia, estos medios y sistemas no están destinados para uso personal ni podrán utilizarse para ninguna finalidad ilícita.

Segregación de funciones. Se deberán evitar las concentraciones de riesgos derivados de la ausencia de segregación de funciones y la dependencia unipersonal de funciones críticas para el negocio.

En este sentido, se deberán establecer procedimientos formales para controlar la asignación de privilegios a los Sistemas de Información, de forma que los usuarios tengan acceso únicamente a los recursos e información necesarios para el desempeño de sus funciones.

Retención de la Información. Se establecerán, cuando resulte necesario o conveniente, períodos de retención de la Información por categorías atendiendo a las necesidades operativas o de cumplimiento regulatorio, así como los correspondientes procedimientos de destrucción de la Información.

Acceso a la Información por parte de terceros. Se desarrollarán los procedimientos de control de la puesta a disposición y acceso por terceros a la Información relativa a Acuerdo o de cualesquiera otros terceros relacionados con la organización.

Seguridad de la Información en los Sistemas. Los entornos de desarrollo y producción se mantendrán en sistemas independientes; si bien las bases de datos de desarrollo y producción (completamente diferenciadas) residen en el mismo servidor. Igualmente, el desarrollo y mantenimiento de los Sistemas de Información deben incluir los controles y registros necesarios para garantizar la correcta implementación de las especificaciones de seguridad.

Continuidad. Se establecerá un proceso de gestión de continuidad que permita garantizar la recuperación de la Información crítica para Acuerdo en caso de desastre, reduciendo el tiempo de indisponibilidad a niveles aceptables.

Cumplimiento. Los Sistemas de Información y comunicaciones de Acuerdo deberán estar adecuados de forma permanente a las exigencias de la legislación vigente en todas las jurisdicciones en las que opera, así como a la normativa interna de desarrollo que resulte de aplicación.

5. Responsabilidades

La responsabilidad de la protección de la Información y de los Sistemas que la tratan, almacenan o transmiten se extiende a todos los niveles organizativos y funcionales de Acuerdo, cada uno en la medida que le corresponda, como se detalla a continuación:

5.1. Responsabilidades de los empleados

Todos los empleados de Acuerdo deberán conocer, asumir y cumplir la Política, así como la normativa interna de seguridad y uso de los Sistemas vigentes, estando obligados a mantener el secreto profesional y la confidencialidad de la Información manejada en su entorno laboral y debiendo comunicar, con carácter de urgencia y según los procedimientos establecidos, las posibles incidencias o problemas de seguridad que se detecten.

Los empleados que contraten servicios de terceros que impliquen el uso o acceso de estos últimos a la Información deberán entender los riesgos derivados del proceso de externalización y asegurar una gestión eficaz de los mismos.

El uso de los Sistemas o servicios digitales por parte de los empleados, incluyendo expresamente el correo electrónico y los servicios de mensajería instantánea, estará limitado a fines lícitos y exclusivamente profesionales, para la realización de tareas relacionadas con el puesto de trabajo. En consecuencia, estos medios y sistemas no están destinados para uso personal ni podrán utilizarse para ninguna finalidad ilícita.

5.2. Responsabilidades en relación con proveedores y otros terceros

De forma complementaria al apartado 5.1, los contratos con terceros que impliquen el uso o acceso de estos últimos a la Información, entre los que se encuentran los de prestación de servicios o contratos de externalización, incluirán requerimientos específicos de seguridad relativos a la tecnología y las actividades de aquellos que llevan a cabo dichos servicios.

En este sentido, deberán incluir provisiones mediante las que se garantice que los proveedores, el personal subcontratado o cualquier empresa externa que utilice o acceda, de manera potencial o real, a la Información (a través de los Sistemas o de cualquier otro medio, como se expone en el apartado 1), deberán conocer y cumplir la Política en lo que les sea de aplicación, estando obligados a mantener el secreto profesional y la confidencialidad de la Información manejada en su relación con Acuerdo.

5.3. Departamento de Seguridad de la Información

El Departamento de Seguridad de la Información ejercitará su función de control de manera independiente y es su responsabilidad implementar esta Política y monitorizar su cumplimiento, así como el de todos los requerimientos derivados de las leyes, normas y buenas prácticas en materia de seguridad de la Información que sean de aplicación. Por ello, es responsable de:

• Implementar una estrategia de seguridad de la Información que vele por el cumplimiento de los principios básicos de esta Política, y en particular que dé cobertura a los siguientes aspectos:
  1. Adecuado acceso a la Información, basado en el principio de mínimo privilegio y la aprobación del dueño del activo de Información.
  2. Segregación adecuada de roles y funciones en los Sistemas de Información.
  3. Correcta configuración, administración y operación de la infraestructura, servicios y/o del software utilizado en todos los procesos de negocio tanto dentro como fuera de las instalaciones de Acuerdo.
  4. Correcta implementación de los requisitos de seguridad durante el ciclo de vida de los Sistemas de Información que dan soporte a los procesos de Acuerdo.
  5. Protección de los Sistemas y la Información que soportan frente a amenazas físicas o ambientales, en atención a su criticidad, que permita identificar, evaluar, prevenir y responder a cualquier riesgo que pueda comprometer su seguridad.
• Establecer y revisar los controles correspondientes para asegurar el cumplimiento de esta Política y su normativa de desarrollo, incluyendo los mecanismos organizativos y tecnológicos necesarios para facilitar la monitorización continua de las actividades del acceso y uso de los Sistemas, servicios o Información gestionados por Acuerdo.
• Prevenir, detectar y responder ante cualquier incidente en materia de Seguridad de la Información.
• Establecer un enfoque de mejora continua.
• Velar por el cumplimiento con la legislación vigente en el ámbito de las competencias que le atribuye la presente Política.

5.4. Comité de Seguridad de la Información

Acuerdo creará un Comité de Seguridad de la Información integrado por miembros de la Dirección que, en cumplimiento del Reglamento, tiene por objetivo asegurar que las buenas prácticas sobre la gestión de la seguridad se apliquen de manera efectiva y consistente en toda la organización.

Entre otras funciones, asume la responsabilidad de supervisar la estrategia de seguridad de la Información, incluyendo los planes de gasto, inversión y recursos en seguridad.

6. Implementación

Acuerdo se compromete a asignar recursos específicos para asegurar la implementación efectiva de la Política.

7. Control y auditoría

Acuerdo se reserva expresamente el derecho de adoptar, con proporcionalidad, las medidas de vigilancia y control necesarias para comprobar la correcta utilización de los Sistemas que pone a disposición de sus empleados, incluyendo el contenido de las comunicaciones y dispositivos, respetando, en todo caso, la legislación vigente y garantizando la dignidad del empleado. La comunicación y aceptación de esta Política surtirá los efectos de notificación previa al trabajador.

Asimismo, se someterá a revisiones y controles periódicos, así como auditorías internas y externas para evaluar el cumplimiento general de esta Política.

La valoración de un posible incumplimiento de esta Política se determinará en el procedimiento correspondiente, según las disposiciones vigentes, sin perjuicio de las responsabilidades legales, incluso de carácter sancionador en el ámbito laboral, que, en su caso, puedan resultar exigibles al incumplidor.

8. Comunicación de la Política

La presente Política estará disponible en intr@net para todos los empleados y para todos los grupos de interés de la organización en la web corporativa. Asimismo, la Política será objeto de las adecuadas acciones de comunicación, formación y sensibilización para su oportuna comprensión y puesta en práctica.

9. Actualización y revisión de la Política

La Política queda aprobada por la Dirección General y será revisada y actualizada cuando proceda, con el fin de adaptarla a los cambios que puedan surgir en el modelo de negocio o en el contexto donde opere Acuerdo Servicios Jurídicos, garantizando en todo momento su efectiva implantación.