Política de seguridad

POLÍTICA DE SEGURIDAD

 

1.- APROBACIÓN Y ENTRADA EN VIGOR

Texto (extracto) aprobado el día 28 de marzo de 2023. Esta Política se Seguridad de la Información es efectiva desde dicha fecha y hasta que sea reemplazada por una nueva Política.

 

2.- INTRODUCCIÓN

EUROVALORACIONES S.A. depende de los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o los servicios prestados.

El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con prontitud y diligencia a los incidentes.

Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que los departamentos deben aplicar las medidas mínimas de seguridad exigidas por la norma UNE ISO/IEC 27001, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

Los diferentes departamentos deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC.

Los departamentos deben estar preparados para prevenir, detectar, reaccionar y recuperarse de incidentes, de conformidad con la normativa de seguridad.

 

3.- ALCANCE

El Alcance General de los sistemas de información asociados a los procesos de negocio que están sujetos a certificación de la norma UNE ISO/IEC 27001 es el siguiente: “Servicios de tasación y valoración de bienes muebles e inmuebles”.

 

4.- MISIÓN, COMPROMISO Y LIDERAZGO

La Dirección de EUROVALORACIONES S.A. se compromete a facilitar y proporcionar los recursos necesarios para el establecimiento, implantación, mantenimiento y mejora del Sistema de Gestión de la Seguridad de la Información, así como a demostrar liderazgo y compromiso respecto a este, a través de la constitución del Comité de Seguridad, de sus funciones y responsabilidades. Es misión de esta Dirección:

  • Mantener el pleno cumplimiento legal.
  • Fomentar los planes de formación y concienciación.
  • Mantener unos óptimos niveles reputacionales.
  • Gestionar de forma eficaz y efectiva los incidentes de seguridad.
  • Desarrollar una adecuada política comunicativa y transparente.
  • Con carácter general, preservar la confidencialidad, integridad y disponibilidad de la información.

Este compromiso se extiende a las partes interesadas descritas en el contexto del SGSI, para satisfacer sus intereses y expectativas en seguridad de la información.

 

5.- MARCO NORMATIVO

EUROVALORACIONES S.A. está sujeto, a título enunciativo y no limitativo, a las siguientes normativas y regulaciones:

 Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
 Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
 Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
 Real Decreto Legislativo 1/1996, de 12 de abril, Ley de Propiedad Intelectual.
 Real Decreto-legislativo 28/2020, de 22 de septiembre, de trabajo a distancia.
 Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.
 Ley 41/2007, de 7 de diciembre, que modifica la Ley 2/1981, de 25 de marzo, de Regulación del Mercado Hipotecario y otras normas del sistema hipotecario y financiero, de regulación de las hipotecas inversas y el seguro de dependencia y por la que se establece determinada norma tributaria (BOE de 8).
 Real Decreto 775/1997, de 30 de mayo. Régimen Jurídico de Homologación de los Servicios y Sociedades de Tasación (BOE de 13 de junio).
 Orden ECO/805/2003, de 27 de marzo, sobre normas de valoración de bienes inmuebles y de determinados derechos para ciertas finalidades financieras (BOE de 9 de abril) (corrección de errores, BOE de 20 de mayo).
 Circular n.º 3/1998, de 27 de enero, del Banco de España. Sociedades y servicios de tasación homologados. Información a rendir al Banco de España (BOE de 13 de febrero).
 Circular 7/2010, de 30 de noviembre, del Banco de España, a entidades de crédito, sobre desarrollo de determinados aspectos del mercado hipotecario. (BOE de 6 de diciembre de 2010)

 

6.- OBJETIVOS DE SEGURIDAD DEL SGSI

EUROVALORACIONES S.A., para lograr el cumplimiento de su cuerpo principal y de su anexo A, que recogen los principios básicos y de los requisitos mínimos, ha implementado diversas medidas de seguridad proporcionales a la naturaleza de la información y los servicios a proteger y teniendo en cuenta su análisis de riesgos y su declaración de aplicabilidad.

 

7.- OBLIGACIONES DEL PERSONAL

Todos los miembros de EUROVALORACIONES S.A. tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad, siendo responsabilidad del Comité de Seguridad disponer los medios necesarios para que la información llegue a los afectados.

Todos los miembros de EUROVALORACIONES S.A. atenderán a una sesión de concienciación en materia de seguridad TIC al menos una vez al año. Se establecerá un programa de concienciación continua para atender a todos los miembros de EUROVALORACIONES S.A., en particular a los de nueva incorporación.

Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.

 

8.- TERCERAS PARTES

Cuando EUROVALORACIONES S.A. preste servicios a terceros, se les hará partícipes de esta Política de Seguridad de la Información, se establecerán canales para reporte y coordinación de los respectivos Comités de Seguridad y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

Cuando EUROVALORACIONES S.A. subcontrate servicios con terceros o ceda información a terceros, en el marco de una prestación de servicios a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política.

Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.