POLÍTICA DE SEGURETAT DE LA INFORMACIÓ
1. Introducció.
Aquest document recull la Política General de Seguretat de la Informació de les empreses que integren el Grup GVC GAESCO (GVC Gaesco Holding, GVC Gaesco Valores, GVC Gaesco Gestión, GVC Gaesco Pensiones i GVC Gaesco Correduría), d’ara endavant GVC GAESCO, entesa com els principis bàsics d’actuació i ordenació de l’organització en matèria de Seguretat de la Informació. S’entendrà la Seguretat com un procés integral constituït per tots els elements tècnics, humans, materials i organitzatius relacionats amb els sistemes d’informació, excloent-hi qualsevol tipus d’actuació puntual o de tractament conjuntural.
La resta de documents relacionats amb la Seguretat de la Informació del Grup GVC GAESCO s’alinearan amb les directrius contingudes en aquesta Política General de Seguretat de la Informació.
La progressiva transformació digital de la nostra societat, l’impacte en sectors estratègics, com el sector financer, el nou escenari de ciberseguretat i l’avenç de les tecnologies d’aplicació produeixen canvis notables a nivell internacional. Així mateix, s’ha evidenciat que els sistemes d’informació estan cada vegada més exposats a la materialització de les amenaces del ciberespai, amb un notable augment dels ciberatacs, tant en volum i freqüència com en sofisticació, amb agents i actors amb més capacitats tècniques i operatives; amenaces que es produeixen en un context d’alta dependència de les tecnologies de la informació i de les comunicacions a la nostra societat i de gran interconnexió dels sistemes d’informació.
2. Objectiu
L’objectiu d’aquesta Política General de Seguretat de la Informació és establir un marc normatiu comú al Grup GVC GAESCO que permeti la identificació, desenvolupament i implantació de les mesures tècniques i organitzatives necessàries per garantir la seguretat i protecció de la informació, la privacitat de les persones incloses, així com dels sistemes d’informació que donen suport a l’activitat del Grup GVC GAESCO.
3. Difusió
Aquest document es publicarà a la intranet del Grup GVC GAESCO i es comunicarà a totes les parts interessades, especialment al personal intern que gestiona els actius d’informació del Grup GVC GAESCO.
Així mateix, es durà a terme una publicació d’aquest document al lloc web del Grup GVC GAESCO per tal que pugui ser compartit amb les parts interessades externes de l’organització.
4. Compromís de la Direcció
La informació, especialment les dades personals dels empleats, clients i proveïdors, així com els sistemes que li donen suport, constitueixen actius estratègics per a GVC GAESCO, que desitja protegir-los davant amenaces com errors, sabotatges, terrorisme, extorsió, espionatge industrial, vulneracions de la privacitat, interrupcions del servei i catàstrofes naturals, amb la finalitat de garantir l’assoliment eficient i efectiu dels objectius de negoci definits.
La Direcció es compromet a liderar i promoure la seguretat a tots els nivells, d’acord amb la Política de Seguretat i els objectius que hi estan definits.
5. Política
a) Àmbit
El Grup GVC GAESCO protegeix els recursos implicats en la gestió de la informació relacionada amb el normal desenvolupament de les seves funcions, complint amb la legislació vigent, preservant la confidencialitat i privacitat de la informació i garantint la disponibilitat, integritat i conservació. Aquests objectius també es traslladen als sistemes d’informació utilitzats per al desenvolupament de la seva activitat.
És voluntat del Grup GVC GAESCO establir condicions de confiança en l’ús de mitjans electrònics i la prestació continuada dels seus serveis, adoptant les mesures necessàries encaminades a protegir els sistemes d’informació de l’organització d’aquelles amenaces a les quals estiguin exposats, amb la finalitat de garantir la seguretat dels sistemes d’informació, minimitzar els riscos i consolidar així les bases per prevenir, detectar, reaccionar i recuperar-se de possibles incidents que es puguin produir.
Aquesta Política General de Seguretat de la Informació s’aplica a tot l’àmbit d’actuació del Grup GVC GAESCO, és a dir:
- Tots els recursos, serveis i processos de negoci que constitueixen el Grup GVC GAESCO. D’aquesta manera, s’aplicarà a tots els sistemes d’informació implicats en la prestació de serveis i a tots aquells sistemes que donen suport a les diferents funcions i responsabilitats del Grup GVC GAESCO.
- A tots els usuaris, ja siguin interns o externs, directament o indirectament vinculats al Grup GVC GAESCO que facin ús dels sistemes descrits al punt anterior.
b) Objectius de la Seguretat de la informació
Els objectius a assolir són:
- Garantir, assegurar i implementar les mesures de seguretat adients i necessàries sobre tots els recursos, processos, funcions i serveis directament i indirectament relacionats amb usuaris interns i externs, i amb clients, proveïdors, col·laboradors o altres tercers, amb la finalitat de garantir la disponibilitat, confidencialitat i integritat de la informació, i el compliment de la legislació aplicable.
- Garantir la continuïtat, seguretat i qualitat dels serveis oferts.
- Implementar i mantenir processos de millora contínua per afavorir l’eficiència i eficàcia de les mesures de seguretat de la informació.
- Reduir al màxim les possibilitats que es produeixin incidents de seguretat i minimitzar l’impacte dels incidents de seguretat en cas que es produeixin.
- Disposar dels mitjans pels quals els diferents usuaris dels serveis i processos del Grup GVC GAESCO facin un bon ús de la informació, sistemes i recursos d’informació utilitzats en el desenvolupament de les seves funcions, obligacions i responsabilitats, així com aquells que no comprometin la seguretat de la informació del Grup GVC GAESCO.
- Alinear-se amb les millors pràctiques i estàndards internacionals en matèria de seguretat de la informació i/o ciberseguretat vigents en cada moment.
- Aplicar les mesures de seguretat adients sobre la informació i les dades personals tractades per mitjans electrònics i en paper que el Grup GVC GAESCO gestioni en l’àmbit de les seves competències. Aquesta informació estarà regulada pel Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades i per la Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i de garantia dels drets digitals (LOPDGDD).
D’acord amb els objectius esmentats, aquesta Política General de Seguretat de la Informació cerca l’adopció dels següents principis de seguretat, garantint:
- Disponibilitat: la informació i els sistemes d’informació es poden utilitzar en el temps i de la manera requerida.
- Confidencialitat: només accediran a les dades i als sistemes d’informació les persones degudament autoritzades.
- Integritat: exactitud de la informació i dels sistemes d’informació contra alteració, pèrdua o destrucció, ja sigui accidental o fraudulenta.
- Legalitat: la informació es tracta d’acord amb el marc normatiu.
- Formació: de conformitat amb el principi de seguretat integral, garantir un nivell adient de conscienciació i capacitació en matèria seguretat de la informació a tot el personal de l’organització.
- Gestió d’incidències: l’anàlisi i gestió dels riscos com a part essencial del procés de seguretat de l’organització, mantenint l’entorn controlat i minimitzant els riscos, d’acord amb les mesures de prevenció, detecció, reacció i recuperació, i establint protocols per a l’intercanvi d’informació relacionada amb les incidències.
c) Compliment Normatiu
Aquesta Política General de Seguretat de la Informació i la resta de documentació associada s’alineen amb l’àmbit jurídic vigent de les lleis, reglaments i normatives que siguin d’aplicació al Grup GVC GAESCO, respecte de qualsevol àmbit material o territorial.
Per a més informació, revisa el document Compliment requisits legals.
d) Aplicació dels recursos
La Direcció del Grup GVC GAESCO manifesta el seu compromís de garantir, dins del seu àmbit de funcions i responsabilitats, la provisió dels recursos necessaris per implementar i mantenir els processos relacionats amb la seguretat de la informació del Grup GVC GAESCO i la seva millora contínua. Tot això amb la finalitat d’aconseguir els objectius estratègics, la difusió, consolidació i compliment d’aquesta Política General de Seguretat de la Informació, així com implementar també els mecanismes de distribució i publicació oportuns perquè en puguin tenir coneixement els diferents usuaris afectats.
e) Rols i responsabilitats
Qualsevol usuari afectat per aquesta Política tindrà l’obligació de:
- Complir en tot moment amb la Política General de Seguretat de la Informació, les normes, els procediments i les instruccions de Seguretat de la Informació de l’Organització.
- Tenir un paper actiu en la ciberseguretat de qualsevol actiu que estigui subjecte a protecció en l’àmbit d’aquesta Política.
- Mantenir el secret professional i la confidencialitat respecte a la informació de l’Organització.
- Informar, d’acord amb la normativa corresponent, de situacions sospitoses o anòmales, incidències de seguretat, i no conformitats o vulneracions de seguretat dels sistemes i/o actius d’informació de l’organització.
La responsabilitat general de la Seguretat de la Informació recau en la persona que té assignades les funcions del Responsable del Sistema de Gestió de Seguretat de la Informació (SGSI)
En relació a l’incompliment de la Política General de Seguretat de la Informació del Grup GVC GAESCO i de la resta de documents relacionats amb la seguretat de la informació, per part de qualsevol persona a qui siguin aplicables i que posi en risc la seguretat de la informació en qualsevol de les seves dimensions, la Direcció del Grup GVC GAESCO es reserva el dret d’iniciar les actuacions corresponents segons els codis i normes internes de comportament i el marc legal vigent.
f) Control de compliment
El grau d’aplicació d’aquesta política es mesurarà periòdicament (com a mínim, anualment) mitjançant autoavaluacions coordinades pel responsable del SGSI i mitjançant auditories internes o externes (com a mínim, anualment), i sempre que hi hagi canvis substancials als sistemes d’informació del Grup GVC GAESCO. L’aprovació d’aquesta política es duu a terme en la Revisió per la Direcció, indicada en el SGSI.
g) Normativa de Seguretat de la Informació
Aquesta Política de Seguretat de la Informació estarà recolzada i complementada per un conjunt de documents específics. Aquests documents s’anomenen Reglament de Seguretat de la Informació i es basaran en les millors pràctiques del mercat i s’alinearan amb les necessitats específiques del Grup GVC GAESCO.
h) Classificació de la informació
Tota la informació s’ha de classificar en virtut de la seva importància per a l’organització i s’ha de tractar d’acord amb aquesta classificació, segons allò establert a la Classificació de la informació.
i) Auditoria
Els sistemes d’informació se sotmetran periòdicament a auditories internes o externes amb la finalitat de verificar el correcte funcionament de la seguretat que hi estigui implantada, determinant graus de compliment i recomanant mesures correctores.
j) Proveïdors i tercers
Totes les adquisicions rellevants de béns o serveis o que tinguin un impacte en els serveis o sistemes del Grup GVC GAESCO estaran subjectes a un procés d’anàlisi de riscos.
Els requisits de seguretat de la informació per a la mitigació dels riscos associats al proveïdor hi han de ser acordats amb aquest i documentats, així com seguir el que estableix les normatives de seguretat establertes i que complementen aquesta política.
k) Responsabilitats per incompliment
L’incompliment d’aquesta Política i de la Normativa que se’n derivin tindrà la consideració de falta greu, donant lloc a l’aplicació de la normativa de Règim Disciplinari sense perjudici d’altres responsabilitats que es puguin derivar.
De la mateixa manera, qualsevol membre col·laborador, subcontractista o consultor que no compleixi amb aquesta Política estarà subjecte al trasllat fora de les instal·lacions del Grup GVC GAESCO i a l’extinció de la relació amb l’Organització.
l) Gestió d’excepcions
Qualsevol excepció a aquesta Política de Seguretat de la Informació s’ha de registrar i comunicar al gestor del SGSI del Grup GVC GAESCO. Aquestes excepcions s’analitzaran per avaluar el risc que podrien introduir a la societat i, en funció de la categorització d’aquests riscos, aquests han de ser assumits pel sol·licitant de l’excepció juntament amb els responsables del negoci.
m) Canvi climàtic
El Grup GVC Gaesco ha dut a terme l’anàlisi dels serveis prestats per l’organització, així com l’operativa habitual per a la seva prestació i no s’han trobat aspectes que puguin influir en el canvi climàtic del planeta, més enllà dels generats pels sistemes de climatització i emissions de vehicles que presten servei a l’organització, en ambdós casos, complint amb els requisits legals establerts.
S’ han analitzat els requisits de les parts interessades sense trobar-ne cap específicament relacionat amb el canvi climàtic.
D’acord amb ambdues anàlisis es conclou que no és necessari aplicar mesures més enllà dels requisits legals estàndards establerts.
n) Aprovació i revisió
La Política General de Seguretat de la Informació és aprovada formalment pels Òrgans de Gestió d’Administració de les Societats que integren el Grup GVC GAESCO, quedarà reflectida a les actes corresponents i estarà vigent fins que sigui substituïda per una nova versió. Així mateix, serà revisada anualment i sempre que es produeixin canvis significatius que ho requereixin, amb la finalitat d’adaptar-la a les noves circumstàncies tècniques i/o organitzatives, evitant que resti obsoleta.
A aquests efectes, es revisarà periòdicament la seva idoneïtat, oportunitat i precisió. Les modificacions que es puguin produir seran proposades pel responsable del SGSI per a la seva validació.
o) Entrada en vigor
La Política de Seguretat de la Informació entrarà en vigor a partir del mateix dia de la seva publicació a la Intranet de l’empresa i distribució a tots els elements que n’estiguin afectats.
Aprovat pel Consell d’Administració amb data 26/03/2024