Política de Seguridad de la Información y Continuidad Integral

El presente documento es un extracto de la Política de seguridad de la información y continuidad integral V.1.2 de DATA CENTER EUSKADI, S.L., aprobada el 03 de noviembre de 2025 por Dirección General y ratificada por el Comité de Seguridad.

Para mayor información al respecto, póngase en contacto con la organización a través del buzón rgpd@adi-dc.com..

1 INTRODUCCIÓN

DATA CENTER EUSKADI, S.L., con nombre comercial ATLANTIC DATA INFRASTRUCTURE (en adelante, aDi) depende de los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o los servicios prestados.

El objetivo de la seguridad de la información y la continuidad del negocio es garantizar que la organización pueda cumplir con sus objetivos, la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.

Los sistemas TIC están protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso imprevisto y valor de la información y los servicios. Esto se logra aplicando las medidas de seguridad exigidas por el Esquema Nacional de Seguridad y sus guías de desarrollo CCN-STIC, así como otras normativas de carácter internacional (ISO 27001 de Seguridad de la información, ciberseguridad y protección de la privacidad; ISO 22301 de Seguridad y resiliencia; y la Directiva (UE) 2022/2555 o NIS2) y demás normativa aplicable, además de realizando un seguimiento continuo de los niveles de prestación de servicios, siguiendo y analizando las vulnerabilidades reportadas, y preparando una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

aDi se cerciora de que la seguridad TIC es una parte íntegra de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación son identificados e incluidos en la planificación, en la solicitud de ofertas y en los contratos para proyectos TIC.

1.1 PREVENCIÓN

aDi vela activamente por evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello la organización implementa las medidas de seguridad y continuidad determinadas por el ENS, la ISO 27001, ISO 22301 y NIS2, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal están claramente definidos y documentados.

Para garantizar el cumplimiento de la política, aDi lleva a cabo las siguientes acciones:

  • Autorizar los sistemas antes de entrar en operación.
  • Evaluar regularmente la seguridad.
  • Solicitar la revisión periódica por parte de terceras personas con el fin de obtener una evaluación independiente.

    1.2 DETECCIÓN

    Dado que los servicios se pueden degradar rápidamente debido a incidentes, se monitoriza la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia.

    Se establecen mecanismos de detección, análisis y reporte que lleguen a las personas responsables regularmente y cuando se produce una desviación significativa de los parámetros que se hayan establecido como normales.

    1.3 RESPUESTA

    aDi lleva a cabo las siguientes medidas:

    • Establecer mecanismos para responder eficazmente a los incidentes de seguridad.
    • Designar un punto de contacto (POC) para las comunicaciones sobre incidentes.
    • Establecer protocolos para el intercambio de información sobre el incidente.

    1.4 RECUPERACIÓN

    Para garantizar la disponibilidad de los servicios críticos, aDi desarrolla planes de continuidad de los sistemas TIC como parte de su plan general de continuidad del negocio y actividades de recuperación.

    2 OBJETIVOS

    aDi ha establecido un marco de gestión de la seguridad de la información y la continuidad según lo establecido por el Real Decreto 311/2022 (ENS), ISO 27001, ISO 22301 y la Directiva (UE) 2022/2555 (NIS2.

    Uno de los objetivos fundamentales de la implantación de este marco de referencia es el asentar las bases sobre las cuales las personas trabajadoras de aDi y sus clientes puedan acceder a los servicios en un entorno de gestión seguro, anticipándonos a sus necesidades, y preservando sus derechos.

    La POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y CONTINUIDAD INTEGRAL es el instrumento en que se apoyan los recursos de aDi para alcanzar sus objetivos utilizando de forma segura los sistemas de información y las comunicaciones.

    La POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y CONTINUIDAD INTEGRAL identifica responsabilidades, y establece principios y directrices para una protección apropiada y consistente de los servicios y activos de información gestionados por medio de las Tecnologías de la Información y de las Comunicaciones (TIC).

    El objetivo es lograr una protección, proporcional al riesgo, de la información tratada por aDi, y de los sistemas, dispositivos y elementos que soportan los servicios y procesos de tratamiento, mediante la preservación de las dimensiones de seguridad de la información, es decir, su autenticidad, confidencialidad, integridad, disponibilidad, trazabilidad y conservación.

    3 ALCANCE

    Esta Política será de aplicación y de obligado cumplimiento para todas las personas trabajadoras de aDi; así como a sus proveedores, recursos y procesos afectados, ya sean internos o externos vinculados a la entidad a través de contratos o acuerdos con terceras partes.

    4 MISIÓN

    aDi da servicio a sus clientes asegurando la efectividad de sus derechos y la continua mejora de los procedimientos, servicios y prestaciones de acuerdo con las políticas fijadas por la organización. Asimismo, en aDi se tienen en cuenta los recursos disponibles, determinando de esta manera las prestaciones que proporcionan los servicios ofrecidos, sus contenidos y los correspondientes estándares de calidad.

    aDi se organiza y actúa con pleno respeto al principio de legalidad y de acuerdo con los principios de jerarquía, descentralización funcional, desconcentración, coordinación, eficacia en el cumplimiento de los objetivos fijados, eficiencia en la asignación y utilización de los recursos disponibles, transparencia, responsabilidad por la gestión y servicio efectivo a sus clientes.

    aDi hace uso de sistemas de información que son protegidos de una forma efectiva y eficiente.

    5 MARCO NORMATIVO

    aDi ha identificado y cumple con la normativa a nivel europeo, estatal, autonómico y local, así como aquella normativa específica de su sector y los estándares internacionales que regulan la seguridad de la información y continuidad del negocio. Entre ellas, destacan:

    • Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.º 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2).
    • Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas).
    • Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial y por el que se modifican los Reglamentos (CE) nº 300/2008, (UE) nº 167/2013, (UE) nº 168/2013, (UE) 2018/858, (UE) 2018/1139 y (UE) 2019/2144 y las Directivas 2014/90/UE, (UE) 2016/797 y (UE) 2020/1828 (Reglamento de Inteligencia Artificial).
    • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
    • Reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE.
    • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
    • Ley 11/2022, de 28 de junio, General de Telecomunicaciones.
    • Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza.
    • Ley 5/2014, de 4 de abril, de Seguridad Privada.
    • Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
    • Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual, regularizando, aclarando y armonizando las disposiciones legales vigentes sobre la materia.
    • Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.
    • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
    • Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual, regularizando, aclarando y armonizando las disposiciones legales vigentes sobre la materia.
    • ISO/IEC 27001:2022 – Seguridad de la información, ciberseguridad y protección de la privacidad. Sistemas de gestión de la seguridad de la información. Requisitos.
    • ISO/IEC 27002:2022 – Seguridad de la información, ciberseguridad y protección de la privacidad. Control de la seguridad de la información
    • ISO/IEC 22301:2019 – Seguridad y resiliencia. Sistema de Gestión de la Continuidad del Negocio. Requisitos.

      6 POLÍTICA DE GESTIÓN

      La Dirección de aDi acuerda que el desarrollo de las actividades de la compañía y la consecución de los objetivos estratégicos requiere garantizar, en todo momento, el cumplimiento de los niveles establecidos de seguridad de la información, en todas sus dimensiones y de manera integral, y de continuidad del negocio, para sus activos de información. Al mismo tiempo, requiere demostrar también su capacidad para proporcionar las soluciones y servicios propios de forma coherente, así como para gestionar eficientemente los servicios que ofrece a sus clientes.

      Con esta finalidad, se ha desarrollado e implantado el SGI que establece el marco de referencia para tratar de forma segura los activos de la compañía, y que garantiza la confianza y satisfacción de los clientes mediante la integración de una metodología de prestación de servicios eficiente.

      El compromiso de aDi en cuanto a la gestión de la seguridad de la información y continuidad del negocio, objetivo de la siguiente política, es el siguiente:

      • Hacer patente el compromiso de la Dirección con el SGI, con la gestión de la seguridad de la información y la continuidad del negocio, tanto propia como la de sus clientes, reflejado en la firma y difusión de la presente política.
      • Garantizar que se integran los requisitos del SGI en los procesos de negocio de la compañía.
      • Asegurar el acceso, integridad, confidencialidad, disponibilidad, autenticidad y trazabilidad de la información, y la prestación continuada de los servicios de aDi, actuando preventivamente, supervisando la actividad diaria y reaccionando con rapidez a los incidentes.
      • Disponer de las medidas necesarias para el cumplimiento de los requisitos de seguridad, continuidad y legales que sean de aplicación como consecuencia de la actividad desarrollada, en función del riesgo.
      • Asegurar que se establecen los objetivos de la seguridad de la información y continuidad del negocio, y que éstos son compatibles con el contexto y la dirección estratégica de la compañía.
      • Definir, desarrollar y poner en funcionamiento los controles necesarios promoviendo el uso del enfoque a procesos y el pensamiento basado en riesgos para garantizar el cumplimiento, en todo momento, de los niveles de riesgo aprobados por la compañía.
      • Asegurar que se toman las acciones pertinentes para la clasificación e inventariado de activos de información.
      • Establecer una estructura clara para el marco de políticas, estándares y procedimientos en materia de seguridad de la información y continuidad del negocio a ser desarrollados en la organización.
      • Identificar y asignar los roles y responsabilidades que surgen en relación con la seguridad de la información y la continuidad del negocio en la organización.
      • Establecer planes de comunicación que garanticen la comunicación y coordinación eficientes, tanto en una situación normal como en una situación de desastre que active el Plan de Continuidad del Negocio.
      • Proteger los recursos de información y a la tecnología utilizada para su procesamiento, así como la infraestructura física que los soportan, frente a amenazas internas o externas, deliberadas o accidentales, derivadas de los activos o del contexto, con el fin de asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la información. Implementar medidas de seguridad que permitan la trazabilidad de los accesos y respetar, entre otros, el principio de mínimo privilegio, reforzando también el deber de confidencialidad de las personas usuarias en relación con la información que conocen en el desempeño de sus funciones.
      • Desplegar y controlar la seguridad física haciendo que los activos de información se encuentren en áreas seguras, protegidos por controles de acceso, atendiendo a los riesgos detectados.
      • Establecer la seguridad en la gestión de comunicaciones mediante los procedimientos necesarios, logrando que la información que sea transmita a través de redes de comunicaciones sea adecuadamente protegida.
      • Controlar la adquisición, desarrollo y mantenimiento de los sistemas de información en todas las fases del ciclo de vida de los sistemas de información, garantizando su seguridad por defecto.
      • Controlar el cumplimiento de las medidas de seguridad en la prestación de los servicios, manteniendo el control en la adquisición e incorporación de nuevos componentes del sistema.
      • Garantizar de forma adecuada la continuidad del negocio, incluso en situaciones adversas, teniendo en cuenta todas las áreas, proveedores y servicios críticos. Los servicios críticos se recuperarán dentro de los márgenes de tiempo aceptables.
      • Gestionar los incidentes de seguridad para la correcta detección, contención, mitigación y resolución de estos, adoptando las medidas necesarias para que los mismos no vuelvan a reproducirse.
      • Proteger la información personal, adoptando las medidas técnicas y organizativas en atención a los riesgos derivados del tratamiento conforme a la legislación en materia de protección de datos.
      • Cumplir en todo momento la legislación vigente, además de las normas y especificaciones particulares aplicables a los servicios prestados por la compañía y orientadas a la satisfacción del cliente, especialmente en lo relativo a la protección de datos de carácter personal.
      • Crear una cultura de gestión integrada de los sistemas de información, tanto internamente, a todo el personal, como externamente a los clientes y proveedores.
      • Comprometer, dirigir y apoyar al personal desde la Dirección con el fin de contribuir a la eficacia del SGI, formando y concienciando a las personas trabajadoras de aDi; asegurar la disponibilidad de los recursos necesarios para el mismo; así como apoyar a otros roles pertinentes de la dirección en la forma en la que aplique el sistema de gestión en sus áreas de responsabilidad.
      • Garantizar la protección y seguridad del personal, tanto en situación normal como en situación de contingencia.
      • Facilitar la colaboración con las autoridades en caso de desastre o necesidad.
      • Tratar la gestión de la seguridad y la continuidad como un proceso de mejora continua.
      • Mantener la confianza y satisfacción de los clientes.
      • Garantizar la resiliencia de la organización, sus sistemas de información y sus servicios frente al cambio climático o desastres naturales.

      En este sentido, todas las exenciones y excepciones al cumplimiento de esta política o a cualquiera de los documentos que integran el SGI deberán estar suficientemente motivadas, y aprobadas de forma previa y expresa por Dirección General, siendo preceptivo que se estime la imprescindibilidad de dicho proceso, acción o elemento, y la inexistencia de alternativas viables a éste.

      7 LIDERAZGO Y COMPROMISO

      La Dirección General de aDi demuestra su liderazgo y compromiso respecto al Sistema de Gestión Integrado (SGI):

      • Garantizando que la POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y CONTINUIDAD INTEGRAL y NORMATIVA DE SEGURIDAD de aDi, así como los objetivos de aquélla se han establecido y son compatibles con la dirección estratégica de la compañía;
      • Velando por que los recursos necesarios para el SGI estén disponibles;
      • Comunicando la importancia de una gestión eficaz del sistema y de satisfacer los requisitos del sistema;
      • Asegurando que el SGI alcanza sus resultados previstos;
      • Dirigiendo y apoyando a las personas a contribuir a la eficacia del SGI;
      • Promoviendo la mejora continua; y
      • Apoyando otras funciones de gestión pertinentes para demostrar su liderazgo aplicable a sus áreas de responsabilidad.

        8 ORGANIZACIÓN DE LA SEGURIDAD

        En aras de logar los objetivos marcados en seguridad de la información, continuidad del negocio y protección de datos de carácter personal, aDi ha designado los siguientes roles, con sus respectivas funciones:

        • Responsable de Seguridad.
        • Responsable de Seguridad Delegado.
        • Responsable del Sistema.
        • Responsable de la Información.
        • Responsable del Servicio.
        • Responsable de Calidad y Cumplimiento.
        • Responsable de Continuidad del Negocio.
        • Responsable de Cumplimiento en Protección de Datos.
        • Auditor/a Interno/a.

        Asimismo, ha constituido un Comité de Seguridad para velar por la correcta coordinación e integración de todas las actuaciones en esta materia, así como para resolver los conflictos que pudieran surgir a este respecto.

        9 DATOS DE CARÁCTER PERSONAL

        aDi, en el desarrollo de sus funciones, requiere hacer uso de datos de carácter personal. Por ello, se garantizarán los derechos y libertades de las personas interesadas, así como la seguridad de la información, de las comunicaciones y de los sistemas de información que soportan los tratamientos de acuerdo con las medidas previstas en la legislación vigente.

        Para lograr las necesarias garantías se realizarán todas las acciones pertinentes de las siguientes:

        • La realización de análisis de riesgos sobre los tratamientos, y evaluaciones del impacto en la privacidad cuando sea probable que los tratamientos entrañen un alto riesgo para los derechos y libertades de las personas afectadas.
        • El diseño e implantación de medidas técnicas y organizativas para mitigar los riesgos relativos a los tratamientos de datos de carácter personal por defecto y desde el diseño.
        • El rediseño de los procesos para mitigar los riesgos que no puedan mitigarse y asumirse.
        • La elaboración de toda la documentación necesaria para soportar los procesos y garantizar los derechos y libertades de las personas afectadas, cumpliendo con los principios establecidos por la normativa vigente.
        • El traslado de las obligaciones a todo el personal que tenga acceso a los datos de carácter personal.
        • La gestión de las relaciones con encargados de tratamiento con base en unos criterios establecidos, incluyendo la regulación a través de contratos que formalicen las obligaciones y los requisitos de seguridad.
        • El mantenimiento de un registro de actividades de tratamiento.
        • El nombramiento y datos de contacto de la figura de Responsable de Cumplimiento con Protección de Datos, en tanto que no existe obligación de nombrar un Delegado de Protección de Datos (DPD) debido a las características de la organización y su actividad.
        • El mantenimiento y facilitación bajo solicitud de la Agencia Española de Protección de Datos (AEPD), con base en las disposiciones de las leyes aplicables, de lo siguiente:
          • Los tratamientos o ficheros en uso.
          • Los resultados de las evaluaciones de impacto realizadas.
          • Las transferencias internacionales fuera de la Unión Europea (UE) que se vayan a llevar a cabo.
        • La comunicación a la Agencia Española de Protección de Datos (AEPD) de:
          • Las violaciones de seguridad que conlleven una probabilidad de riesgo contra los derechos y libertades de los interesados, dentro de las 72h siguientes a su detección.
          • Cualquier otra información que sea requerida por una ley o por indicaciones de la citada autoridad competente de protección de datos.
        • La información por capas sobre los tratamientos a las personas afectadas por los mismos, de forma concisa, transparente, inteligible y de fácil acceso.
        • La recogida del consentimiento de las personas afectadas de forma expresa e inequívoca, y previamente al inicio de los tratamientos y/o establecimiento de cesiones.
        • La notificación a las personas afectadas de violaciones de seguridad que supongan un alto riesgo contra sus derechos y libertades, dentro de las 72h siguientes a su detección.

        10 ENFOQUE EN LA GESTIÓN DE RIESGOS

        El Sistema de Gestión Integrado está enfocado en la correcta gestión del riesgo, de forma que ésta permita tomar decisiones informadas del entorno, para proteger así los activos de aDi y minimizar posibles daños, sean de la índole que sean. Para ello, se realiza un análisis de riesgos sobre todos los sistemas y activos sujetos a esta Política de acuerdo con una metodología que asegure que sea fiable y se obtengan unos resultados medibles, comparables y reproducibles. Puesto que la gestión del riesgo es un proceso continuo, este análisis se mantiene permanentemente actualizado.

        Se tendrán en cuenta los riesgos en protección de datos, contando con la opinión del Responsable de Cumplimiento en Protección de Datos.

        11 DESARROLLO DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y CONTINUIDAD INTEGRAL

        Esta POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y CONTINUIDAD INTEGRAL se desarrolla por medio de una NORMATIVA DE SEGURIDAD que afronta aspectos específicos de aDi. Dicha Normativa está disponible para todas las personas que pertenecen a la organización que necesitan conocerla.

        Asimismo, se cuenta con políticas y normativas específicas, manuales de gestión, procedimientos e instrucciones técnicas para desarrollarlos. Éstos abordan, entre otras, las siguientes materias:

        • Análisis y gestión de riesgos.
        • Gestión de riesgos de terceras partes o proveedores.
        • Catálogo de medidas de seguridad, organizativas, tecnológicas y físicas.
        • Gestión del personal y profesionalidad.
        • Adquisición de productos o servicios de seguridad.
        • Detección y gestión de incidentes.
        • Planes de recuperación y aseguramiento de la continuidad de las operaciones.
        • Mejora continua.
        • Interconexión de sistemas.
        • Registros de actividad.

        12 OBLIGACIONES DEL PERSONAL

        Todas las personas trabajadoras de aDi tienen la obligación de conocer y cumplir esta POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y CONTINUIDAD INTEGRAL y la NORMATIVA DE SEGURIDAD, siendo responsabilidad del Comité de Seguridad disponer los medios necesarios para que la información llegue a los afectados.

        Todas las personas trabajadoras de aDi atienden a una sesión de concienciación en materia de seguridad y continuidad al menos una vez al año.

        La formación es obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.

        13 FORMACIÓN Y CONCIENCIACIÓN

        aDi lleva a cabo actividades de formación y concienciación para que el personal sea plenamente consciente de su responsabilidad con la seguridad de la información que afecta a todas las actividades y personas integrantes de la organización, así como tengan una sensibilidad hacia los riesgos que se corren.

        14 TERCERAS PARTES

        Cuando aDi preste servicios a otras organizaciones o maneje información de éstas, se les hará partícipes de esta POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y CONTINUIDAD INTEGRAL, sin perjuicio de respetar las obligaciones de la normativa de protección de datos, se establecerán canales para reporte y coordinación, y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad. En este último punto, el Responsable de Seguridad o Responsable de Seguridad Delegado serán el Punto de Contacto (PoC).

        Asimismo, se les hace partícipes de la NORMATIVA DE SEGURIDAD, si se entiende que ésta atañe a los servicios prestados por dicha tercera parte, sin perjuicio de otras obligaciones en protección de datos. Ésta quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla, de modo que aDi pueda supervisarlos o solicitar evidencias del cumplimiento de éstos, incluso auditorías de segunda o tercera parte. Se establecerán procedimientos específicos de reporte y resolución de incidencias que deberán ser canalizados por el PoC de las terceras partes implicadas y, además, cuando se afecte a datos de carácter personal por el Delegado de Protección de Datos de la entidad, si lo tuviere. Se garantizará que el personal de terceras partes está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política o el que específicamente se pudiera exigir mediante contrato. En la contratación de servicios o adquisición de productos se tendrá en cuenta el cumplimiento y/o certificación de la tercera parte en normativas de seguridad de la información, continuidad del negocio y protección de datos.

        En la adquisición de derechos de uso de activos en la nube se tendrá en cuenta la POLÍTICA DE USO DE SERVICIOS EN LA NUBE.

        Cuando algún aspecto no pudiera ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe firmado por el Responsable de Seguridad o Responsable de Seguridad Delegado, en función de la naturaleza de la actividad de la tercera parte, que precisará los riesgos en que se incurra y la forma de tratarlos. Se requerirá asimismo la aprobación de este informe por el Responsable de la Información y del Servicio antes de la contratación. El informe se trasladará a Dirección General, que deberá autorizar a continuación la tramitación de contratación del tercero, asumiendo los riesgos detectados.

        15 CONTROL DE ACCESO Y PROTECCIÓN DE LAS INSTALACIONES

        aDi cuenta con procedimientos de control de accesos tanto para su infraestructura lógica como para su infraestructura física.

        En este sentido, el acceso al sistema de información de aDi está controlado y limitado a los usuarios, procesos, dispositivos y otros sistemas de información.

        En cuanto a los accesos a las instalaciones y la infraestructura física que soporta la actividad y sistemas de aDi, está controlado y limitado a las personas y vehículos.

        Todo acceso debe estar previamente autorizado, restringiendo el acceso a las funciones, sistemas y zonas permitidos.

        16 ADQUISICIÓN DE PRODUCTOS

        aDi utiliza productos de seguridad de las tecnologías de la información y comunicaciones que tengan certificada la funcionalidad de seguridad relacionada con el objeto de la adquisición. Esta certificación estará de acuerdo con las normas y estándares de mayor reconocimiento internacional en el ámbito de la seguridad funcional.

        Esta exigencia se realiza de forma proporcionada.

        17 SEGURIDAD POR DEFECTO

        Los sistemas de aDi se diseñan y configuran de forma que garanticen la seguridad por defecto y mínima funcionalidad.

        18 INTEGRIDAD Y ACTUALIZACIÓN DEL SISTEMA

        En aDi todo elemento físico o lógico requerirá autorización formal previa a su instalación en el sistema. Asimismo, el estado de seguridad de los sistemas de aDi, en relación con las especificaciones de los fabricantes, a las vulnerabilidades y a las actualizaciones que les afecten, es monitorizado y conocido en todo momento, reaccionando con diligencia a la hora de gestionar el riesgo según el estado de seguridad de los mismos.

        19 PROTECCIÓN DE LA INFORMACIÓN ALMACENADA Y EN TRÁNSITO

        En aDi se aplican procedimientos para la gestión segura de soportes de almacenamiento de acuerdo con la política

        Se presta especial atención a la información almacenada o en tránsito a través de entornos inseguros, redes abiertas o con cifrado débil. aDi evita de manera proactiva, mediante la realización de copias de seguridad, la pérdida de información.

        aDi evita de manera proactiva, mediante la realización de copias de seguridad, la pérdida de información.

        Por otro lado, toda información en soporte no electrónico está protegida bajo llave con el mismo grado de seguridad que en soporte electrónico.

        20 USO DE LA INTELIGENCIA ARTIFICIAL

        Cuando aDi adquiera, desarrolle o implante un sistema de Inteligencia Artificial, además de cumplir con lo establecido en la normativa vigente en la materia, deberá contar con el informe del Responsable de la Seguridad Delegado, que consultará al Responsable de la Información y del Servicio y, cuando sea necesario, al del Sistema, debiendo también el Responsable de Cumplimiento con Protección de Datos emitir su parecer.

        Además, aDi cuenta con una NORMATIVA PARA EL USO DE LA IA que deben cumplir todas las personas trabajadoras.

        21 PREVENCIÓN ANTE OTROS SISTEMAS DE INFORMACIÓN INTERCONECTADOS

        aDi analiza los riesgos derivados de la interconexión del sistema, a través de redes, con otros sistemas, y lo controla y monitoriza a través de su punto de unión. Asimismo, se asegura de que cumpla con unos requisitos de seguridad robustos.

        22 PROCESO DE AUTORIZACIONES

        Las responsabilidades relativas a la seguridad de la información y la continuidad del negocio se encuentran descritas documentalmente y son asignadas a personas específicas por parte de la Dirección General, que disponen de la capacitación que permite que desarrollen su función eficazmente y de un proceso formal para autorizaciones respecto a los sistemas de información.

        Se requerirá, en función del tipo de componente o actuación, la autorización de los siguientes roles:

        Tipo de cambio Autorizador
        Actividad de negocio DirGen
        Proyecto / Servicio DirGen
        Elemento de infraestructura física RSeg
        Elemento tecnológico RSegDel

        Los elementos sujetos al proceso de autorización serán como mínimo:

        • Instalaciones habituales y alternativas
        • Entrada de equipos en producción
        • Entrada de aplicaciones en producción
        • Establecimiento de enlaces de comunicación
        • Utilización de medios telemáticos de comunicación
        • Utilización de soportes
        • Utilización de equipos móviles
        • Utilización de servicios de terceras partes, bajo contrato o convenio
        • Todos aquellos cambios que puedan suponer riesgo a la seguridad de la información de aDi o de su clientela.

        23 REGISTRO DE ACTIVIDAD

        aDi registra las actividades de las personas usuarias, así como de las personas administradoras del sistema, reteniendo la información necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento a la persona que actúa. Esto se realiza de acuerdo con la legalidad vigente, respetando la privacidad y los derechos de las personas, y se envían recordatorios periódicamente.

        Asimismo, se protegen los sistemas de registro y los registros en sí de manipulaciones indebidas y accesos no autorizados.

        24 INCIDENTES DE SEGURIDAD

        aDi dispone de un sistema de detección y reacción frente incidentes de seguridad de naturaleza tanto física como lógica, garantizando un enfoque ágil, coherente y eficaz para su gestión, incluidos la comunicación de eventos, incidencias, emergencias,  vulnerabilidades y debilidades de seguridad.

        Ello cubre incidentes de seguridad que involucren datos de carácter personal.

        25 CONTINUIDAD DE LA ACTIVIDAD

        aDi evita de manera proactiva la indisponibilidad de su servicio. Para ello, cuenta con políticas y procedimientos específicos dedicados a garantizar la continuidad. Asimismo, dispone de las herramientas y medidas técnicas de seguridad necesarias que garantizan la continuidad de las operaciones.

        26 MEJORA CONTINUA DEL PROCESO DE SEGURIDAD

        El proceso integral de seguridad y continuidad implantado en aDi será actualizado y mejorado de forma continua. Los procesos de ingeniería se actualizan frecuentemente para garantizar la mejora continua de los procesos de seguridad y continuidad aplicados y adecuarse a nuevas amenazas potenciales.

        27 ESTRUCTURACIÓN DE LA DOCUMENTACIÓN DEL SISTEMA

        aDi  cuenta con un procedimiento de control documental y de gestión del cambio.