logotype
logotype
Política del sistema de gestión integrado

Introducción

 

La seguridad de la información es un pilar fundamental para CompassDigital S.L., empresa española de desarrollo de software especializada en concurrir a licitaciones públicas. En el contexto de nuestras actividades, gestionamos información sensible (propia, de clientes y de organismos públicos), cuya protección adecuada resulta crítica para mantener la confianza y la continuidad del negocio. Por ello, la Dirección de CompassDigital S.L. ha implementado un Sistema de Gestión Integrado (SGI) conforme a las normas internacionales ISO/IEC 27001:2022 e ISO/IEC 20000:2018. El objetivo principal de este SGSI es preservar la confidencialidad, integridad y disponibilidad de la información de la empresa, garantizando asimismo la continuidad de las operaciones y servicios. 

 

1. Alcance

 

El alcance de esta política abarca a CompassDigital S.L. en su totalidad, incluyendo todas sus áreas organizativas, procesos de desarrollo de software y actividades relacionadas con la participación en licitaciones públicas que forman parte del alcance definido del SGI. Esta política aplica a todo el personal de CompassDigital S.L. (directivos, empleados y colaboradores), así como a terceros externos (proveedores, contratistas o socios) que acceden o tratan información de la empresa. Quedan comprendidos en el alcance todos los activos de información y de servicios de la organización, tanto los soportes lógicos (sistemas, aplicaciones, bases de datos, redes) y soportes físicos (equipos, dispositivos, archivos en papel), como la información en cualquier formato (digital, impreso, oral) que sea creada, procesada, almacenada o transmitida por CompassDigital S.L. en el desarrollo de sus funciones. 

Todos los destinatarios de esta política (empleados y terceros con acceso a información de CompassDigital S.L.) están obligados a cumplirla en el ámbito de sus respectivas responsabilidades. Cualquier incumplimiento de la política de gestión podrá dar lugar a medidas disciplinarias internas en el caso de personal propio, o a las acciones contractuales correspondientes en el caso de terceros, de acuerdo con la normativa vigente y los acuerdos legales suscritos. 

 

2. Principios Rectores de Seguridad de la Información y de los Servicios 

 

La presente política se sustenta en una serie de principios rectores en materia de seguridad de la información adoptados por CompassDigital S.L. Los tres primeros (confidencialidad, integridad y disponibilidad) constituyen la base fundamental de la seguridad de la información y de los servicios según las mejores prácticas internacionales: 

  • Confidencialidad: Garantizar que la información solo sea accesible por personas, entidades o procesos debidamente autorizados. CompassDigital S.L. protege la información frente a accesos no autorizados o divulgaciones indebidas, asegurando niveles adecuados de control de acceso y clasificación de la información conforme a su sensibilidad. 
  • Integridad: Mantener la exactitud y completitud de la información y de sus métodos de procesamiento durante todo su ciclo de vida. La empresa adopta medidas para prevenir la alteración no autorizada de los datos y asegurar que la información se mantiene correcta, confiable y libre de modificaciones o destrucción no deseada. 
  • Disponibilidad: Asegurar que los sistemas e información estén accesibles y operativos cuando los necesiten los usuarios autorizados. CompassDigital S.L. procura la continuidad de los servicios y la minimización de interrupciones, implementando controles de respaldo, redundancia y planes de continuidad que garanticen la disponibilidad oportuna de los datos y recursos críticos. 
  • Autenticidad: Verificar la identidad de usuarios, procesos y dispositivos, asegurando que las interacciones con los sistemas de información provienen de fuentes confiables. Este principio garantiza la autenticidad de la información y las comunicaciones, evitando suplantaciones de identidad y asegurando que cada entidad es quien afirma ser. 
  • Trazabilidad: Lograr la trazabilidad o accountability de las acciones realizadas sobre los activos de información. CompassDigital S.L. mantiene registros y evidencias (logs, auditorías) que permiten rastrear el uso de la información y atribuir responsabilidades, asegurando el no repudio en las transacciones importantes y facilitando la investigación de incidentes de seguridad. 
  • Cumplimiento legal y reglamentario: Cumplir rigurosamente con todas las obligaciones legales, regulatorias y contractuales aplicables en materia de seguridad de la información. Esto incluye la observancia de la normativa de protección de datos personales (Reglamento General de Protección de Datos – RGPD y la Ley Orgánica 3/2018, de Protección de Datos Personales y Garantía de los Derechos Digitales), así como el cumplimiento de las exigencias del Esquema Nacional de Seguridad (ENS) en los casos que resulten aplicables, y de cualquier otra legislación, reglamento o estándar que la organización suscriba. CompassDigital S.L. integra estos requisitos en sus políticas y procedimientos para asegurar una actuación ética y conforme a la ley. 
  • Gestión de riesgos: Adoptar un enfoque sistemático de gestión de riesgos de seguridad de la información y de los servicios. La organización identifica, evalúa y trata proactivamente los riesgos que puedan afectar a la información, sistemas y servicios, implementando las medidas de seguridad apropiadas para mitigar dichos riesgos a niveles aceptables. Los análisis de riesgos se realizan de forma periódica y ante cambios relevantes, permitiendo priorizar las inversiones en seguridad de acuerdo con el impacto potencial de las amenazas. 
  • Formación y concienciación: Promover una cultura de seguridad en la empresa a través de programas continuos de formación y concienciación. Todo el personal de CompassDigital S.L. recibe la capacitación adecuada en materia de seguridad de la información, incluyendo conocimientos sobre esta Política de Seguridad, los procedimientos asociados y las mejores prácticas para proteger la información y los servicios. Se fomenta la responsabilidad individual de cada empleado en la protección de los datos y se realizan actividades periódicas de sensibilización para reforzar la importancia del cumplimiento de las normas de seguridad. 
  • Mejora continua: Buscar la mejora continua del SGI y de las medidas de seguridad implementadas. CompassDigital S.L. se compromete a monitorear y revisar regularmente el desempeño de los controles de seguridad, aprendiendo de la experiencia, de los resultados de auditorías internas/externas y de la evolución de las amenazas. La política y los procedimientos de seguridad se ajustan de manera continua para optimizar la eficacia del sistema de gestión, aprovechando nuevas herramientas, metodologías y lecciones aprendidas en pro de una mayor resiliencia. 

Además, la seguridad de la información y de los servicios se rige por estos principios: 

  • Integración. La Seguridad Global es un proceso integrado y alineado con el negocio, en el que participa toda la empresa.  
  • Rentabilidad. La Seguridad se guía por criterios de negocio, teniendo en cuenta la relación entre gasto e inversión. Sus criterios se fijan de forma centralizada, aprovechando cualquier sinergia existente. Esta gestión permite una reducción global del gasto y un mejor rendimiento del esfuerzo aplicado a la seguridad.  
  • Continuidad. La seguridad debe de estar presente durante todo su ciclo de trabajo: protección, prevención, detección, respuesta y recuperación.  
  • Adecuación. Los medios empleados deben adaptarse al entorno del negocio. Entre otros factores, se destacan por su impacto en el negocio y en los niveles de seguridad de la organización la competencia con otras empresas, los desórdenes de índole social, política y económica, etc.

 

 3. Compromisos de la Dirección 

 

La Alta Dirección de CompassDigital S.L. demuestra su liderazgo y apoyo al SGI asumiendo los siguientes compromisos en materia de seguridad de la información y de los servicios: 

  • Liderazgo y alineación estratégica: Integrar la seguridad de la información y de los servicios en los objetivos y procesos de negocio de la empresa. La Dirección velará porque las políticas y controles de seguridad se alineen con los objetivos estratégicos de CompassDigital S.L. y con las necesidades de nuestros clientes, asegurando que la gestión de la seguridad aporta valor y respaldo a la estrategia corporativa. 
  • Cumplimiento de requisitos: Garantizar el cumplimiento estricto de todas las obligaciones legales, reglamentarias y contractuales aplicables en materia de seguridad de la información y privacidad. En particular, la Dirección asegura el acatamiento de la normativa de protección de datos personales (RGPD/LOPDGDD) y, cuando corresponda, de las medidas establecidas por el Esquema Nacional de Seguridad para los servicios prestados al sector público. Del mismo modo, se compromete a cumplir cualquier otro requisito suscrito voluntariamente (por ejemplo, códigos de conducta, acuerdos de nivel de servicio) que incida en la seguridad de la información. 
  • Provisión de recursos: Proveer los recursos necesarios (humanos, tecnológicos, financieros) para implantar y mantener las medidas de seguridad adecuadas y el mantenimiento de los servicios ofertados. La Dirección asignará personal calificado y herramientas técnicas para gestionar la seguridad, y dotará al SGI de presupuesto y apoyo suficientes. Asimismo, define claramente las funciones y responsabilidades en materia de seguridad dentro de la organización, designando un Responsable de Seguridad (CISO) y apoyando la creación de comités o roles de seguridad según sea necesario. 
  • Protección de activos de información: Salvaguardar los activos de información de CompassDigital S.L. mediante la aplicación efectiva de controles de seguridad apropiados. La Dirección se asegura de que existan políticas, procedimientos y mecanismos (técnicos, organizativos y físicos) para proteger la información frente a las amenazas identificadas, en proporción al valor de los activos y al nivel de riesgo. Esto incluye controles de acceso, cifrado, copias de seguridad, planes de continuidad, gestión de vulnerabilidades, entre otros, con el fin de prevenir incidentes de seguridad y reducir su posible impacto. 
  • Concienciación y capacitación: Fomentar una cultura de seguridad activa en toda la organización. La Dirección impulsa programas de formación y concienciación periódicos para todos los empleados, con el objeto de asegurar que conozcan esta Política de Seguridad, entiendan la importancia de proteger los datos y cumplan los procedimientos establecidos. Se promueve el compromiso de los colaboradores con los principios de confidencialidad, integridad y disponibilidad, recompensando las buenas prácticas y corrigiendo comportamientos que pongan en riesgo la seguridad. 
  • Gestión de riesgos y continuidad del negocio: Dirigir la realización periódica de análisis de riesgos en seguridad de la información y garantizar la implementación de planes de tratamiento para mantener los riesgos bajo control. La Dirección apoya la identificación oportuna de nuevas amenazas y la actualización de los análisis cuando haya cambios significativos (p.ej., incorporación de nuevas tecnologías o servicios). Igualmente, asegura la existencia de planes de continuidad de negocio y de respuesta a incidentes robustos, que permitan responder eficazmente ante eventos de seguridad (fallos, ataques, brechas) minimizando las interrupciones en los servicios críticos y el impacto en clientes y partes interesadas. 
  • Cumplir con la calidad del servicio pactado con el cliente, así como los acuerdos contractuales, SLAs. 
  • Mejora continua del SGSI: Revisar regularmente la eficacia del Sistema de Gestión Integrado e impulsar su mejora continua. La Dirección se compromete a llevar a cabo revisiones periódicas (por ejemplo, revisiones por la dirección al SGI, al menos anuales) donde se evalúe el cumplimiento de los objetivos de seguridad, el grado de implementación de controles, resultados de auditorías e incidentes, para identificar oportunidades de mejora. Con base en estas revisiones, se implementarán acciones correctivas y preventivas que permitan aumentar la madurez del SGI y adaptarlo a la evolución del entorno. 
  • Revisión y actualización de la política: Asegurar que la Política del Sistema de Gestión Integrado se revise de forma periódica y se mantenga actualizada. La Dirección establece que esta política sea revisada al menos anualmente o siempre que ocurran cambios significativos en las circunstancias (nuevas amenazas, cambios organizativos, cambios normativos, etc.), a fin de garantizar su continua adecuación. Las modificaciones que se propongan tras cada revisión deberán ser examinadas y aprobadas por la Alta Dirección antes de su adopción formal.