Política de Seguridad de la Información con Proveedores

Versión vigente desde 20/03/2024.

1. Política de gestión de la seguridad de la información con proveedores

1.1. Objeto y alcance

Esta política tiene por objeto informar a las empresas proveedoras de que, por parte de Teknei, se aplicarán las medidas que garanticen la seguridad de la información y los sistemas de Teknei. Aplica por tanto a empresas proveedoras que acceden, tratan y/o almacenan datos e información de la organización o del cliente final y a los que pueden ofrecer servicios a instalaciones físicas de Teknei.

En caso de conflicto o discrepancias con los criterios o políticas de Teknei con las de los proveedores prevalecerán las de Teknei o las exigidas por el cliente en relación con los servicios.

1.2. Definiciones

A los efectos de lo establecido en la siguiente política se entenderá por:

• Activo de información: cualquier información valiosa (que la compañía quiere proteger) sin importar el medio en que se almacene, procese o comunique.
• Responsable del tratamiento: Teknei
• Responsable de seguridad: persona o personas que el Responsable del Tratamiento ha asignado formalmente la función de coordinar las medidas de seguridad aplicables.
• Comunicación de datos: cualquier salida, entrega o acceso a datos por parte de un tercero, independientemente del medio de acceso o entrega, considerando como tercero cualquier entidad pública o privada. En el marco de las comunicaciones de datos que contengan datos de carácter personal (ligados al cumplimiento del RGPD), se distinguen 2 tipos de supuestos con diferentes implicaciones legales:
• Prestación de servicios: entrega o acceso de datos por parte de un tercero con la única finalidad de prestar un servicio por cuenta del Responsable del Tratamiento y conforme a las instrucciones dictadas por el mismo.
• Cesión de datos: tratamiento de datos que supone su relevación a una persona distinta del interesado, cuando no concurran las características relativas a la prestación de servicios.
• Cesionario de los datos: persona o entidad distinta del Responsable del Tratamiento a la que éste le revela datos para el cumplimiento de fines directamente relacionados con las funciones legítimas de cedente y cesionario, en el marco de una cesión de datos.
• Encargado del tratamiento: persona o entidad que, sólo o conjuntamente con otros, trata datos personales por cuenta del Responsable del Tratamiento, como consecuencia de la existencia de relación jurídica que le vincula con el mismo y delimita su ámbito de actuación para la prestación de un servicio.

1.3. Responsabilidad y autoridad

Esta política será revisada periódicamente. No obstante, debido a la propia evolución de la tecnología, las amenazas, en relación con la seguridad de la información y a las nuevas obligaciones legales en la materia, Teknei se reserva el derecho a modificar esta política cuando sea necesario. Los cambios realizados serán divulgados a todas las partes interesadas mediante la notificación de la nueva versión a través de los canales habituales de comunicación de la compañía. Es responsabilidad de todo el personal que desarrolle actividades para Teknei, la lectura, conocimiento y cumplimiento de esta Política de gestión de la seguridad de la Información con proveedores.

Teknei se reserva el derecho adoptar las medidas que se consideren pertinentes en relación a la empresa contratada, y que pueden llegar a la resolución de los contratos que se tenga vigentes con dicha empresa.

1.4. Identificación de riesgos

Ante la necesidad de recurrir a un proveedor que pueda afectar a la seguridad de la información en Teknei, se deben identificar los riesgos y los controles necesarios adicionales teniendo en cuenta como mínimo:

• El tipo de acceso que se necesita: físico (oficinas, áreas de proceso de datos, etc.), lógico (aplicaciones, bases de datos, etc.), red (acceso remoto, conexiones permanentes entre oficinas, etc.), si la información a la que se accede está en la organización o fuera de la misma (en las instalaciones de las terceras partes).
• El tipo de información a la que se accede (clasificada, datos de carácter personal, etc.).
• El tipo de instalación física a la que se accede (nivel de criticidad de la instalación para Teknei).
• El personal involucrado perteneciente a la tercera parte: si son subcontratados, cómo son identificados, etc.
• Los controles de seguridad que tiene implantados la tercera parte, considerando las certificaciones de seguridad que pudieran tener.
• Los requisitos legales y obligaciones contractuales.

Si el producto o servicio introduce nuevos riesgos, se determinarán acciones de mitigación y responsables. Los controles necesarios que se identifiquen en el análisis de riesgos serán incluidos como anexos en los contratos de acuerdos.

1.5. Adquisición de nuevos componentes

Para la adquisición de nuevos recursos para el procesamiento de la información (hardware o software), Teknei seleccionará la oferta más adecuada y se autorizará la compra del nuevo recurso, considerando:

• Si el producto o servicio introduce nuevos riesgos, se determinarán acciones de mitigación y responsables.
• Las necesidades técnicas, de formación y de financiación de forma conjunta.
• Adecuación a la arquitectura de seguridad implantada en Teknei.
• Nivel de seguridad conforme a normas europeas o internacionales y certificación por entidades independientes de reconocida solvencia. Para ello, antes de adquirir un producto, se debe consultar una lista de productos certificados:
• Listado de Productos Cualificados del OC-CCN (Nivel alto)
• Listado de productos aprobados del OC-CCN (Para nivel alto debe indicar “Producto Cualificado-ENS Alto” y para nivel medio “Producto Cualificado-ENS Medio”)
• Guía CCN-STIC-105 Catálogo de Productos de Seguridad de las Tecnologías de la Información y la Comunicación.
• Listado de productos certificados en Common Criteria.

La persona Responsable de Sistemas mantendrá actualizado un listado de todos los productos, su análisis y conclusiones y los certificados de seguridad correspondientes.

1.6. Contratación de servicios

Las relaciones con proveedores deben estar amparadas siempre por los contratos de prestación de servicios (o SLA) correspondientes, incluyendo cláusulas de garantías en el uso de la información.

Los acuerdos deben incluir siempre las características del servicio prestado y las responsabilidades de las partes.

Se detallará lo que se considera calidad mínima del servicio prestado y las consecuencias de su incumplimiento. Se podrán solicitar los informes de control y seguimiento necesarios para justificar el cumplimiento o las desviaciones acaecidas.

Los acuerdos, a su vez, deberán incluir la intención o declaración de la existencia o no de subcontratación de personas o servicios por parte del proveedor, una descripción de la sistemática a seguir ante cambios que puedan surgir durante la duración del contrato, la legislación aplicable, cláusulas de confidencialidad, condiciones de renegociación del acuerdo, etc.

Los acuerdos y contratos que impliquen acceder, procesar, comunicar o gestionar la información de la organización o los servicios de procesado de información, o añadir productos o servicios a los servicios de procesado de información, indicarán los controles de seguridad requeridos por parte de Teknei previa a la prestación del servicio.

Si el proveedor accede o trata datos de carácter personal Teknei establecerá un contrato de encargo de tratamiento sobre los requerimientos legales del RGPD y el RD 1720/2007, que deberá ser firmado.

La responsabilidad y el control de los servicios prestados serán en un primer término de los jefes de proyecto y/o responsables de área de Teknei.

Cualquier cambio en el alcance de los servicios contratados deberá ser acordado previamente por las dos partes y reflejado por escrito, con el plazo suficiente que permita la correcta ejecución de los servicios acordados con el cliente.

1.7. Acuerdo expreso de seguridad de la información

Además de lo indicado en el apartado anterior, con respecto a la seguridad de la información, en caso necesario, la empresa proveedora se compromete a:

• Cumplir las políticas, estándares, procedimientos y guías de seguridad aplicables.
• Proteger datos de carácter personal.
• Comunicar a Teknei cualquier anomalía por mal funcionamiento o cualquier sospecha de brecha de seguridad (intento de acceso no autorizados, manejo inadecuado de datos, etc.).
• Garantizar la protección física (autoprotección, cumplimiento de la normativa de Seguridad y Salud y de la normativa de seguridad existente dentro del edificio donde se desarrolle la actividad).
• Aceptar y cumplir los controles de acceso a instalaciones físicas, con el objetivo de proteger y ofrecer un alto grado de confianza en aspectos relacionados con la seguridad en la ejecución de sus actividades y su estadía en la empresa. El personal debe llevar en todo momento visible la tarjeta de identificación y únicamente podrá acceder a las zonas a las que se le hayan autorizado su acceso.
• En cuanto a organización de la seguridad de la información, se debe identificar a la persona responsable de seguridad de la información por parte del proveedor, que será el interlocutor con Teknei ante incidencias, brechas de seguridad, accesos no autorizados, resolución de conflictos, comunicaciones a empleados afectados, etc.,
• Si así se requiere, poner a disposición de Teknei una matriz de responsabilidades.
• Garantizar el cumplimiento de la política de desarrollo seguro de Teknei, en caso de ejecución de servicios que impliquen desarrollos a medida para Teknei.
• Cumplir la Política de uso de medios y servicios tecnológicos para usuarios externos.
• Devolver o destruir los recursos (información, medios físicos, etc.) de Teknei a la finalización del acuerdo.
• Borrar los metadatos del fichero si va a ser enviado a terceras partes ajenas a Teknei o si se va a publicar en internet.
• Concienciar y formar a las personas bajo el contrato de prestación de servicios.
• Facilitar a Teknei la auditoría y monitorización para que pueda verificarse el cumplimiento de los requisitos y controles de seguridad del acuerdo.

En el caso que el proveedor/tercera parte suministre un producto de software, se debe entregar a la organización la política de seguridad del producto de software acorde a la legislación de protección de datos personales o bien mediante anexo al contrato, direccionarle las medidas de seguridad que el entorno debe cumplir.

Teknei debe asegurarse de que los controles de seguridad y continuidad son implantados antes de iniciar el servicio contratado y mantenidos y operados durante el mismo.

1.8. Gestión del cambio en los servicios con terceros

Teknei debe gestionar los cambios en la prestación de servicios por terceros, teniendo en cuenta el grado de criticidad de los sistemas y procesos implicados, y los resultados obtenidos en cada nuevo análisis de riesgos que se realice.

El proceso de gestión de cambios de un servicio ofrecido por terceros precisa considerar los siguientes aspectos:

• Cambios realizados por parte de TEKNEI para implantar:
  • Mejoras en sus actividades.
  • Desarrollo de nuevas aplicaciones y sistemas.
  • Modificaciones o actualizaciones del marco normativo (políticas, normas procedimientos, etc.).
  • Nuevos controles para solventar las incidencias relativas a seguridad de la información y mejora de la seguridad.
• Cambios realizados por las terceras partes para implantar:
  • Cambios y mejoras en los servicios ofertados.
  • Cambios en el alcance de los servicios
  • Uso de nuevas tecnologías.
  • Utilización de nuevos productos o de nuevas versiones de los utilizados.
  • Nuevas herramientas y entornos de desarrollo.
  • Cambios en la ubicación física de las instalaciones.
  • Cambio de vendedores.

2. Uso de medios y servicios tecnológicos para usuarios externos

2.1. Objeto y alcance

Para apoyar la simplicidad y la eficiencia operacional en el marco de la prestación de los servicios profesionales que contrata, Teknei dispone bajo su propiedad y/o titularidad, de una serie de medios y servicios tecnológicos, como son recursos informáticos y/o de comunicación o red propia, que pueden ser utilizados y usados por las empresas proveedoras de dichos servicios profesionales (en adelante, la “EMPRESA”).

Con el objeto de proteger la integridad y el uso diligente de estos medios y servicios tecnológicos, Teknei cuenta con esta Política de Uso de Medios y Servicios Tecnológicos para Usuarios Externos que pone a disposición de la EMPRESA, para su conocimiento y cumplimiento.

El uso adecuado de estos medios y servicios tecnológicos es responsabilidad de la EMPRESA, siendo este compromiso adquirido un atributo adicional de diligencia en la prestación de los servicios profesionales contratados.

La información y los datos, contenidos en los sistemas informáticos o accesibles a través de estos, pueden estar clasificados en diferentes grados de confidencialidad por Teknei. Por ello, la filtración de información y/o datos, ya sea intencional o involuntaria, puede repercutir negativamente, en lo económico y en lo reputacional, a Teknei y a la propia EMPRESA. En este sentido y atendida la importancia de seguir y cumplir con esta política, se informa de una manera expresa y transparente que cualquier difusión no autorizada de información y/o de datos por parte de la EMPRESA constituirá un perjuicio real para Teknei, que podrá ser derivado a LA EMPRESA.

Según precede, esta política tiene por objeto informar a la EMPRESA de que, por parte de Teknei, se monitorizará y auditará el uso de los medios, recursos y servicios tecnológicos de Teknei, para prevenir, proteger y asegurarse de que no existe uso malintencionado o indebido de ellos, y garantizar el cumplimiento de la confidencialidad, integridad, disponibilidad, privacidad y trazabilidad de las comunicaciones y sistemas de la información de la EMPRESA.

A los efectos de lo regulado en la presente política, por medio, servicio o recurso tecnológico, informático y de comunicación, propiedad o no de Teknei, se entienden, a título enunciativo pero no limitativo, los sistemas de información, ficheros, documentos electrónicos e información, aplicaciones tecnológicas e informáticas, herramientas tecnológicas e informáticas, infraestructuras de comunicaciones, conexión a redes internas o externas, terminales, software, hardware, servicios telemáticos, infraestructura de redes, accesos a Internet y todos los recursos tecnológicos a los que, como usuario, tenga acceso el personal profesional de la EMPRESA.

En adelante, todo ello se denominará, conjuntamente, como los “ACTIVOS” e, individualmente, como el “ACTIVO”.

Esta política se aplicará a todos los usuarios de la EMPRESA que accedan a la utilización de uno o varios ACTIVOS.

Teknei realiza, bajo criterios legales, de cumplimiento normativo y de ciberseguridad, las investigaciones y controles necesarios a estos efectos sobre todos los ACTIVOS. Esto se lleva a cabo sin dañar y sin atentar contra la dignidad o intimidad de quien los utiliza.

Los objetivos de dichos controles son:

• Proteger los ACTIVOS, la Seguridad de la Información, la imagen y reputación corporativa de Teknei y los elementos tecnológicos que constituyen el ecosistema tecnológico de Teknei.
• Garantizar la confidencialidad de la información a la que tenga acceso, el usuario, dentro de Teknei.
• Comprobación del cumplimiento de las obligaciones legales.
• Prevención de la responsabilidad frente a terceros.
• Comprobación del adecuado seguimiento y cumplimiento de las Políticas y Programas de Cumplimiento que sean de aplicación para el uso correspondiente de los ACTIVOS por parte de la EMPRESA.
• Comprobación de la existencia o no del uso indebido, inadecuado o ilícito de los ACTIVOS. Esto es proteger que los ACTIVOS se van a usar de forma diligente, respetuosa y exclusivamente en el marco de los servicios profesionales contratados.

Por tanto, todos los ACTIVOS, contenidos, informaciones, ficheros almacenados en el mismo, incluida la información temporal, podrán ser objeto de acceso, comprobación, control, inspección y auditoría por Teknei o por los responsables designados al efecto, en los términos que se definen en la presente Política.

2.2. Activos informáticos y de comunicación

El uso adecuado de estos ACTIVOS es responsabilidad de LA EMPRESA que, a través de sus profesionales en calidad de usuarios, los utiliza y usa.

Los ACTIVOS que Teknei pone a disposición de los usuarios son, única y exclusivamente, para usarlos con los fines adecuados al desarrollo de las funciones relativas a la prestación de los servicios contratados.

Para salvaguardar tanto la información como la integridad de acceso a la misma, se debe observar una serie de puntos:

• Todos los ACTIVOS tienen controles de acceso definidos por el área de STI de Teknei. Cada usuario debe mantener en secreto las contraseñas que se le han asignado para el acceso a los ACTIVOS. Si los usuarios sospechan que otra persona utiliza su acceso autorizado (identificador de usuario y/o contraseña), lo notificará a STI la correspondiente incidencia.
• No está permitido deshabilitar los mecanismos de seguridad de la información de ningún ACTIVO. En caso de detectar y/o sospechar de un funcionamiento anómalo del correspondiente ACTIVO se deberá desconectar de la red interna de la organización y, acto seguido, comunicar el problema a STI.
• Está terminantemente prohibido modificar las configuraciones de seguridad del ACTIVO. El usuario tiene igualmente prohibido ejecutar aplicaciones, portables o no, que no estén soportadas y suministradas por Teknei.
• En caso de que el proveedor precise conectar dispositivos móviles a las infraestructuras de Teknei, se seguirán los requerimientos de ésta.

2.3. Aplicaciones

Todas las aplicaciones instaladas en los ACTIVOS o bien son de propiedad de Teknei o bien cuentan con la preceptiva licencia de uso otorgada por un tercero. La instalación de copias de programas que no hayan sido adquiridos por Teknei y/o por LA EMPRESA, si así se ha autorizado por escrito por parte de Teknei, supone un delito penal y, por lo tanto, está expresamente prohibida.

2.4. Información y Datos

Información incorporada en los medios y activos digitales

La utilización de la información y datos por los usuarios dentro de los ACTIVOS queda sujeta a lo siguiente:

• El usuario debe mantener la confidencialidad de toda la información y datos a la que tenga acceso y albergada en los activos digitales o servidores de Teknei, o que circule a través de su red mediante elementos de comunicación o transmisión, que sean de su propiedad o le hayan sido confiada.
• Los usuarios están obligados a proteger la información, evitando el envío no autorizado al exterior, incluyendo esta noción tanto el acceso como la visualización de esta.
• No se confiere al usuario derecho alguno en cuanto a la posesión, titularidad o derecho de copia de la información, por lo que su uso debe ser estrictamente profesional.
• Los usuarios con acceso a información y datos deben usarlos únicamente para las operaciones relativas a la prestación de los servicios profesionales contratados por Teknei, sin destinarlos a otros fines o incurrir en actividades que puedan considerarse ilícitas o ilegales. Asimismo, sólo deben acceder a aquellos datos y recursos que precisen para el ejercicio de las funciones que les correspondan, y efectuar sólo los tratamientos que sean precisos para el cumplimiento de la prestación de servicios encomendada por Teknei.
• Los usuarios están obligados a proteger la información y los datos a los que tienen acceso. Esta protección debe prevenir acciones u operaciones que puedan producir una alteración indebida, inutilización o destrucción, robo o uso no autorizado, en definitiva, cualquier forma que pueda dañar los datos, aplicaciones informáticas y documentos electrónicos propios de Teknei.
• Los usuarios están obligados a notificar a su persona de contacto en Teknei cualquier incidencia o anomalía en el uso de los ACTIVOS que detecten: pérdida de información, de listados o de unidades de almacenamiento extraíbles, acceso no autorizado, uso de su identificador de usuario o de su contraseña, introducción de malware o código malicioso, recuperación de datos, desaparición de soportes informáticos y, en general, toda situación que pueda comprometer el buen uso y funcionamiento de los sistemas de información.
• Mientras sea posible, se evitará la ubicación de ficheros que contengan datos de carácter personal en los dispositivos digitales que no son proporcionados por Teknei y son propiedad LA EMPRESA. Sólo se podrán crear ficheros temporales con datos de carácter personal cuando sean necesarios para el desempeño de sus funciones, y deberán ser eliminados cuando hayan dejado de ser útiles para la finalidad para la que fueron creados.
• Al finalizar el servicio profesional contratado por Teknei a LA EMPRESA, se deberán devolver en el mismo estado todos los ACTIVOS y datos que hayan sido usados en la actividad profesional prestada.
• El manejo, transmisión, extracción e impresión de documentos con información sensible puede ser auditadas con sistemas automáticos o manualmente por Teknei.
• Todos los ficheros con datos de Teknei se deben de almacenar en las unidades de red o almacenamiento en la nube asignadas al usuario.
• No se permite facilitar la clave de acceso individual a otra persona, simular la identidad de otro usuario utilizando su clave ni la creación de copias de ficheros sin la autorización de Teknei.

Correo electrónico y aplicaciones de mensajería electrónica corporativas

El correo electrónico de Teknei, las listas de distribución, los servicios y aplicaciones de mensajería instantánea corporativa y demás servicios de comunicación electrónica (en adelante, los “SERVICIOS DE COMUNICACIÓN DE TEKNEI”) son herramientas cuyo objetivo principal es facilitar la comunicación entre usuarios y no una herramienta de difusión masiva e indiscriminada de información.

El uso y la utilización de los SERVICIOS DE COMUNICACIÓN DE TEKNEI quedará sujeta a las siguientes condiciones:

• Queda prohibido el uso de los servicios de comunicación para uso personal, así como el envío de correo electrónico con mensajes ofensivos, inapropiados, amenazantes, contenido ilícito o fraudulento o que de cualquier modo atenten, infrinjan o vulneren las anteriormente mencionadas directivas.
• Queda prohibido el uso y la utilización de los SERVICIOS DE COMUNICACIÓN DE TEKNEI con fines lucrativos o comerciales personales, para uso recreativo o cualquier otro que no guarde relación con la finalidad para la que están a disposición de los usuarios.
• Se prohíbe el uso y la utilización del correo de Teknei para la inscripción a “newsletter”, grupos de noticias o similares que no estén directamente relacionadas con la actividad profesional prestada por el usuario, en base al servicio contratado a LA EMPRESA, y que resulten necesarios para la prestación de dicha actividad.
• Las listas de distribución de correo solo podrán ser utilizadas para los fines propios del servicio contratado por Teknei.
• Está prohibido acceder sin autorización a las comunicaciones que circulan por la red de datos de Teknei, así como su manipulación, destrucción y apropiación indebida.

2.5. Web, correo electrónico y comunicaciones de voz

Uso de servicios Web, correo electrónico

Queda totalmente prohibido el uso de los ACTIVOS para acceder a servicios web ilegales, éticamente reprochables, contrarios al código ético, que puedan atentar contra la dignidad, honor y reputación de las personas o que puedan suponer un riesgo para la seguridad de los sistemas de información de Teknei.

El acceso a este tipo de contenido puede incurrir en responsabilidades civiles y criminales. Teknei colaborará al máximo de sus posibilidades para investigar este tipo de actos, incluyendo la cooperación con la Justicia.

Uso de comunicaciones de voz

Las comunicaciones de voz (por ejemplo, llamadas telefónicas y videoconferencias), a través de los ACTIVOS de Teknei, para cuestiones personales no están permitidas con carácter general. No obstante, de forma excepcional, se tolerará la realización de llamadas de voz, por un motivo personal, de manera puntual y de duración lo más breve posible, siempre y cuando se observen y cumplan el resto de las reglas establecidas en la presente Política.

2.6. Monitorización de la navegación web e internet

Dentro de los límites previstos por la ley, los datos de conexión del usuario (identificación del usuario, identificación de la prestación de servicios profesionales, dirección de los sitios visitados, etc.) son registrados por Teknei que, para finalidades estadísticas, de calidad de servicio y de seguridad, supervisan el tráfico Internet y permiten realizar auditorías regulares de los sistemas de información.

La finalidad principal de estos archivos de trazas de las conexiones es garantizar un uso normal, diligente y adecuado de los ACTIVOS.

Teknei pone en funcionamiento mecanismos de filtrado automático, ligados a la categorización de los sitios Internet visitados o a palabras clave conforme a las condiciones de uso general anunciados anteriormente.

En caso de detectarse infracciones o riesgos, se podrán tomar las contramedidas utilizando como elementos de prueba las informaciones de auditoría almacenadas relativas a cada uno de los usuarios, así como, entre otras medidas, exigir responsabilidades a LA EMPRESA.