Política de seguridad de la información

(M 01 rev. 1 del 25/10/2024)

Como parte de la implementación de su sistema de gestión de seguridad de la información, puesto en conformidad con la norma UNI CEI EN ISO/IEC 27001:2024 y en consideración de su importancia estratégica para el negocio de la empresa, la dirección de Punto EXE Srl ha adoptado una política de seguridad adecuada.

Punto EXE Srl es consciente de que la gestión de la seguridad de la información es un proceso cultural complejo que involucra a los recursos humanos asignados a todas las unidades organizativas dentro del perímetro de certificación definido en el manual.

Punto EXE Srl cree que la calidad de sus servicios (entendida como la capacidad de satisfacer las necesidades asociadas) y la seguridad de la información son el resultado de una combinación de elementos científicos, tecnológicos, organizativos, procedimentales, relacionales y de comunicación. El factor humano desempeña un papel fundamental, ya que interactúa estrechamente en los procesos de producción, lo que se traduce en un compromiso constante con la atención al usuario y la mejora de sus servicios.

Además, tal y como prevé el nuevo Reglamento Europeo de Privacidad n. 679/2016 (en adelante, también “RGPD”), el nuevo principio clave a la hora de abordar el tratamiento de la Privacidad y la seguridad de la información es el deLa rendición de cuentas, es decir, la responsabilidad activa en términos de procesamiento de datos, es por tanto un paso obligatorio: promover y desarrollar un entorno consciente y atento a la cuestión de la gestión de la información.

Los objetivos de Punto EXE Srl en el cumplimiento de su misión son:

 

• • Mantener la centralidad del cliente (usuario y cliente), principio rector sobre el que se desarrolló el sistema de gestión de la empresa. La empresa busca demostrar este compromiso con sus empleados, clientes, proveedores y demás grupos de interés mediante la definición de su propia política.

• • garantizar un nivel adecuado de seguridad de los datos y de la información en el diseño, desarrollo y prestación de productos y servicios, mediante la identificación, evaluación y tratamiento de los riesgos a los que están sujetos los propios servicios.

• • garantizar que el personal y los colaboradores tengan conocimientos y concienciación adecuados de los problemas asociados a la seguridad de la información, a fin de adquirir la suficiente conciencia de sus responsabilidades respecto a su tratamiento;

• • garantizar que todos los proveedores externos conozcan los problemas de seguridad de la información de Punto EXE Srl y cumplan con la política de seguridad adoptada;

• • establecer directrices para la aplicación de normas, procedimientos y sistemas para implementar el sistema de gestión de seguridad de la información (SGSI);

• • adoptar la norma UNI CEI EN ISO-IEC 27001-2024 como estándar para la implementación del sistema de gestión de la seguridad de la información y la búsqueda de su cumplimiento;

• • garantizar que todo el personal de Punto EXE Srl conozca las normas técnicas y organizativas para el uso de los sistemas informáticos de la empresa;

• • garantizar que todo el personal esté informado de su responsabilidad en la gestión de la información;

• • utilizar recursos y tecnologías apropiadas que garanticen los resultados del desempeño;

• • Garantizar las condiciones de seguridad en todo tipo de actividad o fase del tratamiento de datos personales y sensibles.

Para alcanzar estos objetivos e intenciones, Punto EXE Srl garantiza y se compromete a:

 

• • desarrollar, mantener, supervisar y mejorar continuamente el sistema de gestión de la seguridad de la información (en adelante SGSI), de conformidad con la norma UNI CEI EN ISO-IEC 27001-2024, capaz de satisfacer los requisitos declarados y mejorar continuamente la eficacia, fiabilidad y disponibilidad de los servicios informáticos prestados y de los procesos primarios y auxiliares;

• • elaborar, actualizar y supervisar los planes de desarrollo para que la infraestructura y los servicios de TI respalden las actividades del negocio, adoptando políticas de seguridad adecuadas;

• • al almacenamiento seguro de la información gestionada;

• • a la adecuada definición del contenido técnico de los servicios prestados (especificaciones del servicio) que se refleja en una serie de referencias normativas especializadas que incluyen protocolos informáticos y documentación técnico-científica;

• • a la cualificación y competencia del personal involucrado;

• • a la correcta ejecución de las actividades de investigación, análisis (incluso experimentales), diseño y asistencia, requisitos esenciales para la validez de los servicios prestados, garantizados por la competencia y fiabilidad del personal, según protocolos validados y reconocidos y, secundariamente, a la conformidad del sistema con la norma UNI CEI EN ISO-IEC 27001-2024;

• • proporcionar un marco estructural para establecer y revisar los objetivos de seguridad de la información;

• • difundir los principios y valores declarados en la política de empresa por la organización y hacer activa y efectiva la comunicación hacia y desde las distintas partes interesadas para que ésta sea comprendida y participada;

• • cumplir con las normas y leyes que regulan los servicios y el procesamiento de los datos relacionados y mantener la seguridad del complejo de registros e información administrados;

• • revisar periódicamente su política y objetivos siempre que sea necesario, tras la implementación de cambios que la afecten, para asegurar su continua adecuación y hacer efectivo su compromiso de mejora.

La Dirección revisará periódicamente la eficacia y eficiencia del Sistema de Gobierno de la Seguridad de la Información, asegurando el adecuado soporte para la adopción de las mejoras necesarias que posibiliten la activación de un proceso continuo que deberá monitorear los cambios en las condiciones del entorno o en los objetivos de negocio corporativos para asegurar su adecuada adaptación.

Campobasso, 25/09/2024 Aprobado por la Dirección