Política de Seguridad de la Información

1. Introducción

La información es un activo fundamental para TCGConnect, y tratamos la seguridad de la información como un elemento crítico y estratégico. La gestión segura de la información es una prioridad, necesaria para competir y adaptarse a los cambios del mercado y del entorno regulatorio.

Además, la legislación actual establece un marco claro sobre la protección y seguridad de la información, imponiendo requisitos exigentes de cumplimiento, los cuales adoptamos y aplicamos en nuestras operaciones.

Este documento establece los principios y reglas básicas que sustentan la Seguridad de la Información en TCGConnect. Estos principios están basados en las necesidades de negocio, el valor de los activos informativos y una comprensión de los riesgos asociados. Con ellos, buscamos proteger la disponibilidad, integridad y confidencialidad de la información, además de garantizar la continuidad de nuestros servicios.

2. Objetivo

El objetivo de esta política es garantizar la calidad de la información y la prestación continua de servicios mediante la prevención, supervisión y respuesta rápida a incidentes de seguridad.

Para lograr esto, seguimos los estándares y normativas de seguridad reconocidos, como el Esquema Nacional de Seguridad (ENS) y la norma ISO/IEC 27001, adaptando nuestras medidas de protección a las amenazas emergentes.

3. Alcance

Esta política se aplica a todas las áreas de TCGConnect, a todos los empleados, y a terceros que gestionan información en nuestro nombre. Afecta tanto a equipos físicos (servidores, dispositivos personales), redes, aplicaciones y sistemas, como a los procesos de negocio que manejan y administran información.

4. Principios de Seguridad de la Información

4.1 Prevención

Para prevenir incidentes, TCGConnect implementa controles y prácticas mínimas de seguridad alineadas con el ENS y la ISO/IEC 27001. Estas medidas incluyen:

• Autorización de los sistemas antes de su uso en producción.
• Evaluaciones periódicas de seguridad, incluidas revisiones independientes.
• Definición clara de roles y responsabilidades en seguridad para todo el personal.

4.2 Detección

Los sistemas y servicios de TCGConnect se monitorizan continuamente para detectar cualquier anomalía o desviación en el nivel de prestación. Se establecen procedimientos para la notificación, análisis y reporte de incidentes.

4.3 Respuesta y Recuperación

En caso de incidente, la respuesta es rápida y eficaz para minimizar el impacto. Esto incluye:

• Designación de un punto de contacto para la comunicación de incidentes.
• Protocolos para el intercambio de información de seguridad con organismos y CERT.
• Desarrollo de planes de continuidad y recuperación para asegurar la disponibilidad de los servicios críticos.

5. Organización de la Seguridad de la Información

Para garantizar la adecuada gestión de la seguridad, TCGConnect ha formado un Comité de Seguridad con las siguientes funciones y responsabilidades:

• Dirección Ejecutiva: Aprueba políticas, objetivos y revisiones de seguridad.
• Responsable de la Seguridad (CISO): Asegura que los sistemas cumplen con los estándares de seguridad y promueve la capacitación en seguridad.
• Responsables de Servicio: Definen y aplican los requisitos de seguridad en cada servicio y sistema bajo su gestión.
• Delegado de Protección de Datos: Supervisa el cumplimiento de la normativa de protección de datos y actúa como punto de contacto con la autoridad competente.

6. Roles y Responsabilidades

• Comité de Seguridad: Revisa anualmente la Política de Seguridad y coordina su implementación.
• Empleados y Usuarios: Cumplen con la Política de Seguridad en sus funciones diarias. Los incumplimientos pueden ser sujetos a medidas disciplinarias.
• Terceras Partes: Deben seguir las políticas de seguridad establecidas al gestionar o acceder a la información de TCGConnect.

7. Documentación y Actualización

Esta política se actualizará anualmente o cuando existan cambios en el marco regulatorio o en la estructura organizativa. Además, se documentarán y analizarán los resultados de auditorías y revisiones para aplicar mejoras continuas.

8. Aprobación y Entrada en Vigor

Esta política entra en vigor desde su aprobación y permanecerá vigente hasta que sea sustituida por una nueva versión. La Dirección de TCGConnect aprueba y difunde esta política a todos los niveles de la organización.

Distribución de la Política

• Personal y Directivos: Reciben la política a través de los canales internos de comunicación (correo electrónico, intranet).
• Clientes y Proveedores: Pueden consultar la política de seguridad en la página web de TCGConnect.

9. Procedimientos de Denuncia y Gestión de Incidencias

Para garantizar un entorno seguro, TCGConnect dispone de un canal de denuncias donde los empleados pueden reportar posibles incumplimientos. Además, existe un protocolo para la gestión y resolución de incidencias de seguridad.

10. Revisión y Mejora Continua

El Comité de Seguridad revisará y propondrá mejoras a esta política al menos una vez al año. Las auditorías y revisiones de cumplimiento serán parte de este proceso para mantener la política actualizada y adaptada a los cambios del entorno.