POLÍTICA DE CALIDAD

Nexus IT es una compañía del sector de las tecnologías de la información, especializada en los sectores de Administración Pública y Sanidad, desarrollando soluciones innovadoras que ayudan a mejorar áreas especificas, como son la Licitación y Contratación Pública, o la gestión de Laboratorios Clínicos.

La Dirección General de la compañía, decidió en el año 2008 implantar un Sistema de Gestión de la Calidad, basado en la norma ISO 9001:2000, el cual se ha adaptado en el año 2017 a la norma ISO 9001:2015.

Nexus IT, de forma interna, busca fomentar una organización donde todas las personas que forman parte de ella, se sientan integradas, informadas, con capacidad de opinar y de ser escuchados. Así tendrán la oportunidad de influir en el crecimiento y en el resultado de la compañía.

La premisa anterior permite alcanzar la finalidad última de obtener la satisfacción de nuestros clientes, cumpliendo con los requisitos ofertados, en los plazos y precios fijados, así como con todos aquellos requisitos de carácter legal o reglamentario que también nos conciernan.

Para facilitar la consecución de lo expuesto y añadirle valor a nuestros servicios, las directrices que rigen nuestra política son:

  • El cumplimiento de los requisitos, explícitos e implícitos, de nuestros clientes, así como los legales y reglamentarios aplicables, consolidando la confianza en nuestra empresa.
  • La gestión y el control eficaz de los procesos que componen el desarrollo de nuestra actividad.
  • La mejora continua de los procesos, procedimientos, productos y servicios, mediante el análisis y la medición de indicadores de calidad.
  • Abordar riesgos y oportunidades a partir de la compresión del contexto de Nexus IT y las expectativas y necesidades de las partes interesadas.
  • La asignación eficaz de funciones, recursos y responsabilidades.
  • La concienciación, formación y motivación del personal de la compañía, sobre la importancia de la implantación y desarrollo del Sistema de Gestión de la Calidad y sobre su implicación en el cumplimiento de las expectativas de los clientes.
  • La fidelización y la satisfacción de los clientes.
  • La cooperación con clientes y proveedores.

Cumpliendo con estas directrices, garantizamos que todas las personas que influyen en la calidad del servicio y del software fabricado, orienten su actividad hacia la consecución de la satisfacción del cliente.

La presente política y los compromisos descritos, constituyen el marco de referencia para el establecimiento de los objetivos anuales de la calidad.

Esta política es analizada en las reuniones de Revisión del Sistema por la Dirección, con el objeto de asegurar su continua adecuación.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Nexus IT es un organismo empresarial privado especializado en el desarrollo de aplicaciones informáticas. Como tal tiene como objetivo el desarrollo de aplicaciones con alto valor añadido para sus clientes y el cumplimiento de los objetivos que de forma periódica le marcan sus accionistas. En este desempeño la empresa precisa que la información y datos que maneja y posee se halle segura ante los riesgos existentes y con este objeto aprueba la presente Política de Seguridad de la Información.

 

I. Política de Seguridad de la Información

La Política de Seguridad de la Información identifica responsabilidades y establece principios y directrices para una protección apropiada y consistente de los servicios y activos de información gestionados por medio de las Tecnologías de la Información y de las Comunicaciones (TIC).

La Política de Seguridad de la Información es el instrumento en que se apoya la Nexus IT para alcanzar sus objetivos utilizando de forma segura los sistemas de información y las comunicaciones. La seguridad, concebida como proceso integral, comprende todos los elementos técnicos, humanos, materiales y organizativos relacionados con los sistemas de información y las comunicaciones, y debe entenderse no como un producto, sino como un continuo proceso de adaptación y mejora, que debe ser controlado, gestionado y monitorizado, implantando la cultura de la seguridad en Nexus IT.

La Política de Seguridad de la Información pretende dar soporte al desarrollo, coordinación y racionalización de las actividades específicas de Nexus IT y a la actualización de los conceptos según la evolución de las TIC y de la legislación vinculante y alcanzar de esta forma un conjunto equilibrado y completo.

 

II. Misión y marco normativo de Nexus IT

Es misión de Nexus IT el desarrollo de aplicaciones con alto valor añadido para sus clientes y el cumplimiento de los objetivos que asociados a esta misión de forma periódica le marcan sus accionistas.

Para el cumplimiento de su misión Nexus IT realiza actividades de desarrollo, comercialización, implantación, soporte y mantenimiento de aplicaciones software, tanto en su modalidad in situ como en línea, con destino al sector sanitario y a la administración pública. Los sistemas vinculados a dichas actividades, así como los relacionados con tareas de soporte para estas estarán sujetas al alcance del Sistema de Gestión de Seguridad de la Información.

El marco normativo en el que Nexus IT desarrolla sus actividades es el siguiente:

Marco regulatorio
General
Constitución española de 1979
Ley Orgánica de Protección de Datos  de Carácter Personal 3/2018 de 5 de diciembre
Reglamento UE 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos
Código Civil de 1889 y sus modificaciones posteriores
Código de Comercio de 1885 y sus modificaciones posteriores, así como sus normas de desarrollo
Real Decreto Legislativo 1/2010, de 2 de julio, por el que se aprueba el texto refundido de la Ley de Sociedades de Capital.
Ley Orgánica 5/2010 de 22 de junio, por la que se modifica la Ley orgánica 10/1995 de 23 de noviembre del Código penal
Ley orgánica 10/1995, de 23 de noviembre del Código Penal y sus modificaciones posteriores
Ley 22/2003, de 9 de julio, Concursal
Laboral
Real Decreto legislativo 2/2015 de 23 de octubre por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores
Ley Orgánica 11/1985, de 2 de agosto, de Libertad Sindical.
Ley 31/1995, de 8 de noviembre, de prevención de Riesgos Laborales.
Real Decreto Legislativo 8/2015, de 30 de octubre, por el que se aprueba el texto refundido de la Ley General de la Seguridad Social
Ley 20/2007 de 11 de julio del Estatuto del trabajo autónomo
Ley Orgánica 4/2000, de 11 de enero, sobre derechos y libertades de los extranjeros en España y su integración social.
Ley Orgánica 3/2007, de 22 de marzo, para la igualdad efectiva de mujeres y hombres.
Ley 11/2016, de 28 de julio, de igualdad de mujeres y hombres
Ley 13/1982, de 7 de abril, de integración social de los minusválidos.
Real Decreto Legislativo 1/2013, de 29 de noviembre, por el que se aprueba el Texto Refundido de la Ley General de derechos de las personas con discapacidad y de su inclusión social
Real Decreto 2001/1983, de 28 de julio, sobre regulación de la jornada de trabajo, jornadas especiales y descansos.
Real Decreto-ley 3/2012, de 10 de febrero, de medidas urgentes para la reforma del mercado laboral
Real Decreto-ley 17/1977, de 4 de marzo, sobre relaciones de trabajo
Legislación vigente en materia de contratación
XVII Convenio colectivo estatal de empresas de consultoría y estudios de mercado y de la opinión pública
Por actividad
Normas vigentes de derecho mercantil, tributario y financiero
Ley 58/2003, de 17 de diciembre, General Tributaria y sus normas de desarrollo
Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias.
Ley 7/1998, de 13 de abril, sobre condiciones generales de la contratación.
Ley 2/2011, de 4 de marzo, de Economía Sostenible
Ley 26/2007, de 23 de octubre, de Responsabilidad Medioambiental
Ley 17/2001, de 7 de diciembre, de Marcas.
Ley 34/1988, de 11 de noviembre, General de Publicidad.
Ley 3/1991, de 10 de enero, de Competencia Desleal.
Ley 15/2007, de 3 de julio, de Defensa de la Competencia
Real Decreto 1514/2007, de 16 de noviembre, por el que se aprueba el Plan General de Contabilidad
Ley 34/2002, de 11 de julio de Servicios de la Sociedad de Información y Comercio Electrónico
Real Decreto Legislativo 3/2011, de 14 de noviembre, por el que se aprueba el texto refundido de la Ley de Contratos del Sector Público
Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014
Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual, regularizando, aclarando y armonizando las disposiciones legales vigentes sobre la materia.
Ley 24/2015, de 24 de julio, de Patentes.
Real Decreto 3/2010, de 8 de enero, de desarrollo del Esquema Nacional de Seguridad modificado por el Real Decreto 951/2015, de 23 de octubre.


III. Principios de la seguridad de la información

  1. Principios básicos.

Los principios básicos son directrices fundamentales de seguridad que han de tenerse siempre presentes en cualquier actividad relacionada con el uso de los activos de información. Se establecen los siguientes:

  • Alcance estratégico: La seguridad de la información debe contar con el compromiso y apoyo de todos los niveles directivos de forma que pueda estar coordinada e integrada con el resto de iniciativas estratégicas de Nexus IT para conformar un todo coherente y eficaz.
  • Responsabilidad diferenciada: En los sistemas de información se diferenciará el responsable de la información, que determina los requisitos de seguridad de la información tratada; el responsable del servicio, que determina los requisitos de seguridad de los servicios prestados; el responsable del sistema, que tiene la responsabilidad sobre la prestación de los servicios; y el responsable de seguridad, que determina las decisiones para satisfacer los requisitos de seguridad. La responsabilidad de la seguridad de la información estará por tanto diferenciada de la responsabilidad sobre la prestación de los servicios.
  • Seguridad integral: La seguridad se entenderá como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con el sistema, evitando, salvo casos de urgencia o necesidad, cualquier actuación puntual o tratamiento coyuntural. La seguridad de la información debe considerarse como parte de la operativa habitual, estando presente y aplicándose desde el diseño inicial de los sistemas de información.
  • Gestión de Riesgos: El análisis y gestión de riesgos será parte esencial del proceso de seguridad. La gestión de riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. La reducción de estos niveles se realizará mediante el despliegue de medidas de seguridad, que establecerá un equilibrio entre la naturaleza de los datos y los tratamientos, el impacto y la probabilidad de los riesgos a los que estén expuestos y la eficacia y el coste de las medidas de seguridad.
  • Proporcionalidad: El establecimiento de medidas de protección, detección y recuperación deberá ser proporcional a los potenciales riesgos y a la criticidad y valor de la información y de los servicios afectados.
  • Mejora continua: Las medidas de seguridad se reevaluarán y actualizarán periódicamente para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección. La seguridad de la información será atendida, revisada y auditada por personal cualificado, instruido y dedicado.
  • Seguridad por defecto: Los sistemas deben diseñarse y configurarse de forma que garanticen un grado suficiente de seguridad por defecto.
  1. Principios particulares y responsabilidades específicas

Las directrices fundamentales de seguridad se concretan en un conjunto de principios particulares y responsabilidades específicas, que se configuran como objetivos instrumentales que garantizan el cumplimiento de los principios básicos de la Política de Seguridad de la Información y que inspiran las actuaciones de Nexus IT en dicha materia. Se establecen los siguientes:

  • Protección de datos de carácter personal: Nexus IT adoptará las medidas técnicas y organizativas destinadas a garantizar el nivel de seguridad exigido por la normativa vigente en relación con el tratamiento de los datos de carácter personal.
  • Gestión de activos de información: Los activos de información de la Nexus IT se encontrarán inventariados y categorizados y estarán asociados a un responsable.
  • Seguridad ligada a las personas: Nexus IT implantará los mecanismos necesarios para que cualquier persona que acceda, o pueda acceder a los activos de información, conozca sus responsabilidades y de este modo se reduzca el riesgo derivado de un uso indebido de dichos activos.
  • Seguridad física: Los activos de información serán emplazados en áreas seguras, protegidas por controles de acceso físicos adecuados a su nivel de criticidad. Los sistemas y los activos de información que contienen dichas áreas estarán suficientemente protegidos frente a amenazas físicas o ambientales.
  • Seguridad en la gestión de comunicaciones y operaciones: Nexus IT establecerá los procedimientos necesarios para lograr una adecuada gestión de la seguridad, operación y actualización de las TIC. La información que se transmita a través de redes de comunicaciones deberá ser adecuadamente protegida, teniendo en cuenta su nivel de sensibilidad y de criticidad, mediante mecanismos que garanticen su seguridad.
  • Control de acceso: Nexus IT limitará el acceso a los activos de información por parte de usuarios, procesos y otros sistemas de información mediante la implantación de los mecanismos de identificación, autenticación y autorización acordes a la criticidad de cada activo. Además, quedará registrada la utilización del sistema con objeto de asegurar la trazabilidad del acceso y auditar su uso adecuado, conforme a la actividad de la organización.
  • Adquisición, desarrollo y mantenimiento de los sistemas de información: Nexus IT contemplará los aspectos de seguridad de la información en todas las fases del ciclo de vida de los sistemas de información, garantizando su seguridad por defecto.
  • Gestión de los incidentes de seguridad: Nexus IT implantará los mecanismos apropiados para la correcta identificación, registro y resolución de los incidentes de seguridad.
  • Gestión de la continuidad: Nexus IT implantará los mecanismos apropiados para asegurar la disponibilidad de los sistemas de información y mantener la continuidad de sus procesos de negocio, de acuerdo a las necesidades de nivel de servicio de sus usuarios.
  • Cumplimiento: Nexus IT adoptará las medidas técnicas, organizativas y procedimentales necesarias para el cumplimiento de la normativa legal vigente en materia de seguridad de la información.
  • Atención a las partes interesadas. – Nexus IT tamará las medidas oportunas encaminadas a dar respuesta a las necesidades identificadas de las partes interesadas y que estén en su capacidad.

 

IV. Estructura normativa

Dada la amplitud de los temas que afectan a la seguridad de la información y su rápida evolución, se hace necesario estructurar el desarrollo de la normativa de seguridad de la información en distintos niveles relacionados jerárquicamente:

  1. Primer nivel normativo: Política de Seguridad, Manual de Seguridad y anexos
  2. Segundo nivel normativo: Normas de Seguridad.
  3. Tercer nivel normativo: Procedimientos de Seguridad.

La estructura jerárquica permite adaptar con eficiencia los niveles normativos inferiores a los cambios en los entornos operativos de Nexus IT, sin necesidad de revisar su estrategia de seguridad.

El personal de Nexus IT tendrá la obligación de conocer y cumplir, además de la Política de Seguridad de la Información, todas las Normas y Procedimientos de Seguridad de la Información que puedan afectar a sus funciones.

  1. Primer nivel normativo: Política de Seguridad de la Información. Manual de Seguridad y anexos. – Constituye el primer nivel normativo la Política de Seguridad de la Información, recogida en el presente documento y aprobada por la Dirección de Nexus IT.
  2. Segundo nivel normativo: Normas de Seguridad de la Información. – El segundo nivel normativo desarrolla la Política de Seguridad de la Información mediante normas específicas que abarcan un área o aspecto determinado de la seguridad de la información. Las Normas de Seguridad de la Información desarrollarán, al menos, los aspectos recogidos en los Principios particulares y responsabilidades específicas de esta Política de Seguridad de la Información.

Las Normas de Seguridad de la Información tienen aplicabilidad en todo el ámbito de Nexus IT, siendo el órgano responsable de su preparación y aprobación el Comité de Seguridad de Nexus IT.

En el ámbito de sus funciones, el Comité de Seguridad de Nexus IT propondrá a la Dirección General de esta las medidas que considere necesarias para el desarrollo o adecuación de la Política de Seguridad de la Información.

  1. Tercer nivel normativo: Procedimientos de Seguridad de la Información

El tercer nivel normativo está constituido por los Procedimientos de Seguridad de la Información, instrucciones de carácter técnico o procedimental que se deben observar en tareas o actividades relacionadas con la seguridad de la información y la protección de la información y de los servicios.

Dependiendo del aspecto tratado, se aplicarán a un ámbito específico o a un sistema determinado. La responsabilidad de la aprobación de las normas de este nivel será del Comité de Seguridad.

 

V. Organización de la seguridad

La organización de la seguridad debe tener en cuenta la propia organización de Nexus IT, en el que se añade al sistema de información especifico, la coordinación con los sistemas del grupo Publicis al que pertenece, la complejidad de la distribución territorial y funcional de su personal. En consecuencia, las responsabilidades en seguridad de la información deben emerger en todos los ámbitos.

Son órganos que intervienen en la seguridad de la información de Nexus IT:

a) Dirección General de Nexus IT. Como responsable último del funcionamiento de los servicios, la Dirección General de Nexus IT apoya explícitamente las actividades relativas a la seguridad de las TIC en todo el ámbito de Nexus IT. Dentro del marco establecido en el Esquema Nacional de Seguridad, la Dirección general de Nexus IT, tienen en su ámbito las funciones de Responsable del Servicio y Responsable de la Información. Si esta información incluye datos de carácter personal, además deberán tenerse en cuenta los requisitos derivados de la legislación correspondiente sobre protección de datos.

b) Responsable de la Información. – Es el propietario del riesgo de toda la información. Vela por el buen uso de la información y, por tanto, de su protección. Es el responsable último de cualquier error o negligencia que lleve a un incidente de confidencialidad de integridad. Establece los requisitos de la información en materia de seguridad. Determina los niveles de seguridad de la información.

c) Responsables de Departamento. – Son los responsables del cumplimiento de la normativa en su ámbito respectivo. Apoyan a la Dirección General para el establecimiento de los requisitos, en materia de seguridad, de los servicios y de la información que manejen. Si esta información incluye datos de carácter personal, además deberán tenerse en cuenta los requisitos derivados de la legislación correspondiente sobre protección de datos.

d) Responsable del Sistema de Gestión de Seguridad de la Información (SGSI). Se ocupa de desarrollar, operar y mantener el sistema de información durante todo su ciclo de vida, de sus especificaciones e instalación y de la verificación de su correcto funcionamiento.

Dentro del marco establecido en el Esquema Nacional de Seguridad, el Responsable de Seguridad y del Sistema de calidad ejercerá las funciones de Responsable del Sistema.

e) Comité de Seguridad. – El Comité de Seguridad es el órgano colegiado encargado de analizar y evaluar los riesgos, de establecer y mantener actualizados los criterios y directrices generales sobre seguridad de la información y de acordar y hacer operativas medidas para mejorar y reforzar los sistemas de seguridad y control. El Comité podrá recabar de otros órganos asesoramiento sobre temas en los que tenga que decidir o emitir una opinión, organizándose en grupos de trabajo para abordar trabajos o actividades específicas.

El Comité de Seguridad estará compuesto por:

  • Responsable del Servicio => Dirección general
  • Responsable de la Información => Dirección general
  • Responsable del SGSI
  • Responsable del Sistema => Responsable del SGSIf)

f) Administradores de Seguridad. Todos los Departamentos y Servicios Nexus IT designarán un Administrador de Seguridad. Los Administradores de Seguridad dependen directamente, y a los efectos de seguridad de la información exclusivamente, de los Responsables de Departamentos. Son responsables, en sus respectivos ámbitos, de impulsar, coordinar y controlar las medidas de seguridad establecidas en la organización y la ejecución de los planes de actuación que establezca el Comité de Seguridad.

El Responsable del Sistema de Gestión de Seguridad de la Información, será el Responsable de Seguridad Física del Sistema, encargado de coordinar las actuaciones de seguridad de Nexus IT, impartiendo directrices y promocionando la adopción de las medidas oportunas para garantizar la seguridad de las personas y de los edificios de Nexus IT

La coordinación de las actividades en materia de Seguridad de la Información será efectuada por el Responsable del SGSI, quien adoptará las medidas oportunas para dar ejecución a las decisiones tomadas por el Comité de Seguridad. El responsable del SGSI transmitirá a los diferentes responsables las actividades a realizar quienes a su vez serán los encargados de llevarlas a cabo.

En caso de conflicto en materia de seguridad de la información entre los diferentes órganos y responsables que intervienen en la misma, prevalecerá la decisión del Comité de Seguridad.

 

VI. Gestión de riesgos

La gestión de riesgos debe realizarse de manera continua sobre el sistema de información y contemplar un análisis de riesgos avanzado que evalúe los riesgos residuales y proponga tratamientos adecuados.

La gestión de riesgos sobre el sistema de información estará alineada con la gestión de riesgos establecida en Nexus IT, centrada en el Mapa de Riesgos de la organización.

El Comité de Seguridad, en el ejercicio de sus funciones, se encargará de analizar y evaluar los riesgos de funcionamiento de los servicios a fin de establecer las correspondientes medidas preventivas.

Para la realización del análisis de riesgos se tendrán en cuenta las recomendaciones publicadas para el ámbito de la Administración Pública y en especial las guías elaboradas por el Centro Criptológico Nacional.

 

VII. Formación y concienciación

Nexus IT desarrollará actividades específicas orientadas a la formación y concienciación de su personal en materia de seguridad de la información, así como a la difusión de la Política de Seguridad de la Información y su desarrollo normativo, en particular entre el personal de nueva incorporación.

A estos efectos, los Planes de Formación de Nexus IT incluirán actividades formativas específicas sobre esta materia.

Nexus IT promoverá una cultura de la seguridad de la información alineada con la Política de Seguridad de la Información entre aquellas organizaciones y usuarios externos que tengan acceso por acuerdo o convenio a los sistemas de información de la Nexus IT.

 

VIII. Actualización y revisión periódica

La Política de Seguridad de la Información deberá mantenerse actualizada permanentemente para adecuarla al progreso de los servicios, a la evolución tecnológica y al desarrollo de la sociedad de la información, así como a los estándares internacionales de seguridad.

Las propuestas de revisión de la Política de Seguridad de la Información se elaborarán por el Comité de Seguridad, que con tal objetivo revisará regularmente la oportunidad, idoneidad, completitud y precisión de lo establecido en la Política de Seguridad de la Información.

 

Las Rozas, a 12 de marzo de 2019

 

La Dirección General