Política de seguridad

Nuestra política de seguridad se actualizó por última vez el 18 de diciembre de 2024.

Esta política de seguridad describe el marco de seguridad de la información para Hubtype y su compromiso de proteger la confidencialidad, la integridad y la disponibilidad de sus activos de información. La política se aplica a todos los empleados, contratistas y proveedores externos que gestionan los activos de información de Hubtype o tienen acceso a ellos.

El comité de seguridad de Hubtype es responsable de definir metas y objetivos enfocados en la evaluación del desempeño en materia de seguridad de la información y el cumplimiento de la legislación vigente en materia de sistemas de información, así como de mejorar continuamente nuestras actividades, que están reguladas por el sistema de gestión que desarrolla esta política. La administración es responsable de proporcionar los recursos y el apoyo necesarios para implementar y mantener la política de seguridad.

Marco de políticas de seguridad de la información

Hubtype ha establecido un marco integral de políticas de seguridad de la información que incluye evaluaciones de riesgos periódicas, la implementación de controles de seguridad apropiados, la gestión de incidentes y el cumplimiento de las normas y normas pertinentes.

Gestión de activos

Hubtype cuenta con un proceso formal para identificar, clasificar y proteger sus activos de información. Este proceso incluye revisiones y actualizaciones periódicas para garantizar la protección continua de los activos de información críticos.

Seguridad de los recursos humanos

Hubtype lleva a cabo programas de concientización y capacitación en materia de seguridad para todos los empleados y contratistas a fin de garantizar que comprendan sus funciones y responsabilidades a la hora de mantener la confidencialidad, la integridad y la disponibilidad de los activos de información.

Comunicaciones

Los empleados, contratistas y proveedores de Hubtype deben seguir el proceso de comunicación segura para garantizar que la información se transmita de forma segura.

Control de acceso

Hubtype ha implementado procesos de control de acceso siguiendo el enfoque de privilegio de acceso mínimo para garantizar los permisos mínimos y que solo las personas autorizadas tengan acceso a sus activos de información. Esto incluye los procesos de registro, autenticación y autorización de usuarios.

Seguridad de infraestructuras

Todos los componentes se definen mediante Infraestructura como código (IaC) y el código fuente debe revisarse teniendo en cuenta la confidencialidad, la integridad y la disponibilidad de los datos antes de añadir el código a la producción. Hubtype supervisa los componentes críticos y los sistemas de alarma para asegurarse de que se notifique a una persona de guardia si se produce alguna irregularidad.

Seguridad de las aplicaciones

Todo el código fuente debe revisarse teniendo en cuenta la confidencialidad, integridad y disponibilidad de los datos. También debe seguir los estándares de codificación establecidos en Hubtype y superar todas las pruebas. Además, hemos implementado un análisis estático y un escaneo de imágenes para detectar cualquier vulnerabilidad.

Seguridad de los datos de los clientes

Hubtype usa TLSv1.2 para garantizar la seguridad de los datos en tránsito y el cifrado SHA-256 para los datos en reposo. También tenemos resiliencia al mantener una segunda réplica de nuestras bases de datos listas para su uso y al emplear múltiples AZ en nuestros componentes críticos. Todos nuestros proveedores críticos que procesan o almacenan información personal o datos considerados confidenciales cumplen con el RGPD.

Funciones y responsabilidades en relación con el cifrado de la información

Para garantizar la rendición de cuentas y la implementación adecuada de las prácticas de cifrado, se definen las siguientes funciones y responsabilidades:

  • Responsable de protección de datos (DPR):
    • Garantiza que todas las prácticas de protección y seguridad de datos se alineen con las normativas y políticas de privacidad de datos.
    • Actúa como enlace entre la empresa y los organismos reguladores en relación con el cumplimiento del cifrado.
  • Gerente de seguridad técnica:
    • Supervisa la implementación y la administración de las políticas de cifrado.
    • Garantiza el cumplimiento de las normas reglamentarias (por ejemplo, el RGPD) en relación con el cifrado de datos.
    • Revisa y actualiza periódicamente los protocolos de cifrado para hacer frente a las amenazas emergentes.
    • Actúa como propietario de las claves de cifrado, responsable de almacenarlas de forma segura y de conceder acceso a otros miembros del equipo cuando sea necesario.
  • Equipos de ingeniería:
    • Implemente y mantenga tecnologías de cifrado (por ejemplo, TLSv1.2 para datos en tránsito, SHA-256 para datos en reposo).
    • Realice pruebas periódicas para garantizar que los métodos de cifrado estén operativos y sean efectivos.
    • Colabore con el gerente de seguridad técnica para abordar las vulnerabilidades identificadas en los mecanismos de cifrado.
  • Equipo de operaciones de TI:
    • Administra y monitorea las funciones de resiliencia, incluidas las réplicas de bases de datos y las configuraciones Multi-AZ.
    • Garantiza que las claves de cifrado se almacenen y roten de forma segura según los requisitos de la política.
  • Todos los empleados:
    • Cumpla con las políticas de la organización en relación con el manejo y el cifrado de datos.
    • Informe inmediatamente al equipo de seguridad de TI sobre cualquier sospecha de violación o vulnerabilidad de seguridad.

Se llevan a cabo auditorías y capacitaciones periódicas para garantizar que todos los roles estén equipados para manejar sus responsabilidades de manera efectiva y mantener los más altos estándares de seguridad de los datos.

Gestión de incidentes

Hubtype ha establecido un proceso de gestión de incidentes para responder y denunciar los incidentes de seguridad, incluidas las filtraciones de datos, las intrusiones en la red y las fallas del sistema.

Gestión de la continuidad del negocio

Hubtype cuenta con un plan de continuidad empresarial para garantizar la continuidad de las operaciones comerciales en caso de una violación o interrupción de la seguridad.

Cumplimiento

Hubtype se compromete a cumplir con los requisitos legales y reglamentarios pertinentes, así como con los estándares y mejores prácticas de la industria, incluida la ISO 27001.

Revisión y revisión

Hubtype revisa y revisa periódicamente su política de seguridad para garantizar su eficacia y su alineación con las necesidades de la organización. Esta revisión se lleva a cabo al menos una vez al año o según sea necesario en función de los cambios en el entorno de seguridad de la información.

Política de Seguridad de la Información

  1. Principios básicos y requisitos

Conscientes de la necesidad de contar con sistemas normalizados de reconocimiento internacional, la organización ha alineado su Sistema de Gestión de la Seguridad de la Información (SGSI) a los requisitos del Esquema Nacional de Seguridad (ENS) e ISO/IEC 27001:2022.

Mediante la presente Política de Seguridad, METIS SOLUTIONS SL articula la gestión continuada de la seguridad de la información, de acuerdo con los siguientes principios básicos y requisitos:

  • Organización e implantación del proceso de seguridad. La organización depende de los sistemas TIC para alcanzar los objetivos. Estos sistemas son administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad, confidencialidad o trazabilidad de la información tratada o los servicios prestados. El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y respondiendo de forma eficaz y oportuna a los incidentes. Para su consecución, la organización desarrolla y mantiene un proceso de seguridad basado en los siguientes elementos: Prevención, Detección, Respuesta y Conservación.
  • Análisis y gestión de los riesgos. Todos los sistemas sujetos a esta Política realizan análisis de riesgos conforme a procedimientos internos, evaluando las amenazas y los riesgos a los que estan expuestos. Dicho análisis se repetirá: regularmente, al menos una vez al año; cuando cambie la información gestionada; cuando se modifiquen los servicios prestados; cuando ocurra un incidente grave de seguridad; o cuando se reporten vulnerabilidades críticas.
  • Gestión de personal. Hay establecidos los mecanismos necesarios para que cualquier persona que accede o pueda acceder a los activos de información conozca sus responsabilidades, reduciendo así el riesgo derivado de un uso indebido.
  • Profesionalidad. La seguridad del sistema de información es gestionada, revisada y auditada por personal cualificado, dedicado e instruido en todas las fases de su ciclo de vida. Asimismo, se definen los requisitos de formación y experiencia necesarias para el desempeño de las competencias asignadas.
  • Autorización y control de los accesos. El acceso a los activos de información se limita mediante controles adecuados, para que sólo usuarios, procesos y sistemas de información adecuados puedan acceder a ellos. Para ello, hay implantados mecanismos de identificación, autenticación y autorización acordes con la criticidad de cada activo. 
  • Protección de las instalaciones. La organización garantiza la protección de sus instalaciones y recursos TIC corporativos (correo electrónico, acceso a internet, equipamiento informático y de comunicaciones). Los activos de información están inventariados, categorizados y asociados a un responsable, asegurando su gestión adecuada.
  • Adquisición de productos. La adquisición, desarrollo y mantenimiento de los sistemas de información incorpora de manera obligatoria los aspectos de seguridad de la información en todas las fases de su ciclo de vida.
  • Mínimo privilegio. Los sistemas de información han sido diseñados y configurados siguiendo el principio de mínimo privilegio, otorgando únicamente los permisos estrictamente necesarios para su correcto funcionamiento. 

Asimismo, se aplica el principio de seguridad por defecto. En el caso de medidas de seguridad física, la organización no dispone de instalaciones propias; la seguridad física y ambiental de los sistemas y activos de información se gestiona a través de los proveedores de servicios cloud, quienes aplican medidas adecuadas a la criticidad de los activos.

  • Integridad y actualización del sistema. Todos los sistemas se mantienen íntegros y actualizados conforme a los requisitos establecidos, y mediante procesos de gestión del cambio y análisis de riesgos.
  • Protección de la información almacenada y en tránsito. Toda la información se almacena y transmite de forma adecuada, siguiendo las directrices establecidas en todas sus fases.
  • Prevención ante otros sistemas de información interconectados. El sistema protege su perímetro, en especial cuando se conecta a redes públicas. En todo caso se analizan los riesgos derivados de la interconexión del sistema, a través de redes, con otros sistemas, y se controla su punto de unión.
  • Registro de actividad. Se registran las actividades de los usuarios, reteniendo la información necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas. Estos registros permiten identificar en cada momento a la persona que actúa.
  • Incidentes de seguridad. Se gestionan los incidentes de seguridad mediante mecanismos apropiados que permiten su correcta identificación, registro y resolución. 
  • Continuidad de la actividad. Se gestiona la continuidad de la actividad mediante mecanismos apropiados que aseguran la disponibilidad de los sistemas de información y mantienen la continuidad de sus procesos de negocio.
  • Mejora continua del proceso de seguridad. El proceso integral de seguridad implantado es actualizado y mejorado de forma continua. Para ello, se aplican criterios y métodos reconocidos en la práctica nacional e internacional relativos a la gestión de las tecnologías de la información.

  1. Compromisos de la Dirección

La Dirección se compromete a liderar y mantener un Sistema de Gestión Seguridad de la Información en la organización basado en la mejora continua y en los siguientes objetivos generales

  • El compromiso firme de conocer las necesidades y expectativas de clientes y partes interesadas, para lograr su satisfacción, y de mejora continua, estableciendo y verificando el cumplimiento de los objetivos y metas anuales.
  • El cumplimiento de la legislación y reglamentación aplicable, así como de los requisitos suscritos. 
  • La protección de la información propia y de clientes. La actividad de la organización implica el tratamiento de información variada como parte de sus procesos básicos. Dado que los sistemas de información, aplicaciones, infraestructuras de comunicaciones, archivos y bases de datos constituyen un activo importante de la empresa, la Dirección prioriza la confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad de la información al definir y delimitar los objetivos y responsabilidades de las actuaciones técnicas y organizativas. Asimismo, vigila el cumplimiento del marco legal, de las directivas y políticas específicas y de los procedimientos definidos.
  • La revisión continua de las competencias y la mejora continua, para garantizar la calidad de los servicios y la capacidad de afrontar los retos crecientes planteados por los clientes.
  • El desarrollo y mantenimiento general de una estructura documental eficaz para la gestión del Sistema de Información, basándose en:
    • Procedimiento general operativos.
    • Listado de documentos (internos y externos) del sistema para el control de versiones y vigencia.
    • Marco normativo de seguridad.
  1. Clasificación de la información y misión de la política

Metis Solutions, S.L. utiliza los sistemas TIC (tecnologías de la información y comunicación) para la prestación de sus servicios y el desarrollo de sus procesos. Estos sistemas se administran y regulan aplicando medidas que garantizan su protección frente a daños intencionados o accidentales que puedan afectar la disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad de la información.

La organización clasifica la información de uso no restringido como pública y asigna la categoría de uso restringido-confidencial a los datos personales, sensibles e información operacional, definiendo su manejo de acuerdo con lo establecido en el SGSI.

La misión de esta Política es garantizar la calidad y disponibilidad de la información, así como de los activos y servicios que la sustentan, asegurando un uso confiable y seguro para los clientes. Para ello, se aplican técnicas preventivas, se supervisa la práctica diaria y se gestionan los incidentes con la respuesta adecuada.

  1. Procesos de gestión de seguridad

Las diferentes áreas de negocio colaboran para dar respuesta a la posible materialización de amenazas. Todas actúan conforme a las directrices desplegadas desde el Sistema de Gestión de la Seguridad de la Información y el Esquema Nacional de Seguridad, aplicando buenas prácticas de seguridad lógica y física, de gestión de datos e información, y utilizando vías de comunicación establecidas para la notificación de incidencias. Esta colaboración se complementa con las medidas técnicas correspondientes al mantenimiento de infraestructuras y servicios TI internos.

Así pues, la organización establece procesos que permiten prevenir y detectar incidentes de seguridad, así como garantizar la posterior recuperación conforme al Artículo 8 del Esquema Nacional de Seguridad, especificados de la siguiente forma:

  • Prevención: La organización evita, en la medida de lo posible, los incidentes de seguridad que pueden afectar a la información o a los servicios. Para ello aplica las medidas mínimas especificadas por el ENS, las definidas en el SGSI y, adicionalmente, cualquier otra que el área responsable de seguridad considere necesaria tras el análisis y evaluación de riesgos, vulnerabilidades y amenazas. Asimismo, se identifican los responsables involucrados. 
  • Detección: Se supervisa la actividad diaria para detectar incidentes y anomalías de acuerdo con lo indicado en el Artículo 9 del ENS, estableciendo mecanismos que permiten la identificación activa, el análisis y el reporte a los responsables designados.
  • Respuesta: Se dispone de procesos que posibilitan la respuesta frente a los incidentes, con vías de comunicación claras a disposición de las partes interesadas, y mecanismos de intercambio de información con las unidades que deban responder a emergencias.
  • Conservación: La disponibilidad de los servicios y la información se garantiza mediante planes de continuidad.


  1. Gobierno de la seguridad

La seguridad se organiza a través del Comité de Seguridad de la Información, conformado por: la Dirección Responsable del Sistema, el Responsable de Seguridad de la Información, el Responsable del Sistema, el Responsable de la Información y el Responsable del Servicio.

Funciones del Comité:

  • Reportar al Comité de Dirección cuando sea necesario.
  • Coordinar y aprobar las acciones pertinentes en materia de seguridad.
  • Promover la concienciación y formación en seguridad de la información.
  • Definir la categoría del sistema y coordinar el análisis de riesgos.
  • Revisar y aprobar conjuntamente la documentación de seguridad y los registros asociados.
  • Participar en la resolución de problemas y discrepancias relacionadas con la gestión de la seguridad.

Responsabilidades del Responsable de Seguridad:

  • Mantener niveles de seguridad adecuados para la información y servicios bajo alcance.
  • Gestionar la formación y concienciación en seguridad.
  • Comprobar que las medidas de seguridad son adecuadas a los objetivos y necesidades de la organización.
  • Revisar la documentación relacionada con la seguridad del sistema.
  • Monitorizar el estado de seguridad del sistema a través de las herramientas de gestión de eventos y auditoría. 
  • Realizar las auditorías necesarias según lo establecido en el ENS
  • Apoyar y supervisar la investigación de incidentes de seguridad desde la notificación hasta su resolución, aportando informes para el Comité cuando corresponda.
  • Operar y mantener el sistema de información durante todo su ciclo de vida.
  • Definir el alcance del ENS, identificar los activos, evaluarlos en cada dimensión y establecer la categoría del sistema.
  • Revisar la evaluación de riesgos y plantear las salvaguardas y medidas correspondientes. 
  • Asegurar que las medidas de seguridad se integran adecuadamente en el marco general de seguridad

Responsabilidades del Responsable del Sistema:

  • Promover y organizar las auditorías periódicas según ENS en colaboración con el Responsable de Seguridad
  • Documentar la información relacionada con la seguridad
  • Participar actividades de formación y concienciación en seguridad
  • Registrar y dar seguimiento a las incidencias de seguridad y a los cambios que se originen. 
  • Favorecer la integración entre el SGSI y el Esquema Nacional de Seguridad
  • Realizar la evaluación de riesgos y amenazas
  • Dar soporte al Responsable del Sistema en la definición del alcance del ENS, la identificación de activos y su evaluación. 
  • Colaborar con el Responsable de Seguridad de la Información (RSI) y la Dirección en cualquier tarea relacionada con la seguridad. 
  • Ejercer la función de secretaría, convocando las reuniones necesarias y registrándolas mediante actas. 
  • El Responsable del Sistema puede proponer la suspensión del tratamiento de determinada información o de la prestación de un servicio cuando detecta deficiencias graves de seguridad que puedan comprometer el cumplimiento de los requisitos establecidos. La decisión final corresponde al Comité de Dirección.

Responsabilidades del Responsable de la Información:

  • Ejercer la responsabilidad última sobre el uso de la información y su protección. 
  • Asumir la responsabilidad final de cualquier error o negligencia que conlleve un incidente de confidencialidad o integridad (en materia de protección de datos) y de disponibilidad (en materia de seguridad de la información).
  • Aprobar los niveles de seguridad establecidos.

Responsabilidades del Responsable del Servicio:

  • Establecer los requisitos de seguridad aplicables a los servicios. 
  • Determinar los niveles de seguridad de los servicios.

La designación de los miembros del Comité de Seguridad TIC se asimila a la del Comité de Seguridad descrito en el SGSI. Dichos miembros se encargan de las actuaciones relativas a la seguridad dentro de la organización.

La organización considera usuarios a cualquier empleado o tercero externo que, para el desempeño de su actividad diaria en las áreas de negocio de la compañía, utilice los sistemas de información. Los usuarios colaboran con el Responsable de Seguridad en las actividades que se les indiquen y utilizan los sistemas conforme a las especificaciones aprobadas por el Responsable de Sistemas. En función de su implicación, pueden ser designados responsables de determinados activos o riesgos.

  1. Riesgos y cumplimiento

En relación con los datos personales, los datos incluidos en el alcance del ENS, así como los tratados por los servicios indicados, se clasifican como de tipología baja. La organización asegura un alto nivel de cumplimiento en su tratamiento, mantenido mediante auditorías periódicas de los requisitos establecidos en el SGSI.

El sistema se somete a un análisis de riesgos que evalúa las amenazas y los niveles de exposición al riesgo con frecuencia anual. Este análisis también se realiza cuando ocurren incidentes graves, se producen cambios que alteran las condiciones iniciales sobre la información gestionada o los servicios prestados, o cuando aparecen vulnerabilidades relevantes. Una vez establecidos los controles disponibles para la contención de las amenazas, el riesgo final es considerado como “riesgo residual o trivial” y se establecen categorías de tratamiento en función de su nivel. 

El desarrollo de esta Política complementa las actividades relacionadas con el SGSI y está disponible para todo el personal de Metis Solutions, S.L. Asimismo, constituye un elemento de carácter público que puede ser comunicado tanto a proveedores como a clientes.

  1. Formación, concienciación y proveedores

La organización promueve la formación y concienciación en seguridad de la información mediante formaciones periódicas. El personal con responsabilidad en el uso, operación o administración de sistemas TIC accede a materiales de capacitación y recibe la formación necesaria en las medidas de seguridad aplicables a cada caso.

Cuando Metis Solutions, S.L. utiliza a terceros para la provisión de servicios dentro del alcance, transmite sus requisitos de seguridad a través de las comunicaciones definidas en los “Criterios de Evaluación”. Los proveedores se clasifican según las características establecidas en dichos criterios. Cuando una tercera parte no cumple con los requisitos mínimos recogidos en los “Criterios de Evaluación”, se solicita su aprobación al Responsable del área de negocio afectada. 

Se dispone de una vía de comunicación que permite transmitir de manera rápida y directa cualquier incidencia de seguridad relacionada con el servicio o la información objeto de la prestación.

  1. Alcance de la política

El alcance de esta Política se establece sobre el sistema de información que da soporte a las infraestructuras, servicios y seguridad aplicados a:

  • Hubtype App
  • Bots personalizados para Hubtype App
  • Bots personalizados con base IA para Hubtype App

Este alcance atiende a la declaración de aplicabilidad vigente y se clasifica en categoría media.

  1. Marco normativo

El marco normativo aplicable a esta Política se revisa periódicamente mediante procedimiento interno, con una frecuencia mínima semestral, y comprende:

  • Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el Texto Refundido de la Ley de Propiedad Intelectual.
  • Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de comercio electrónico.
  • Ley 59/2003, de 19 de diciembre, de firma electrónica
  • Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica.
  • Ley 36/2015, de 28 de septiembre, de Seguridad Nacional.
  • Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
  • Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
  • Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza.
  • REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos de Carácter Personal.
  • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
  • Guías CCN-STIC.
  • Instrucciones Técnicas de Seguridad de conformidad con el Esquema Nacional de Seguridad (Resolución de 13 de octubre de 2016 de la Secretaría de Estado de Administraciones Públicas) y de Auditoría de la Seguridad de los Sistemas de Información (Resolución de 27 de marzo de 2018 de la Secretaría de Estado de Función Pública).
  • UNE-ISO/IEC 27002:2022 Código de buenas prácticas para la Gestión de la Seguridad de la Información.
  • UNE-ISO/IEC 27001:2022 Especificaciones para los Sistemas de Gestión de la Seguridad de la Información.
  • UNE-EN-ISO 9001:2015 Sistemas de gestión de la calidad. 
  • Procedimiento operativo de Gestión de la Seguridad de la Información (ENS)
  • Listado documentos del sistema en vigor
  • Procedimientos e Instrucciones técnicas de seguridad.

 

 

Política de Seguridad ENS rev1,

Aprobado en acta del Comité CSI – CSTI,

Fecha 26/09/2025