Security Policy

Our security policy was last updated on December 18, 2024.

This security policy outlines the information security framework for Hubtype and its commitment to protect the confidentiality, integrity, and availability of its information assets. The policy applies to all employees, contractors, and third-party vendors who handle or have access to Hubtype's information assets.

Hubtype's security committee is responsible for defining goals and objectives focused on performance evaluation regarding information security and compliance with current legislation regarding information systems, as well as for continuously improving our activities, which are regulated by the management system that develops this policy. Management is responsible for providing the necessary resources and support to implement and maintain the security policy.

Information security policy framework

Hubtype has established a comprehensive information security policy framework that includes regular risk assessments, implementation of appropriate security controls, incident management, and compliance with relevant regulations and standards.

Asset management

Hubtype has a formal process for identifying, classifying, and protecting its information assets. This process includes regular review and updates to ensure the ongoing protection of critical information assets.

Human resource security

Hubtype performs security awareness and training programs for all employees and contractors to ensure that they understand their roles and responsibilities in maintaining the confidentiality, integrity, and availability of information assets.

Communications

Employees, contractors and vendors of Hubtype must follow the secure communication process to ensure that information is transmitted securely.

Access control

Hubtype has implemented access control processes following the Least Access Privilege approach to ensure minimum permissions and only authorized individuals have access to its information assets. This includes user registration, authentication, and authorization processes.

Infrastructure security

All components are defined using Infrastructure as Code (IaC) and the source code must be reviewed taking into consideration the confidentiality, integrity and availability of the data before adding the code in production. Hubtype has monitoring of the critical components and alarm systems to make sure an on-call person is notified if any irregularity happens.

Application security

All the source code must be reviewed taking into consideration the confidentiality, integrity and availability of the data. It also must follow the coding standards established in Hubtype and pass all the tests. Moreover, we have static analysis set in place and image scanning to detect any vulnerability.

Customer data security

Hubtype uses TLSv1.2 to ensure data security in transit and SHA-256 encryption for data at rest. We also have resilience by maintaining a second replica of our databases ready for use and employing multi-AZs in our critical components. All our critical providers processing or storing PII or data considered sensitive are GDPR compliant.

Roles and Responsibilities for Information Encryption

To ensure accountability and proper implementation of encryption practices, the following roles and responsibilities are defined:

  • Data Protection Responsible (DPR):
    • Ensures that all data protection and security practices align with data privacy regulations and policies.
    • Acts as a liaison between the company and regulatory bodies regarding encryption compliance.
  • Technical Security Manager:
    • Oversees the implementation and management of encryption policies.
    • Ensures compliance with regulatory standards (e.g., GDPR) regarding data encryption.
    • Periodically reviews and updates encryption protocols to address emerging threats.
    • Acts as the owner of encryption keys, responsible for securely storing them and granting access to other team members when needed.
  • Engineering Teams:
    • Implement and maintain encryption technologies (e.g., TLSv1.2 for data in transit, SHA-256 for data at rest).
    • Conduct regular testing to ensure encryption methods are operational and effective.
    • Collaborate with the Technical Security Manager to address identified vulnerabilities in encryption mechanisms.
  • IT Operations Team:
    • Manages and monitors the resilience features, including database replicas and multi-AZ configurations.
    • Ensures that encryption keys are securely stored and rotated as per policy requirements.
  • All Employees:
    • Adhere to organizational policies regarding data handling and encryption.
    • Report any suspected security breaches or vulnerabilities immediately to the IT Security Team.

Regular training and audits are conducted to ensure all roles are equipped to handle their responsibilities effectively and to maintain the highest standards of data security.

Incident management

Hubtype has established an incident management process to respond to and report security incidents, including data breaches, network intrusions, and system failures.

Business continuity management

Hubtype has a business continuity plan in place to ensure the continuity of business operations in the event of a security breach or disruption.

Compliance

Hubtype is committed to complying with relevant legal and regulatory requirements, as well as industry standards and best practices, including ISO 27001.

Review and revision

Hubtype regularly reviews and revises its security policy to ensure its effectiveness and alignment with organizational needs. This review is conducted at least annually or as necessary based on changes in the information security environment.

Política de Seguridad de la Información

  1. Principios básicos y requisitos

Conscientes de la necesidad de contar con sistemas normalizados de reconocimiento internacional, la organización ha alineado su Sistema de Gestión de la Seguridad de la Información (SGSI) a los requisitos del Esquema Nacional de Seguridad (ENS) e ISO/IEC 27001:2022.

Mediante la presente Política de Seguridad, METIS SOLUTIONS SL articula la gestión continuada de la seguridad de la información, de acuerdo con los siguientes principios básicos y requisitos:

  • Organización e implantación del proceso de seguridad. La organización depende de los sistemas TIC para alcanzar los objetivos. Estos sistemas son administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad, confidencialidad o trazabilidad de la información tratada o los servicios prestados. El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y respondiendo de forma eficaz y oportuna a los incidentes. Para su consecución, la organización desarrolla y mantiene un proceso de seguridad basado en los siguientes elementos: Prevención, Detección, Respuesta y Conservación.
  • Análisis y gestión de los riesgos. Todos los sistemas sujetos a esta Política realizan análisis de riesgos conforme a procedimientos internos, evaluando las amenazas y los riesgos a los que estan expuestos. Dicho análisis se repetirá: regularmente, al menos una vez al año; cuando cambie la información gestionada; cuando se modifiquen los servicios prestados; cuando ocurra un incidente grave de seguridad; o cuando se reporten vulnerabilidades críticas.
  • Gestión de personal. Hay establecidos los mecanismos necesarios para que cualquier persona que accede o pueda acceder a los activos de información conozca sus responsabilidades, reduciendo así el riesgo derivado de un uso indebido.
  • Profesionalidad. La seguridad del sistema de información es gestionada, revisada y auditada por personal cualificado, dedicado e instruido en todas las fases de su ciclo de vida. Asimismo, se definen los requisitos de formación y experiencia necesarias para el desempeño de las competencias asignadas.
  • Autorización y control de los accesos. El acceso a los activos de información se limita mediante controles adecuados, para que sólo usuarios, procesos y sistemas de información adecuados puedan acceder a ellos. Para ello, hay implantados mecanismos de identificación, autenticación y autorización acordes con la criticidad de cada activo. 
  • Protección de las instalaciones. La organización garantiza la protección de sus instalaciones y recursos TIC corporativos (correo electrónico, acceso a internet, equipamiento informático y de comunicaciones). Los activos de información están inventariados, categorizados y asociados a un responsable, asegurando su gestión adecuada.
  • Adquisición de productos. La adquisición, desarrollo y mantenimiento de los sistemas de información incorpora de manera obligatoria los aspectos de seguridad de la información en todas las fases de su ciclo de vida.
  • Mínimo privilegio. Los sistemas de información han sido diseñados y configurados siguiendo el principio de mínimo privilegio, otorgando únicamente los permisos estrictamente necesarios para su correcto funcionamiento. 

Asimismo, se aplica el principio de seguridad por defecto. En el caso de medidas de seguridad física, la organización no dispone de instalaciones propias; la seguridad física y ambiental de los sistemas y activos de información se gestiona a través de los proveedores de servicios cloud, quienes aplican medidas adecuadas a la criticidad de los activos.

  • Integridad y actualización del sistema. Todos los sistemas se mantienen íntegros y actualizados conforme a los requisitos establecidos, y mediante procesos de gestión del cambio y análisis de riesgos.
  • Protección de la información almacenada y en tránsito. Toda la información se almacena y transmite de forma adecuada, siguiendo las directrices establecidas en todas sus fases.
  • Prevención ante otros sistemas de información interconectados. El sistema protege su perímetro, en especial cuando se conecta a redes públicas. En todo caso se analizan los riesgos derivados de la interconexión del sistema, a través de redes, con otros sistemas, y se controla su punto de unión.
  • Registro de actividad. Se registran las actividades de los usuarios, reteniendo la información necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas. Estos registros permiten identificar en cada momento a la persona que actúa.
  • Incidentes de seguridad. Se gestionan los incidentes de seguridad mediante mecanismos apropiados que permiten su correcta identificación, registro y resolución. 
  • Continuidad de la actividad. Se gestiona la continuidad de la actividad mediante mecanismos apropiados que aseguran la disponibilidad de los sistemas de información y mantienen la continuidad de sus procesos de negocio.
  • Mejora continua del proceso de seguridad. El proceso integral de seguridad implantado es actualizado y mejorado de forma continua. Para ello, se aplican criterios y métodos reconocidos en la práctica nacional e internacional relativos a la gestión de las tecnologías de la información.

  1. Compromisos de la Dirección

La Dirección se compromete a liderar y mantener un Sistema de Gestión Seguridad de la Información en la organización basado en la mejora continua y en los siguientes objetivos generales

  • El compromiso firme de conocer las necesidades y expectativas de clientes y partes interesadas, para lograr su satisfacción, y de mejora continua, estableciendo y verificando el cumplimiento de los objetivos y metas anuales.
  • El cumplimiento de la legislación y reglamentación aplicable, así como de los requisitos suscritos. 
  • La protección de la información propia y de clientes. La actividad de la organización implica el tratamiento de información variada como parte de sus procesos básicos. Dado que los sistemas de información, aplicaciones, infraestructuras de comunicaciones, archivos y bases de datos constituyen un activo importante de la empresa, la Dirección prioriza la confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad de la información al definir y delimitar los objetivos y responsabilidades de las actuaciones técnicas y organizativas. Asimismo, vigila el cumplimiento del marco legal, de las directivas y políticas específicas y de los procedimientos definidos.
  • La revisión continua de las competencias y la mejora continua, para garantizar la calidad de los servicios y la capacidad de afrontar los retos crecientes planteados por los clientes.
  • El desarrollo y mantenimiento general de una estructura documental eficaz para la gestión del Sistema de Información, basándose en:
    • Procedimiento general operativos.
    • Listado de documentos (internos y externos) del sistema para el control de versiones y vigencia.
    • Marco normativo de seguridad.
  1. Clasificación de la información y misión de la política

Metis Solutions, S.L. utiliza los sistemas TIC (tecnologías de la información y comunicación) para la prestación de sus servicios y el desarrollo de sus procesos. Estos sistemas se administran y regulan aplicando medidas que garantizan su protección frente a daños intencionados o accidentales que puedan afectar la disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad de la información.

La organización clasifica la información de uso no restringido como pública y asigna la categoría de uso restringido-confidencial a los datos personales, sensibles e información operacional, definiendo su manejo de acuerdo con lo establecido en el SGSI.

La misión de esta Política es garantizar la calidad y disponibilidad de la información, así como de los activos y servicios que la sustentan, asegurando un uso confiable y seguro para los clientes. Para ello, se aplican técnicas preventivas, se supervisa la práctica diaria y se gestionan los incidentes con la respuesta adecuada.

  1. Procesos de gestión de seguridad

Las diferentes áreas de negocio colaboran para dar respuesta a la posible materialización de amenazas. Todas actúan conforme a las directrices desplegadas desde el Sistema de Gestión de la Seguridad de la Información y el Esquema Nacional de Seguridad, aplicando buenas prácticas de seguridad lógica y física, de gestión de datos e información, y utilizando vías de comunicación establecidas para la notificación de incidencias. Esta colaboración se complementa con las medidas técnicas correspondientes al mantenimiento de infraestructuras y servicios TI internos.

Así pues, la organización establece procesos que permiten prevenir y detectar incidentes de seguridad, así como garantizar la posterior recuperación conforme al Artículo 8 del Esquema Nacional de Seguridad, especificados de la siguiente forma:

  • Prevención: La organización evita, en la medida de lo posible, los incidentes de seguridad que pueden afectar a la información o a los servicios. Para ello aplica las medidas mínimas especificadas por el ENS, las definidas en el SGSI y, adicionalmente, cualquier otra que el área responsable de seguridad considere necesaria tras el análisis y evaluación de riesgos, vulnerabilidades y amenazas. Asimismo, se identifican los responsables involucrados. 
  • Detección: Se supervisa la actividad diaria para detectar incidentes y anomalías de acuerdo con lo indicado en el Artículo 9 del ENS, estableciendo mecanismos que permiten la identificación activa, el análisis y el reporte a los responsables designados.
  • Respuesta: Se dispone de procesos que posibilitan la respuesta frente a los incidentes, con vías de comunicación claras a disposición de las partes interesadas, y mecanismos de intercambio de información con las unidades que deban responder a emergencias.
  • Conservación: La disponibilidad de los servicios y la información se garantiza mediante planes de continuidad.


  1. Gobierno de la seguridad

La seguridad se organiza a través del Comité de Seguridad de la Información, conformado por: la Dirección Responsable del Sistema, el Responsable de Seguridad de la Información, el Responsable del Sistema, el Responsable de la Información y el Responsable del Servicio.

Funciones del Comité:

  • Reportar al Comité de Dirección cuando sea necesario.
  • Coordinar y aprobar las acciones pertinentes en materia de seguridad.
  • Promover la concienciación y formación en seguridad de la información.
  • Definir la categoría del sistema y coordinar el análisis de riesgos.
  • Revisar y aprobar conjuntamente la documentación de seguridad y los registros asociados.
  • Participar en la resolución de problemas y discrepancias relacionadas con la gestión de la seguridad.

Responsabilidades del Responsable de Seguridad:

  • Mantener niveles de seguridad adecuados para la información y servicios bajo alcance.
  • Gestionar la formación y concienciación en seguridad.
  • Comprobar que las medidas de seguridad son adecuadas a los objetivos y necesidades de la organización.
  • Revisar la documentación relacionada con la seguridad del sistema.
  • Monitorizar el estado de seguridad del sistema a través de las herramientas de gestión de eventos y auditoría. 
  • Realizar las auditorías necesarias según lo establecido en el ENS
  • Apoyar y supervisar la investigación de incidentes de seguridad desde la notificación hasta su resolución, aportando informes para el Comité cuando corresponda.
  • Operar y mantener el sistema de información durante todo su ciclo de vida.
  • Definir el alcance del ENS, identificar los activos, evaluarlos en cada dimensión y establecer la categoría del sistema.
  • Revisar la evaluación de riesgos y plantear las salvaguardas y medidas correspondientes. 
  • Asegurar que las medidas de seguridad se integran adecuadamente en el marco general de seguridad

Responsabilidades del Responsable del Sistema:

  • Promover y organizar las auditorías periódicas según ENS en colaboración con el Responsable de Seguridad
  • Documentar la información relacionada con la seguridad
  • Participar actividades de formación y concienciación en seguridad
  • Registrar y dar seguimiento a las incidencias de seguridad y a los cambios que se originen. 
  • Favorecer la integración entre el SGSI y el Esquema Nacional de Seguridad
  • Realizar la evaluación de riesgos y amenazas
  • Dar soporte al Responsable del Sistema en la definición del alcance del ENS, la identificación de activos y su evaluación. 
  • Colaborar con el Responsable de Seguridad de la Información (RSI) y la Dirección en cualquier tarea relacionada con la seguridad. 
  • Ejercer la función de secretaría, convocando las reuniones necesarias y registrándolas mediante actas. 
  • El Responsable del Sistema puede proponer la suspensión del tratamiento de determinada información o de la prestación de un servicio cuando detecta deficiencias graves de seguridad que puedan comprometer el cumplimiento de los requisitos establecidos. La decisión final corresponde al Comité de Dirección.

Responsabilidades del Responsable de la Información:

  • Ejercer la responsabilidad última sobre el uso de la información y su protección. 
  • Asumir la responsabilidad final de cualquier error o negligencia que conlleve un incidente de confidencialidad o integridad (en materia de protección de datos) y de disponibilidad (en materia de seguridad de la información).
  • Aprobar los niveles de seguridad establecidos.

Responsabilidades del Responsable del Servicio:

  • Establecer los requisitos de seguridad aplicables a los servicios. 
  • Determinar los niveles de seguridad de los servicios.

La designación de los miembros del Comité de Seguridad TIC se asimila a la del Comité de Seguridad descrito en el SGSI. Dichos miembros se encargan de las actuaciones relativas a la seguridad dentro de la organización.

La organización considera usuarios a cualquier empleado o tercero externo que, para el desempeño de su actividad diaria en las áreas de negocio de la compañía, utilice los sistemas de información. Los usuarios colaboran con el Responsable de Seguridad en las actividades que se les indiquen y utilizan los sistemas conforme a las especificaciones aprobadas por el Responsable de Sistemas. En función de su implicación, pueden ser designados responsables de determinados activos o riesgos.

  1. Riesgos y cumplimiento

En relación con los datos personales, los datos incluidos en el alcance del ENS, así como los tratados por los servicios indicados, se clasifican como de tipología baja. La organización asegura un alto nivel de cumplimiento en su tratamiento, mantenido mediante auditorías periódicas de los requisitos establecidos en el SGSI.

El sistema se somete a un análisis de riesgos que evalúa las amenazas y los niveles de exposición al riesgo con frecuencia anual. Este análisis también se realiza cuando ocurren incidentes graves, se producen cambios que alteran las condiciones iniciales sobre la información gestionada o los servicios prestados, o cuando aparecen vulnerabilidades relevantes. Una vez establecidos los controles disponibles para la contención de las amenazas, el riesgo final es considerado como “riesgo residual o trivial” y se establecen categorías de tratamiento en función de su nivel. 

El desarrollo de esta Política complementa las actividades relacionadas con el SGSI y está disponible para todo el personal de Metis Solutions, S.L. Asimismo, constituye un elemento de carácter público que puede ser comunicado tanto a proveedores como a clientes.

  1. Formación, concienciación y proveedores

La organización promueve la formación y concienciación en seguridad de la información mediante formaciones periódicas. El personal con responsabilidad en el uso, operación o administración de sistemas TIC accede a materiales de capacitación y recibe la formación necesaria en las medidas de seguridad aplicables a cada caso.

Cuando Metis Solutions, S.L. utiliza a terceros para la provisión de servicios dentro del alcance, transmite sus requisitos de seguridad a través de las comunicaciones definidas en los “Criterios de Evaluación”. Los proveedores se clasifican según las características establecidas en dichos criterios. Cuando una tercera parte no cumple con los requisitos mínimos recogidos en los “Criterios de Evaluación”, se solicita su aprobación al Responsable del área de negocio afectada. 

Se dispone de una vía de comunicación que permite transmitir de manera rápida y directa cualquier incidencia de seguridad relacionada con el servicio o la información objeto de la prestación.

  1. Alcance de la política

El alcance de esta Política se establece sobre el sistema de información que da soporte a las infraestructuras, servicios y seguridad aplicados a:

  • Hubtype App
  • Bots personalizados para Hubtype App
  • Bots personalizados con base IA para Hubtype App

Este alcance atiende a la declaración de aplicabilidad vigente y se clasifica en categoría media.

  1. Marco normativo

El marco normativo aplicable a esta Política se revisa periódicamente mediante procedimiento interno, con una frecuencia mínima semestral, y comprende:

  • Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el Texto Refundido de la Ley de Propiedad Intelectual.
  • Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de comercio electrónico.
  • Ley 59/2003, de 19 de diciembre, de firma electrónica
  • Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica.
  • Ley 36/2015, de 28 de septiembre, de Seguridad Nacional.
  • Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
  • Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
  • Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza.
  • REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos de Carácter Personal.
  • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
  • Guías CCN-STIC.
  • Instrucciones Técnicas de Seguridad de conformidad con el Esquema Nacional de Seguridad (Resolución de 13 de octubre de 2016 de la Secretaría de Estado de Administraciones Públicas) y de Auditoría de la Seguridad de los Sistemas de Información (Resolución de 27 de marzo de 2018 de la Secretaría de Estado de Función Pública).
  • UNE-ISO/IEC 27002:2022 Código de buenas prácticas para la Gestión de la Seguridad de la Información.
  • UNE-ISO/IEC 27001:2022 Especificaciones para los Sistemas de Gestión de la Seguridad de la Información.
  • UNE-EN-ISO 9001:2015 Sistemas de gestión de la calidad. 
  • Procedimiento operativo de Gestión de la Seguridad de la Información (ENS)
  • Listado documentos del sistema en vigor
  • Procedimientos e Instrucciones técnicas de seguridad.

 

 

Política de Seguridad ENS rev1,

Aprobado en acta del Comité CSI – CSTI,

Fecha 26/09/2025