1. Objeto
El presente documento define la política de seguridad de la información de la información de FINANCIAL CODEX SL.
2. Alcance
Este documento aplica a todas las partes interesadas y activos de información de FINANCIAL CODEX SL.
3. Desarrollo
FINANCIAL CODEX SL depende de los activos de información para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad, autenticidad y trazabilidad de la información tratada o los servicios prestados.
3.1. Prevención
Las personas deben evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad de la información de seguridad de la información.
Para ello, FINANCIAL CODEX debe implementar las medidas mínimas de seguridad de la
información determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y
responsabilidades de seguridad de la información de todas las personas, deben estar
claramente definidos y documentados.
Para garantizar el cumplimiento de la política, FINANCIAL CODEX SL debe:
- Autorizar los activos de información antes de entrar en operación.
- Evaluar regularmente la seguridad de la información, incluyendo evaluaciones de los
cambios de configuración realizados de forma rutinaria.
- Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.
3.2. Detección
Dado que los servicios y los activos se pueden degradar rápidamente debido a incidentes de seguridad de la información, que van desde una simple desaceleración hasta su detención, sedebe monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia.
La monitorización es especialmente relevante cuando se establecen líneas de defensa.
Público Se han establecido mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales.
3.3. Respuesta
FINANCIAL CODEX SL ha establecido:
- Mecanismos para responder eficazmente a los incidentes de seguridad de la
información.
- Un punto de contacto para las comunicaciones con respecto a incidentes de seguridad
de la información detectados.
- Protocolos para el intercambio de información relacionada con el incidente.
3.4. Recuperación
Para garantizar la disponibilidad de los servicios críticos, FINANCIAL CODEX SL ha desarrollado planes de continuidad de los servicios como parte de su plan general de continuidad de negocio y actividades de recuperación.
4. Marco normativo
FINANCIAL CODEX SL está sujeta a las siguientes leyes, reglamentos y otra normativa, nacional e internacional en materia de seguridad de la información:
- Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de
Seguridad.
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía
de los derechos digitales.
- Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de
desarrollo de la Ley Orgánica 15/1999 (vigente en aquellos artículos que no contradigan el RGPD).
- Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
- Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual.
- Ley 8/2021, de 2 de junio por la que se reforma la legislación civil y procesal para el apoyo a las personas jurídicas con discapacidad en el ejercicio de su capacidad jurídica.
- Código Civil: artículos 249 a 298.
- Ley de Jurisdicción voluntaria: artículos 1 a 66.
- Ley de Enjuiciamiento civil: artículos 756 a 763.
5. Organización de la seguridad de la información
En FINANCIAL CODEX SL los roles relevantes en materia de seguridad de la información son los siguientes:
- El comité de seguridad de la información es la máxima autoridad y responsable en
materia de seguridad de la información de FINANCIAL CODEX SL, coordina la gestión
del cumplimiento de todos los requisitos de cliente, legales y reglamentarios en esta
materia, y gestiona los potenciales conflictos.
- El responsable de la información determina los requisitos (de seguridad) de la
información tratada, según los parámetros del Anexo I del ENS (categorización de nivel
bajo, medio o alto en las dimensiones de seguridad de la información).
- El responsable del servicio determina los requisitos (de seguridad) de la información tratada, según los parámetros del Anexo I del ENS (categorización de nivel bajo, medio o alto en las dimensiones de seguridad de la información).
- El responsable de seguridad determina las decisiones de seguridad pertinentes para
satisfacer los requisitos establecidos por los responsables de la información y de los
servicios, siendo jerárquicamente independiente del responsable del sistema.
- El responsable del sistema se encarga de la operación del sistema de información,
atendiendo a las medidas de seguridad determinadas por el responsable de la
seguridad.
El punto de contacto (POC) de FINANCIAL CODEX SL es la dirección de correo electrónico
[email protected].
6. Revisión, aprobación y comunicación de la política de seguridad de la información
El comité de seguridad de la información aprueba la política de seguridad de la información, y la revisa al menos anualmente.
La política de seguridad de la información está publicada en la página Web corporativa.
7. Datos de carácter personal
FINANCIAL CODEX SL trata datos de carácter personal conforme a la legislación vigente en materia de protección de datos de carácter personal.
8. Análisis y gestión de riesgos de seguridad de la información
De todos los activos de información de FINANCIAL CODEX SL se ha realizado un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos.
Este análisis se revisa y, si procede actualiza:
- regularmente, al menos una vez al año.
- cuando cambia la información manejada.
- cuando cambian los servicios prestados.
- cuando ocurre un incidente grave de seguridad de la información.
- cuando se reportan vulnerabilidades graves.
9. Desarrollo de la política de seguridad de la información de la información
Esta política de seguridad de la información se desarrolla en otras políticas más concretas, normativas y procedimientos.
10. Obligaciones de las personas
Todos las personas, propias y subcontratadas, de FINANCIAL CODEX SL tienen la obligación de conocer y cumplir esta política de seguridad de la información de la información y el resto de documentación que la desarrolla.
Todos las personas son concienciadas regularmente, en particular a los de nueva
incorporación.
Las personas con responsabilidad en el uso, operación o administración de los sistemas de información recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.
11. Terceras partes
Cuando FINANCIAL CODEX SL presta servicios o trate información de otras organizaciones:
- Se les hace partícipes de esta política de seguridad de la información.
- Se establecen canales para reporte y coordinación al comité de seguridad de la
información.
- Se establecen procedimientos de actuación para la reacción ante incidentes de
seguridad de la información de seguridad.
Cuando FINANCIAL CODEX SL utiliza servicios de terceros o ceda información a terceros:
- Se les hace partícipes de esta política y de la normativa de seguridad de la información que atañe a dichos servicios o información.
- Dicha tercera parte queda sujeta a las obligaciones establecidas en dicha normativa,
pudiendo desarrollar sus propios procedimientos operativos para satisfacerla.
- Se establecen procedimientos específicos de reporte y resolución de incidencias.
- Se requiere que el personal de terceros esté adecuadamente concienciado en materia
de seguridad de la información, al menos al mismo nivel que el establecido en esta
política.
- Cuando algún aspecto de la política no pueda ser satisfecho por una tercera parte
según se requiere en los párrafos anteriores, se requiere un informe del responsable de seguridad de la información que precisa los riesgos en que se incurre y la forma de
tratarlos. Se requiere la aprobación de este informe por los responsables de la
información y los servicios afectados antes de seguir adelante.
Fecha: 12/05/2025
Aprobado por: Oscar Puebla Escudero
El presente documento define la política de seguridad de la información de la información de FINANCIAL CODEX SL.
2. Alcance
Este documento aplica a todas las partes interesadas y activos de información de FINANCIAL CODEX SL.
3. Desarrollo
FINANCIAL CODEX SL depende de los activos de información para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad, autenticidad y trazabilidad de la información tratada o los servicios prestados.
3.1. Prevención
Las personas deben evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad de la información de seguridad de la información.
Para ello, FINANCIAL CODEX debe implementar las medidas mínimas de seguridad de la
información determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y
responsabilidades de seguridad de la información de todas las personas, deben estar
claramente definidos y documentados.
Para garantizar el cumplimiento de la política, FINANCIAL CODEX SL debe:
- Autorizar los activos de información antes de entrar en operación.
- Evaluar regularmente la seguridad de la información, incluyendo evaluaciones de los
cambios de configuración realizados de forma rutinaria.
- Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.
3.2. Detección
Dado que los servicios y los activos se pueden degradar rápidamente debido a incidentes de seguridad de la información, que van desde una simple desaceleración hasta su detención, sedebe monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia.
La monitorización es especialmente relevante cuando se establecen líneas de defensa.
Público Se han establecido mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales.
3.3. Respuesta
FINANCIAL CODEX SL ha establecido:
- Mecanismos para responder eficazmente a los incidentes de seguridad de la
información.
- Un punto de contacto para las comunicaciones con respecto a incidentes de seguridad
de la información detectados.
- Protocolos para el intercambio de información relacionada con el incidente.
3.4. Recuperación
Para garantizar la disponibilidad de los servicios críticos, FINANCIAL CODEX SL ha desarrollado planes de continuidad de los servicios como parte de su plan general de continuidad de negocio y actividades de recuperación.
4. Marco normativo
FINANCIAL CODEX SL está sujeta a las siguientes leyes, reglamentos y otra normativa, nacional e internacional en materia de seguridad de la información:
- Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de
Seguridad.
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía
de los derechos digitales.
- Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de
desarrollo de la Ley Orgánica 15/1999 (vigente en aquellos artículos que no contradigan el RGPD).
- Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
- Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual.
- Ley 8/2021, de 2 de junio por la que se reforma la legislación civil y procesal para el apoyo a las personas jurídicas con discapacidad en el ejercicio de su capacidad jurídica.
- Código Civil: artículos 249 a 298.
- Ley de Jurisdicción voluntaria: artículos 1 a 66.
- Ley de Enjuiciamiento civil: artículos 756 a 763.
5. Organización de la seguridad de la información
En FINANCIAL CODEX SL los roles relevantes en materia de seguridad de la información son los siguientes:
- El comité de seguridad de la información es la máxima autoridad y responsable en
materia de seguridad de la información de FINANCIAL CODEX SL, coordina la gestión
del cumplimiento de todos los requisitos de cliente, legales y reglamentarios en esta
materia, y gestiona los potenciales conflictos.
- El responsable de la información determina los requisitos (de seguridad) de la
información tratada, según los parámetros del Anexo I del ENS (categorización de nivel
bajo, medio o alto en las dimensiones de seguridad de la información).
- El responsable del servicio determina los requisitos (de seguridad) de la información tratada, según los parámetros del Anexo I del ENS (categorización de nivel bajo, medio o alto en las dimensiones de seguridad de la información).
- El responsable de seguridad determina las decisiones de seguridad pertinentes para
satisfacer los requisitos establecidos por los responsables de la información y de los
servicios, siendo jerárquicamente independiente del responsable del sistema.
- El responsable del sistema se encarga de la operación del sistema de información,
atendiendo a las medidas de seguridad determinadas por el responsable de la
seguridad.
El punto de contacto (POC) de FINANCIAL CODEX SL es la dirección de correo electrónico
[email protected].
6. Revisión, aprobación y comunicación de la política de seguridad de la información
El comité de seguridad de la información aprueba la política de seguridad de la información, y la revisa al menos anualmente.
La política de seguridad de la información está publicada en la página Web corporativa.
7. Datos de carácter personal
FINANCIAL CODEX SL trata datos de carácter personal conforme a la legislación vigente en materia de protección de datos de carácter personal.
8. Análisis y gestión de riesgos de seguridad de la información
De todos los activos de información de FINANCIAL CODEX SL se ha realizado un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos.
Este análisis se revisa y, si procede actualiza:
- regularmente, al menos una vez al año.
- cuando cambia la información manejada.
- cuando cambian los servicios prestados.
- cuando ocurre un incidente grave de seguridad de la información.
- cuando se reportan vulnerabilidades graves.
9. Desarrollo de la política de seguridad de la información de la información
Esta política de seguridad de la información se desarrolla en otras políticas más concretas, normativas y procedimientos.
10. Obligaciones de las personas
Todos las personas, propias y subcontratadas, de FINANCIAL CODEX SL tienen la obligación de conocer y cumplir esta política de seguridad de la información de la información y el resto de documentación que la desarrolla.
Todos las personas son concienciadas regularmente, en particular a los de nueva
incorporación.
Las personas con responsabilidad en el uso, operación o administración de los sistemas de información recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.
11. Terceras partes
Cuando FINANCIAL CODEX SL presta servicios o trate información de otras organizaciones:
- Se les hace partícipes de esta política de seguridad de la información.
- Se establecen canales para reporte y coordinación al comité de seguridad de la
información.
- Se establecen procedimientos de actuación para la reacción ante incidentes de
seguridad de la información de seguridad.
Cuando FINANCIAL CODEX SL utiliza servicios de terceros o ceda información a terceros:
- Se les hace partícipes de esta política y de la normativa de seguridad de la información que atañe a dichos servicios o información.
- Dicha tercera parte queda sujeta a las obligaciones establecidas en dicha normativa,
pudiendo desarrollar sus propios procedimientos operativos para satisfacerla.
- Se establecen procedimientos específicos de reporte y resolución de incidencias.
- Se requiere que el personal de terceros esté adecuadamente concienciado en materia
de seguridad de la información, al menos al mismo nivel que el establecido en esta
política.
- Cuando algún aspecto de la política no pueda ser satisfecho por una tercera parte
según se requiere en los párrafos anteriores, se requiere un informe del responsable de seguridad de la información que precisa los riesgos en que se incurre y la forma de
tratarlos. Se requiere la aprobación de este informe por los responsables de la
información y los servicios afectados antes de seguir adelante.
Fecha: 12/05/2025
Aprobado por: Oscar Puebla Escudero