1. Introducción y alcance

Las presentes Políticas de Seguridad de la Información tienen por objeto establecer los principios, normas y responsabilidades que rigen el uso y la protección de la información y los sistemas del Grupo Veraleza.

Estas políticas son de obligado cumplimiento para todos los empleados, directivos, colaboradores, becarios, proveedores y terceros que, de forma permanente o temporal, accedan a los recursos de información del Grupo Veraleza.

El alcance incluye, entre otros, los sistemas ERP y B2B de Veraleza, los servidores y equipos de usuario, las redes de comunicaciones, los soportes de información físicos y digitales, así como cualquier otro recurso tecnológico relacionado con la actividad del Grupo Veraleza.

2. Principios generales de seguridad de la información

2.1 Confidencialidad:La información será accesible únicamente para las personas autorizadas, de acuerdo con su perfil y necesidad de conocer.

2.2 Integridad: La información debe mantenerse completa, exacta y protegida frente a alteraciones no autorizadas, accidentales o deliberadas.

2.3 Disponibilidad: Los sistemas, servicios e información deben estar disponibles cuando sean necesarios para el desarrollo normal de la actividad empresarial.

2.4 Legalidad: Todo tratamiento de datos personales se realizará conforme al RGPD, la LOPDGDD y demás normativa aplicable, así como a los contratos suscritos con clientes y proveedores.

2.5 Minimización y proporcionalidad: Únicamente se recopilarán y tratarán los datos estrictamente necesarios para las finalidades legítimas definidas.

2.6 Trazabilidad y registro: Las acciones relevantes sobre sistemas y datos deberán registrarse mediante logs que permitan la investigación de incidentes.

2.7 Responsabilidad proactiva: El Grupo Veraleza adoptará medidas técnicas y organizativas apropiadas para prevenir incidentes de seguridad y garantizar una mejora continua del Sistema de Gestión de Seguridad de la Información (SGSI).

3. Seguridad en dispositivos y equipos personales

3.1 Equipos corporativos: Todos los equipos informáticos, dispositivos móviles y otros medios tecnológicos puestos a disposición de los usuarios son propiedad del Grupo Veraleza y deberán utilizarse exclusivamente para fines profesionales autorizados.

3.1.1 Los usuarios deberán proteger el acceso a los equipos mediante contraseñas seguras y bloqueo automático del dispositivo tras un periodo de inactividad.

3.1.2 Cuando se requiera, los equipos deberán disponer de cifrado de disco u otros mecanismos que protejan la información almacenada.

3.1.3 Está prohibida la instalación de software no autorizado por el Departamento de IT. Cualquier necesidad de nueva aplicación deberá ser solicitada y evaluada previamente.

3.1.4 Todos los equipos deberán mantener actualizado el sistema operativo, las aplicaciones críticas y la solución antivirus/EDR corporativa.

3.2 Uso de dispositivos personales (pendrives, portátiles/móviles personales, etc.): El uso de dispositivos personales para acceder a recursos corporativos solo estará permitido cuando exista autorización expresa del Grupo Veraleza.

3.2.1 Los dispositivos personales autorizados deberán cumplir requisitos mínimos de seguridad (cifrado, contraseña robusta, antivirus, bloqueo automático, etc.).

3.2.2 El acceso desde dispositivos personales se limitará, en la medida de lo posible, a entornos controlados (por ejemplo, acceso remoto mediante VPN, aplicaciones móviles oficiales, escritorios virtuales, etc.).

3.2.3 El Grupo Veraleza se reserva el derecho de revocar en cualquier momento la autorización de uso de dispositivos personales por motivos de seguridad o incumplimiento de estas políticas.

4. Gestión de accesos y contraseñas

4.1 Cada usuario dispondrá de credenciales personales e intransferibles. Está terminantemente prohibido compartir usuarios y contraseñas.

4.2 El acceso a los sistemas se basará en el principio de mínimo privilegio, otorgando únicamente los permisos necesarios para el desempeño de las funciones del usuario.

4.3 Siempre que sea posible, se empleará autenticación multifactor (MFA) en los sistemas críticos (ERP, B2B, correo corporativo, VPN, administración de servidores, etc.).

4.4 Las contraseñas deberán cumplir como mínimo los siguientes requisitos: longitud mínima de 12 caracteres, combinación de letras mayúsculas y minúsculas, números y caracteres especiales, y no estar basadas en información personal fácilmente identificable.

4.5 Las contraseñas deberán cambiarse periódicamente y siempre que exista sospecha de compromiso de las credenciales.

4.6 Ante la sospecha de accesos indebidos, el usuario deberá notificarlo inmediatamente al Departamento de IT o al Responsable de Seguridad de la Información.

5. Seguridad de la red y comunicaciones

5.1 Todo acceso remoto a los sistemas del Grupo Veraleza se realizará mediante mecanismos seguros, preferentemente a través de una VPN corporativa y protocolos cifrados.

5.2 La navegación web, el acceso a portales internos y el intercambio de información deberán realizarse mediante protocolos cifrados (HTTPS/TLS u otros equivalentes).

5.3 La red corporativa se protegerá mediante firewalls, sistemas de detección o prevención de intrusiones y otros controles que se consideren necesarios.

5.4 Está prohibido crear redes inalámbricas no autorizadas, puntos de acceso personales o conectar a la red corporativa cualquier dispositivo no aprobado por el Departamento de IT.

5.5 Las conexiones de proveedores o terceros serán evaluadas y se limitarán estrictamente al ámbito mínimo imprescindible para la prestación del servicio.

6. Ciberseguridad y prevención de amenazas

6.1 Todos los equipos deberán contar con una solución antivirus/EDR corporativa en funcionamiento y actualizada.

6.2 El correo electrónico corporativo podrá aplicar filtros antispam, antiphishing y análisis de adjuntos con el fin de reducir el riesgo de malware y fraudes.

6.3 Los usuarios no deberán abrir enlaces ni adjuntos de origen dudoso y deberán desconfiar de mensajes que soliciten información confidencial o credenciales.

6.4 El Grupo Veraleza podrá realizar campañas internas de concienciación, incluidos ejercicios de simulación de phishing, para mejorar la cultura de seguridad.

6.5 Cualquier comportamiento anómalo de un sistema, posible malware, pérdida de información o sospecha de incidente deberá notificarse de inmediato conforme al procedimiento de gestión de incidentes.

7. Copias de seguridad (backups)

7.1 El Grupo Veraleza realizará copias de seguridad periódicas de la información crítica, incluyendo bases de datos del ERP, sistemas B2B, portales web, equipos personales y otros sistemas relevantes.

7.2 Las copias de seguridad deberán realizarse de forma automatizada con una frecuencia adecuada al nivel de criticidad de los datos, siendo la referencia general al menos una copia diaria de los sistemas principales.

7.3 Las copias deberán almacenarse cifradas en los casos en los que se requiera y, cuando sea posible, en una ubicación física o lógica diferente a la ubicación original (por ejemplo, otra sede, otro dispositivo, nube, etc.).

7.4 Periódicamente se realizarán pruebas de restauración para verificar la integridad de las copias y la eficacia de los procedimientos de recuperación.

7.5 Los periodos de retención se establecerán conforme a requisitos legales, contractuales y operativos, respetando en todo caso los principios de minimización de datos.

8. Protección de datos personales (RGPD y LOPDGDD)

8.1 Todos los tratamientos de datos personales realizados por el Grupo Veraleza deberán estar documentados en el Registro de Actividades de Tratamiento correspondiente.

8.2 Los datos personales se recopilarán únicamente con finalidades determinadas, explícitas y legítimas, y no se tratarán ulteriormente de manera incompatible con dichas finalidades.

8.3 El Grupo Veraleza garantizará que los interesados reciban la información exigida por la normativa en materia de protección de datos (responsable, finalidades, legitimación, destinatarios, ejercicios de derechos, etc.).

8.4 Los accesos a datos personales se limitarán mediante perfiles y controles de acceso acordes a la sensibilidad de la información.

8.5 Cuando terceros traten datos personales por cuenta del Grupo Veraleza, se formalizarán contratos de encargo de tratamiento con las cláusulas exigidas por el RGPD.

8.6 El Grupo Veraleza dispondrá de procedimientos para la atención de derechos de los interesados (acceso, rectificación, supresión, oposición, limitación, portabilidad y otros que resulten aplicables) dentro de los plazos legales.

8.7 Ante incidentes de seguridad que afecten a datos personales, se seguirán los procedimientos de notificación interna y, en su caso, de comunicación a la autoridad de control y a los afectados.

9. Gestión de incidencias de seguridad

9.1 Se establecerá un procedimiento de gestión de incidentes de seguridad que incluya la identificación, registro, análisis, contención, resolución y documentación de cada incidente.

9.2 Todo empleado o colaborador deberá informar de inmediato de cualquier incidente o sospecha de incidente al Responsable de Seguridad de la Información o al canal designado.

9.3 Se llevará un registro de incidentes que incluya la causa, el impacto, las medidas adoptadas y las acciones de mejora para evitar su repetición.

9.4 Cuando un incidente afecte a datos personales y cumpla los criterios establecidos en la normativa, se valorará la obligación de notificarlo a la autoridad de protección de datos y, si procede, a los afectados.

10. Control de proveedores y terceros

10.1 Los proveedores y terceros que accedan a sistemas o información del Grupo Veraleza deberán cumplir estas políticas o demostrar un nivel de seguridad equivalente.

10.2 Se formalizarán acuerdos de confidencialidad y, cuando sea necesario, contratos de encargo de tratamiento con los proveedores que traten datos personales.

10.3 Se realizará una evaluación de riesgos asociada a los proveedores críticos y se revisarán periódicamente sus condiciones de seguridad, solicitando evidencias cuando sea necesario.

10.4 El acceso de proveedores a los sistemas se limitará temporalmente y con el mínimo privilegio necesario.

11. Uso aceptable de los sistemas de información

11.1 Los recursos tecnológicos del Grupo Veraleza deberán utilizarse de manera responsable, ética y exclusivamente para fines vinculados a la actividad profesional.

11.2 Queda prohibido el uso de los sistemas para actividades ilícitas, descarga o difusión de contenidos ofensivos o contrarios a la legislación vigente.

11.3 Está prohibido instalar software no autorizado, manipular configuraciones de seguridad o intentar eludir controles técnicos establecidos.

11.4 El uso personal de los recursos tecnológicos deberá ser limitado y nunca podrá interferir con las obligaciones laborales ni comprometer la seguridad de la información.

11.5 El Grupo Veraleza se reserva el derecho de monitorizar, en la medida permitida por la normativa, el uso de los sistemas con el fin de garantizar la seguridad y el cumplimiento de estas políticas. (Especificado en Anexo II)

12. Seguridad física y del entorno

12.1 El acceso a salas de servidores, CPDs y otras áreas críticas estará restringido únicamente a personal autorizado.

12.2 Se deberá llevar un control de accesos físicos, ya sea mediante sistemas electrónicos, registros manuales u otros mecanismos adecuados.

12.3 Los equipos portátiles, dispositivos móviles y soportes de información deberán mantenerse bajo custodia del usuario y, cuando proceda, asegurados mediante cable de seguridad u otros medios.

12.4 La documentación en papel que contenga información sensible deberá almacenarse en archivadores cerrados y destruirse de forma segura cuando ya no resulte necesaria.

13. Continuidad de negocio y recuperación ante desastres

13.1 El Grupo Veraleza mantendrá planes de continuidad de negocio y de recuperación ante desastres que contemplen escenarios de indisponibilidad de sistemas, pérdida de datos u otros eventos graves.

13.2 Estos planes establecerán prioridades, procedimientos de recuperación, roles y responsabilidades, así como tiempos máximos aceptables de interrupción para los procesos críticos.

13.3 Periódicamente se revisarán y, cuando sea posible, se probarán los planes para verificar su eficacia y actualizar su contenido.

14. Revisión, auditoría y cumplimiento

14.1 Las presentes políticas se revisarán, como mínimo, de forma anual o cuando se produzcan cambios significativos en los sistemas, la organización o la legislación aplicable.

14.2 El Grupo Veraleza podrá realizar auditorías internas o externas para verificar el cumplimiento de estas políticas y de los controles establecidos en el Sistema de Gestión de Seguridad de la Información.

14.3 El incumplimiento de estas políticas podrá conllevar medidas disciplinarias conforme a la normativa laboral y, en su caso, acciones legales.

Anexo I – Clasificación de la información

La información gestionada por el Grupo Veraleza se clasificará en función de su sensibilidad y del impacto que supondría su divulgación, modificación o pérdida. Se establecen los siguientes niveles de clasificación:

• Pública: Información destinada a ser difundida sin restricciones, cuyo acceso no genera riesgos relevantes para la organización.
• Interna: Información utilizada para la operativa diaria que no debe divulgarse fuera del Grupo Veraleza sin autorización, pero cuyo impacto ante una divulgación accidental es limitado.
• Confidencial: Información cuyo acceso está restringido a determinados roles. Su divulgación, alteración o pérdida podría causar un impacto económico, legal o reputacional significativo.
• Crítica: Información especialmente sensible, como determinados datos personales, financieros o estratégicos, cuya protección es prioritaria y requiere controles reforzados.

Cada responsable de área, con el apoyo del Responsable de Seguridad de la Información, deberá clasificar la información bajo su ámbito y asegurar que se aplican los controles acordes a cada nivel (controles de acceso, cifrado, registro de accesos, etc.).

Anexo II – Normativa interna sobre el uso de dispositivos digitales y monitorización puntual

A. Objeto y ámbito de aplicación

La presente normativa tiene por objeto regular el uso de los dispositivos digitales, sistemas de información, redes corporativas y servicios tecnológicos puestos a disposición de los trabajadores por la empresa, así como establecer las condiciones en las que, de forma excepcional y puntual, podrá llevarse a cabo la monitorización de dichos dispositivos.

Esta normativa resulta de aplicación a todo el personal de la empresa, con independencia de su modalidad contractual, categoría profesional o centro de trabajo.

B. Principios generales

La empresa reconoce y garantiza el respeto a los derechos fundamentales de los trabajadores, en particular:

• El derecho a la intimidad personal.
• El derecho a la protección de datos personales.
• El derecho al secreto de las comunicaciones.

Cualquier actuación de control o supervisión se regirá, en todo caso, por los principios de:

• Legalidad
• Necesidad
• Proporcionalidad
• Minimización de datos
• Intervención mínima
• Finalidad legítima
• Transparencia

C. Uso de los dispositivos digitales

Los dispositivos digitales facilitados por la empresa (ordenadores, teléfonos móviles, tabletas, cuentas de correo electrónico corporativas, acceso a internet y demás recursos tecnológicos) se proporcionan exclusivamente para fines profesionales, sin perjuicio de un uso personal residual, razonable y no abusivo, siempre que:

• No interfiera en el desempeño laboral.
• No comprometa la seguridad de la información.
• No infrinja la normativa interna ni la legislación vigente.

Queda expresamente prohibido el uso de los dispositivos corporativos para finalidades ilícitas, contrarias a la buena fe contractual o que puedan causar un perjuicio a la empresa, a terceros o a la seguridad de los sistemas.

D. Información previa sobre la posible monitorización

La empresa informa de forma expresa, clara y previa a los trabajadores de que no existe una monitorización general, permanente ni indiscriminada de los dispositivos digitales.

La monitorización únicamente podrá llevarse a cabo de forma puntual, concreta y justificada, en los términos establecidos en la presente normativa.

E. Supuestos que pueden dar lugar a la monitorización puntual

La empresa podrá realizar actuaciones de supervisión o control exclusivamente cuando concurran indicios razonables y objetivos de:

• Uso indebido o contrario a la normativa interna.
• Riesgos para la seguridad de la información o los sistemas.
• Incumplimientos contractuales graves.
• Posibles ilícitos laborales, disciplinarios o legales.

No se realizarán actuaciones de control preventivas, genéricas o sistemáticas.

F. Alcance y límites de la monitorización

La monitorización se limitará estrictamente a:

• Los elementos necesarios para verificar los hechos concretos que hayan motivado la actuación.
• Los datos imprescindibles para la finalidad perseguida.

En ningún caso se realizará:

• Acceso indiscriminado a la totalidad de los contenidos.
• Supervisión continua o masiva.
• Acceso al contenido de comunicaciones personales ajenas a los hechos investigados.

El acceso al contenido de las comunicaciones electrónicas solo podrá producirse cuando resulte imprescindible, esté debidamente justificado y no existan medidas menos intrusivas para alcanzar la finalidad perseguida.

G. Procedimiento y garantías

Toda actuación de monitorización deberá cumplir las siguientes garantías:

• Existencia de una justificación documentada.
• Autorización expresa por parte de la dirección o del órgano competente.
• Intervención limitada en el tiempo y en el alcance.
• Acceso restringido únicamente a personal autorizado.
• Registro de las actuaciones realizadas.

Los datos obtenidos no podrán utilizarse para fines distintos de aquellos que motivaron la actuación.

H. Conservación y tratamiento de la información

La información obtenida como consecuencia de una monitorización puntual será:

• Tratada de forma confidencial.
• Conservada únicamente durante el tiempo estrictamente necesario.
• Eliminada una vez cumplida la finalidad que motivó su obtención, salvo obligación legal de conservación.

I. Derechos de los trabajadores

Los trabajadores podrán ejercer los derechos de acceso, rectificación, supresión, limitación y oposición en los términos previstos en la normativa de protección de datos.

Asimismo, podrán solicitar información adicional sobre el tratamiento de sus datos personales dirigiéndose al responsable de protección de datos o al departamento designado por la empresa.

J. Régimen disciplinario

El incumplimiento de la presente normativa podrá dar lugar a la adopción de medidas disciplinarias conforme a la legislación laboral vigente y al convenio colectivo de aplicación, sin perjuicio de otras responsabilidades legales que pudieran corresponder.

K. Aceptación y entrada en vigor

La presente normativa será comunicada a los trabajadores de forma expresa y entrará en vigor desde el momento de su publicación, debiendo ser conocida y respetada por todo el personal.