Política de seguridad

Política de Seguridad de la Información

1. Aprobación y entrada en vigor

06 de noviembre de 2024

2. Nuestra misión

Digitalizar eficientemente las políticas de gestión del tiempo adaptándolas a la realidad actual con el fin de mejorar la relación entre empleado y empleador.

3. Objetivo y Alcance

El objetivo principal de la presente política es tener una Política de Seguridad de la Información de alto nivel con las reglas básicas para la gestión de la seguridad de la información para ofrecer un servicio seguro donde el acceso a la información es exclusiva para las personas autorizadas, la información es íntegra sin manipulaciones y está disponible en todo momento para las personas autorizadas.

Así mismo esta política de seguridad está disponible para todos nuestros clientes, personal de Woffu, colaboradores y proveedores con los que trabajamos conjuntamente para que puedan estar informados sobre la seguridad de Woffu e involucrarse en la mejora continua de nuestro sistema de gestión de seguridad y privacidad de la información.

Esta política es aplicable a todos los miembros de la organización y a todas las funcionalidades de nuestro SaaS (Software as a Service) Woffu.

Funcionalidades de Woffu

  • Vacaciones y ausencias
  • Control de Presencia
  • Turnos
  • Comunicación interna
  • Documentos
  • Informes
  • Canal de denuncias

Todos nuestros proveedores deben cumplir con nuestras políticas y procedimientos de seguridad de la información de acuerdo al servicio prestado.

4. Requerimientos de seguridad

  • Incorporar medidas de seguridad sólidas, incluida la seguridad de la red, la seguridad de los puntos finales, el control de acceso, la gestión de vulnerabilidades y el cifrado.
  • Mantener un proceso de gestión de proveedores que garantice la seguridad de los activos de información.
  • Adherirse a un enfoque de «Seguridad por diseño y por defecto» mediante la integración de medidas de seguridad en cada etapa del ciclo de vida de desarrollo de sus productos.
  • Mantener un plan de continuidad empresarial.
  • Garantizar la seguridad suficiente durante todo el ciclo de vida de un empleado, incluidos los requisitos previos al empleo, los requisitos de seguridad durante el empleo y después de la finalización del empleo.
  • Mantener un inventario de información y otros activos relacionados con la seguridad.
  • Establecer objetivos de seguridad anualmente desde la dirección.
  • Adherirse en todo momento al principio del mínimo privilegio para el acceso a los activos de información.
  • Las ubicaciones de Woffu deben estar protegidas en función del perfil de riesgo de la ubicación, el área y los activos, para minimizar el acceso no autorizado y garantizar la seguridad tanto de los empleados como de los activos de la empresa.
  • El incumplimiento de esta política dará lugar a medidas disciplinarias por parte de la empresa, en conformidad con la normativa vigente, que podrán incluir, entre otras, el despido o la terminación del contrato.

5. Marco normativo

Para proteger la información, debemos cumplir en todo momento con las disposiciones de la Unión Europea y Españolas vigentes en materia de seguridad y privacidad de los datos de carácter personal y con los estándares y mejores prácticas internacionales y nacionales en materia de Seguridad de la Información adoptadas por Woffu.

  • Reglamentos y legislaciones:
    • Estatuto de los Trabajadores, apartado 9 del artículo 34 referente al registro diario de jornada y a la conservación de los registros de jornada durante cuatro años y que permanecerán a disposición de las personas trabajadoras, de sus representantes legales y de la Inspección de Trabajo y Seguridad Social.
    • Reglamento General de Protección de Datos (RGPD). En el tratamiento de los datos personales de nuestros clientes, empleados, proveedores, colaboradores y usuarios de nuestro SaaS.
    • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
    • Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual, regularizando, aclarando y armonizando las disposiciones legales vigentes sobre la materia.
    • Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.
    • Resolución de 22 de febrero de 2018, de la Dirección General de Empleo, por la que se registra y publica el XVII Convenio colectivo estatal de empresas de consultoría y estudios de mercado y de la opinión pública.
  • Estándares y mejores prácticas de seguridad y privacidad de la Información :
    Woffu se somete a auditorías anuales para garantizar la seguridad de la información y conservar sus certificaciones.

    • Auditoría ISO-27001. Sistemas de Gestión de Seguridad de la Información, e implementación de los 114 controles de la ISO-27002
    • Auditoría ISO-27701. Extensión de las normas ISO/IEC 27001 e ISO/IEC 27002 para la gestión de la privacidad de la información – Requisitos y directrices.
    • Auditoría ISO-27018. Tecnología de la información – Técnicas de Seguridad – Código de prácticas para la protección de información de identificación personal (PII) en nubes pçublicas que actúan como procesadores de PII
    • Pentest anual a nuestro servicio SaaS Woffu.

6. Organización y responsabilidades

El Director General es responsable de la seguridad Woffu.

El Comité de Seguridad es responsable de supervisar y dirigir el desempeño de seguridad de Woffu .

Los Managers son responsables de garantizar que las políticas y los procedimientos sean implementados y se cumplan.

Los Contactos de seguridad son responsables de supervisar las operaciones de seguridad generales en Woffu e implementar las medidas necesarias para garantizar el cumplimiento.

7. Datos de carácter personal.

La política de privacidad, recoge los tratamientos realizados a los datos personales así como su finalidad, plazo de conservación, base legítima, tipología de los datos, cesiones, transferencias internacionales y elaboración de perfiles.

Todas las funcionalidades de nuestro SaaS Woffu se ajustarán a los niveles de seguridad requeridos por el RGPD para la naturaleza y finalidad recogidos en la mencionada política de privacidad.

8. Concienciación y formación

Todos los miembros de Woffu deben de realizar los cursos en materia de seguridad al menos una vez al año.

9. Gestión de riesgos

Para la gestión de Riesgos de Seguridad se realiza un análisis de riesgos a nuestro SaaS Woffu, evaluando las amenazas y los riesgos a los que está expuesto para su tratamiento. Este análisis se repetirá:

  • Regularmente, al menos una vez al año
  • Cuando cambie la información manejada
  • Cuando cambien los servicios prestados
  • Cuando ocurra un incidente grave de seguridad
  • Cuando se reporten vulnerabilidades graves

10. Proceso de aprobación y revisión

La Política de Seguridad de la Información será aprobada por el Director General y todos los miembros de Woffu tienen la obligación de conocerla y cumplirla.

La revisión de la política es responsabilidad del responsable de seguridad.

Así mismo la política estará sujeta a una revisión anual o cuando se produzcan cambios significativos en la normatividad aplicable,cambios intrínsecos de los sistemas de información y a la propia complejidad de la organización, a fin de asegurar que se mantenga su idoneidad, adecuación, eficacia y dar cumplimiento al marco legal y regulatorio en el que se desarrollan nuestras actividades.