Política de seguridad

Política de Seguridad de la Información

1. Aprobación y entrada en vigor

26 de octubre de 2023

2. Nuestra misión

Digitalizar eficientemente las políticas de gestión del tiempo adaptándolas a la realidad actual con el fin de mejorar la relación entre empleado y empleador.

3. Marco normativo

Para proteger la información,  se deberán de adecuar  en todo momento las disposiciones de la Unión Europea y Españolas vigentes en materia de seguridad y  privacidad de los datos de carácter personal y los estándares y mejores prácticas internacionales y nacionales en materia de Seguridad de la Información adoptadas por Woffu.

  • Cumplimiento al marco legal y regulatorio:
    • Estatuto de los Trabajadores, apartado 9 del artículo 34 referente al registro diario de jornada y a la conservación de los registros de jornada durante cuatro años y que permanecerán a disposición de las personas trabajadoras, de sus representantes legales y de la Inspección de Trabajo y Seguridad Social.
    • Reglamento General de Protección de Datos (RGPD). En el tratamiento de los datos personales de nuestros clientes, empleados, proveedores, colaboradores y usuarios de nuestro SaaS.
    • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
    • Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual, regularizando, aclarando y armonizando las disposiciones legales vigentes sobre la materia.
    • Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.
  • Woffu se somete a  auditorías anuales para garantizar la seguridad de la información y conservar sus certificaciones.
    • Auditoría ISO-27001. Sistemas de Gestión de Seguridad de la Información, e implementación de los 114 controles de la ISO-27002
    • Auditoría ISO-27701. Extensión de las normas ISO/IEC 27001 e ISO/IEC 27002 para la gestión de la privacidad de la información – Requisitos y directrices.
    • Auditoría ISO-27018. Tecnología de la información – Técnicas de Seguridad – Código de prácticas para la protección de información de identificación personal (PII) en nubes pçublicas que actúan como procesadores de PII
    • Pentest anual a nuestro servicio SaaS Woffu.

4. Objetivo y Alcance

El objetivo principal de la presente política es tener una Política de Seguridad de la Información de alto nivel con las reglas básicas para la gestión de la seguridad de la información para ofrecer un servicio seguro donde el acceso a la información es exclusiva para las personas autorizadas, la información es íntegra sin manipulaciones y está disponible.

Esta política es aplicable a todos los miembros de la organización y a todas las funcionalidades de nuestro SaaS (Software as a Service) Woffu para optimizar la gestión del tiempo de las personas.

Funcionalidades

  • Vacaciones y ausencias
  • Control de Presencia
  • Turnos
  • Comunicación interna
  • Documentos
  • Informes
  • Canal de denuncias

Así mismo esta política de seguridad está disponible para todos nuestros clientes, personal de Woffu, colaboradores y proveedores con los que trabajamos conjuntamente para que puedan consultarla e involucrarse en la mejora continua de nuestro sistema de gestión de seguridad y privacidad de la información.

Todos nuestros proveedores deben cumplir con nuestras políticas y procedimientos de seguridad de la información de acuerdo al servicio prestado.

Todos los miembros de Woffu deben cumplir con nuestras políticas y procedimientos de seguridad generales y específicos de su rol.

5. Organización de seguridad

5.1 Comité de seguridad y privacidad de la información

Objetivo

Apoyar de forma activa la seguridad y privacidad de la información.

El responsable de Seguridad junto con los demás miembros del comité de seguridad tienen las siguientes funciones y responsabilidades:

  • Reporta al Director General.
  • Coordina todas las funciones de Seguridad y privacidad de la Organización.
  • Vela por el cumplimiento de la normativa de aplicación legal, regulatoria y sectorial.
  • Vela por el alineamiento de las actividades de seguridad y los objetivos de la Organización.
  • Es responsable de la elaboración, actualización, y publicación de todos los cambios derivados de las revisiones a las políticas, normas, medidas y procesos en materia de seguridad y privacidad de la información (Política de seguridad, Protección del puesto de trabajo, propiedad Intelectual, proceso disciplinario, teletrabajo, contraseñas, intercambio y transmisión de información , etc. ), que serán aprobados por el Director General.
  • Escucha las inquietudes del Director General y coordina las actividades para dar respuesta a dichas inquietudes.

5.2 Datos de carácter personal.

La política de privacidad, recoge los tratamientos realizados a los datos personales así como su finalidad, plazo de conservación, base legítima, tipología de los datos, cesiones, transferencias internacionales y elaboración de perfiles.

Todas las funcionalidades de nuestro SaaS Woffu se ajustarán a los niveles de seguridad requeridos por el RGPD para la naturaleza y finalidad recogidos en la mencionada política de privacidad.

6. Concienciación y formación

Todos los miembros de Woffu deben de realizar los cursos en materia de seguridad al menos una vez al año.

7. Gestión de riesgos

Se deberá de realizar un análisis de riesgos a nuestro SaaS Woffu, evaluando las amenazas y los riesgos a los que está expuesto. Este análisis se repetirá:

  • Regularmente, al menos una vez al año
  • Cuando cambie la información manejada
  • Cuando cambien los servicios prestados
  • Cuando ocurra un incidente grave de seguridad
  • Cuando se reporten vulnerabilidades graves

8. Proceso de aprobación y revisión

La Política de Seguridad de la Información será aprobada por el Director General y todos los miembros de Woffu tienen la obligación de conocerla y cumplirla.

La revisión de la política es responsabilidad del responsable de seguridad.

Así mismo la política estará sujeta a una revisión anual o cuando se produzcan cambios significativos en la normatividad aplicable,cambios intrínsecos de los sistemas de información y a la propia complejidad de la organización, a fin de asegurar que se mantenga su idoneidad, adecuación, eficacia y dar cumplimiento al marco legal y regulatorio en el que se desarrollan nuestras actividades.