POLÍTICA DE SEGURIDAD
www.woffu.com
V05052022
OBJETIVO Y ALCANCE
El objetivo principal de la presente política es tener una Política de Seguridad de la Información (PSI) de alto nivel con las reglas básicas para la gestión de la seguridad de la información para ofrecer un servicio seguro donde el acceso a la información es exclusiva para las personas autorizadas, la información es íntegra sin manipulaciones y está disponible.
La PSI es aplicable a todas las funcionalidades de nuestro servicio SaaS (Software as a Service) para optimizar la gestión del tiempo de las personas, tales como:
- Vacaciones y ausencias
- Control de Presencia
- Turnos
- Comunicación interna
- Documentos
- Informes
La PSI está disponible para nuestros clientes, personal de Woffu, colaboradores y proveedores con los que trabajamos conjuntamente para que puedan consultarla e involucrarse en la mejora continua de nuestro sistema de gestión de seguridad y privacidad de la información.
RESPONSABILIDADES
Todos los empleados de Woffu son responsables de manejar y procesar la información de manera segura y dar cumplimiento a las políticas, normas y medidas de seguridad establecidas.
ANTECEDENTES
La Dirección de Woffu es consciente de la importancia de proteger la confidencialidad, integridad y disponibilidad de la información, evitando la pérdida y la divulgación, modificación y utilización no autorizada de la información, en especial la de los datos personales.
Para proteger la información, se deberán de adecuar en todo momento las reglas básicas con lo siguiente:
- Las disposiciones de la Unión Europea vigentes en materia de seguridad y privacidad de los datos de carácter personal.
- Los estándares y mejores prácticas internacionales y nacionales en materia de Seguridad de la Información adoptadas por Woffu .
REGLAS BÁSICAS
- Se definen y publican políticas, normas, medidas y procesos en materia de seguridad de la información (Protección del puesto de trabajo, propiedad Intelectual, proceso disciplinario, teletrabajo, contraseñas, intercambio y transmisión de información , etc. ) para su aplicación y cumplimiento.
- Cumplimiento al marco legal y regulatorio:
- Reglamento General de Protección de Datos (RGPD). En el tratamiento de los datos personales de nuestros clientes, empleados, proveedores, colaboradores y usuarios de nuestro SaaS.
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
- Real Decreto-ley 8/2019, de 8 de marzo el 12 de marzo de 2019 en el Boletín Oficial del Estado, en relación a las medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo.
- Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual, regularizando, aclarando y armonizando las disposiciones legales vigentes sobre la materia.
- Woffu se somete a auditorías anuales para garantizar la seguridad de la información y conservar sus certificaciones.
- Auditoría ISO-27001 . Sistemas de Gestión de Seguridad de la Información, e implementación de los 114 controles de la ISO-27002
- Auditoría ISO-27701 . Extensión de las normas ISO/IEC 27001 e ISO/IEC 27002 para la gestión de la privacidad de la información – Requisitos y directrices.
- Auditoría ISO-27018 . Tecnología de la información – Técnicas de Seguridad – Código de prácticas para la protección de información de identificación personal ( PII ) en nubes pçublicas que actúan como procesadores de PII
- Pentest a nuestro servicio SaaS para optimizar la gestión del tiempo de las personas.
- Se debe de mantener y mejorar continuamente el Sistema de Gestión de Seguridad de la Información (SGSI) y el Sistema de Gestión de Información de Privacidad (SGIP)
- Contar siempre con el comité de seguridad y privacidad para apoyar de forma activa la seguridad de la información.
COMPROMISO DE LA DIRECCIÓN
La Dirección y el Responsable de seguridad y privacidad como miembros del comité de seguridad son responsables de las siguientes funciones:
Dirección
- Asegurar que la seguridad de la información se gestiona adecuadamente en toda la organización.
- Garantizar la privacidad y el ejercicio de los derechos de los interesados.
- Establecer periódicamente objetivos sobre la gestión de la Seguridad de la Información, y las acciones necesarias para su desarrollo.
- Establecer la sistemática de análisis del riesgo, evaluando el impacto y las amenazas.
- Implementar las acciones necesarias para reducir los riesgos identificados que se consideren inaceptables, según los criterios establecidos por el Comité de Seguridad.
- Aplicar los controles necesarios y sus correspondientes métodos de seguimiento.
- Cumplir con los requisitos asumidos por Woffu , legales, reglamentarios, de cliente, de propietarios de PII’s y de las obligaciones contractuales de seguridad.
- Garantizar a cada Cliente y a los propietarios de PII’s que su información será procesada de acuerdo con los requisitos fundamentales de confidencialidad, integridad y disponibilidad.
- Promover la concienciación y formación en materia de Seguridad y Privacidad de la Información a todo el personal de Woffu .
- Aportar los recursos necesarios para garantizar la continuidad del negocio de la empresa.
Responsable de Seguridad y Privacidad de la Información.
- El mantenimiento de esta política.
- Revisión anual para validar si es necesaria la implementación de nuevas medidas de seguridad.
- Asesora a la Dirección y proporciona apoyo especializado en materia de seguridad al personal de la organización.
- Revisar la la Política de seguridad y la de privacidad semestralmente o cuando se produzcan cambios significativos en la normatividad aplicable, cambios intrínsecos de los sistemas de información y a la propia complejidad de la organización, a fin de asegurar que se mantenga su idoneidad, adecuación, eficacia y dar cumplimiento al marco legal y regulatorio en el que se desarrollan nuestras actividades.