Menú
Cerrar
 Área de clientes

Política de seguridad de la información SGSI-05-01

I Tema y objetivo

Este documento es un extracto de la política de seguridad que tiene por objetivo describir el propósito de la organización de Vaillant Group en adelante VAILLANT SAUNIER DUVAL, incluya objetivos de seguridad de la información o proporcione un marco de referencia para el establecimiento de los objetivos de seguridad de la información, incluya el compromiso de cumplir con los requisitos aplicables a la seguridad de la información e incluya el compromiso de mejora continua del SGSI.

II Resumen

En este documento se recoge el compromiso de garantizar la seguridad de la información y se establecen las medidas y controles que se adopta para asegurar la confidencialidad, integridad y disponibilidad de la información, así como para prevenir y mitigar los riesgos a los que los activos de información de la empresa están expuestos.

III Fecha de entrada en vigor

El presente documento entrará en vigor 27/06/2025

Objetivo

VAILLANT SAUNIER DUVAL reconoce plenamente las implicaciones en términos de seguridad de la información asociadas a su operación y su compromiso con las partes interesadas. Por lo tanto, el objetivo principal de este documento radica en establecer la Política de Seguridad de la Información de VAILLANT SAUNIER DUVAL. La finalidad fundamental de esta política es asegurar la debida salvaguarda de los activos de información y la continuidad de los servicios ofrecidos, al contar con la capacidad necesaria para prevenir, detectar, responder y recuperarse ante posibles incidentes de seguridad. Con este fin, la organización adopta las medidas de seguridad necesarias para mantener un nivel de riesgo que se considere aceptable. Igualmente, reconoce la importancia de monitorear el desempeño de los servicios, analizar las vulnerabilidades identificadas y establecer respuestas efectivas a los incidentes. Es una prioridad para VAILLANT SAUNIER DUVAL que los servicios de información cumplan con sus funciones y preserven la integridad de los datos sin interrupciones o alteraciones no autorizadas, y que tampoco se permita el acceso no autorizado a los mismos. En consonancia con este objetivo, se exige que los sistemas y redes de información de la organización sean lo suficientemente robustos como para resistir de manera confiable eventos accidentales o acciones maliciosas que puedan comprometer la confidencialidad, disponibilidad e integridad de los datos almacenados o transmitidos, así como de los servicios utilizados en entornos digitales.

Es responsabilidad de VAILLANT SAUNIER DUVAL asegurar que la seguridad de las Tecnologías de la Información y Comunicación (TIC) se encuentre integrada en todas las etapas del ciclo de vida de los sistemas de información. Esto abarca desde la concepción hasta la retirada del servicio, incluyendo decisiones relativas a la adquisición, así como las actividades operativas. Los requisitos de seguridad y las necesidades de financiación vinculadas a cada fase son identificados y considerados en la planificación y en las solicitudes de propuestas de proyectos.

Con el propósito de cumplir con lo establecido en esta Política de Seguridad de la Información y garantizar el nivel de seguridad exigido por VAILLANT SAUNIER DUVAL, el Comité de Seguridad de la Información emite anualmente un informe en el que se detallan las medidas de seguridad aprobadas por el Comité, basándose en la gestión de riesgos. Estas medidas deben ser implementadas durante el siguiente ejercicio económico tras su aprobación debido a su carácter esencial. Además, el informe incluye aquellas medidas que se consideran deseables para impulsar la estrategia de seguridad diseñada por el Comité.

Ámbito de aplicación

De acuerdo con la Política de Seguridad de la Información y su respectiva normativa, se establecen medidas de seguridad que deben ser aplicadas, según las directrices definidas en dichas normas, a todos los sistemas, servicios y recursos relacionados con Tecnologías de la Información y Comunicación (TIC) utilizados por VAILLANT SAUNIER DUVAL para respaldar sus procesos organizativos, y que afecten a los diversos elementos de información asociados.

Los recursos TIC de la entidad tienen como finalidad proporcionar soporte a las operaciones comerciales, así como a las actividades de gestión esenciales para su funcionamiento. Estos recursos abarcan tanto los sistemas centrales como los departamentales, estaciones de trabajo, ordenadores, impresoras, dispositivos de salida y otros periféricos, redes internas y externas, servicios de comunicación y sistemas de almacenamiento propiedad de VAILLANT SAUNIER DUVAL.

En este contexto, los ordenadores o dispositivos personales que no sean adquiridos por la organización ni registrados a su nombre no se consideran parte de los recursos TIC de la entidad, aunque ocasionalmente puedan utilizarse en actividades relacionadas con los procesos comerciales. Por lo tanto, quedan excluidos de la aplicación de esta política, así como de cualquier consideración o preocupación en materia de seguridad. No obstante, cualquier dispositivo personal que se conecte a la red corporativa o contenga información de VAILLANT SAUNIER DUVAL estará sujeto a las obligaciones establecidas en la presente Política de Seguridad de la Información, así como a las normativas y directrices que la complementen.

Esta política no solo se aplica al personal interno de la organización, sino que también es vinculante para todas las personas, entidades, instituciones o unidades y servicios, tanto internos como externos, que hagan uso de los recursos TIC y tengan acceso a los elementos de información de la entidad. Esto incluye a quienes se conecten directa o indirectamente a dichos recursos, ya sea de manera remota o mediante dispositivos ajenos, y engloba especialmente los servicios ofrecidos a través de Internet. En el contexto de esta actividad, se considerará a estos individuos como usuarios, de acuerdo con los términos establecidos en esta política.

Principios de seguridad de la información

La presente política, en conjunto con su normativa correspondiente, se fundamenta en principios esenciales de protección con el objetivo de asegurar que la organización pueda alcanzar sus metas a través de la correcta gestión de los sistemas de información. Estos principios fundamentales, que deben ser tenidos en cuenta en todas las decisiones relacionadas con la seguridad de la información, se describen a continuación:

Enfoque integral de la seguridad

La seguridad se aborda como un proceso global que involucra a todos los elementos humanos, materiales, organizativos y tecnológicos relacionados con el sistema. Por tanto, es crucial tomar las medidas apropiadas para que todos los actores involucrados en el proceso sean conscientes de la Política de Seguridad de Información y ejecuten sus responsabilidades de acuerdo con ella. La coordinación entre todos los participantes es aplicable a todas las iniciativas y acciones emprendidas por VAILLANT SAUNIER DUVAL.

Gestión de riesgos

El análisis y gestión de riesgos desempeñan un rol crucial en la seguridad de la información. Es esencial mantener los niveles de riesgo dentro de límites aceptables a través de la implementación continua de medidas de seguridad apropiadas y actualizadas. Esto asegura una proporcionalidad entre la naturaleza de los datos y procesos de tratamiento, los riesgos a los que están expuestos, y las medidas de seguridad correspondientes.

Prevención y recuperación ante incidentes

La seguridad de los sistemas debe abarcar la prevención, detección y recuperación con el propósito de evitar que las amenazas se materialicen o tengan un impacto significativo en los datos manejados por los sistemas de información o en los servicios ofrecidos. Esto se logra a través de medidas preventivas, incluyendo disuasión y reducción de exposición; medidas de detección que son complementadas con respuestas efectivas para abordar incidentes de seguridad, y medidas de recuperación que permiten la restauración de servicios e información. El sistema garantiza la preservación de datos y la disponibilidad de servicios a lo largo del ciclo de vida de la información.

Múltiples capas de defensa

El sistema debe contar con una estrategia de protección que consiste en múltiples capas de seguridad dispuestas de tal manera que, si una de ellas falla debido a un incidente inevitable, se tenga tiempo suficiente para una respuesta adecuada, reduciendo la probabilidad de que todo el sistema se vea comprometido y minimizando el impacto final. Estas capas de defensa incluyen medidas organizativas, físicas y lógicas.

Revisión periódica

VAILLANT SAUNIER DUVAL revisa y actualiza regularmente las medidas de seguridad implementadas para asegurar que continúen siendo efectivas ante la evolución constante de los riesgos y los sistemas de protección.

Liderazgo y compromiso

La Dirección de VAILLANT SAUNIER DUVAL demuestra su liderazgo y compromiso con los principios fundamentales de seguridad de la información mediante la implementación del Sistema de Gestión de Seguridad de la Información (SGSI), sobre el que asume las siguientes responsabilidades:

  • Establecer y alinear la Política de Seguridad de la Información y la Normativa de Seguridad de la Información con la dirección estratégica de la organización. Garantizar la disponibilidad de los recursos necesarios para el funcionamiento efectivo del SGSI.
  • Comunicar la importancia de una gestión eficiente del sistema y del cumplimiento de los requisitos establecidos a todos los niveles de la organización.
  • Proporcionar dirección y apoyo a las personas que contribuyen al funcionamiento del SGSI, promoviendo una cultura de seguridad de la información.
  • Colaborar con otras áreas de gestión pertinentes para fortalecer su liderazgo en sus respectivas áreas de responsabilidad, garantizando la integración de la seguridad de la información en todos los procesos.
  • Asegurar que el SGSI alcance los resultados previstos en términos de protección de la información y continuidad de los servicios.
  • Promover la mejora continua en el ámbito de la seguridad de la información, respaldando iniciativas que conduzcan a una mayor eficacia y eficiencia en la gestión de la seguridad.

Política de Gestión y objetivos de seguridad

La Dirección de VAILLANT SAUNIER DUVAL reconoce la necesidad de garantizar el cumplimiento de los niveles definidos de confidencialidad, integridad y disponibilidad para sus activos de información. Esto es esencial para llevar a cabo las actividades de la compañía y alcanzar los objetivos estratégicos, así como para demostrar su capacidad para una gestión eficiente de los servicios ofrecidos a los clientes.

Con el propósito de lograr estas metas, se ha desarrollado e implementado el Sistema de Gestión de Seguridad de la Información (SGSI), que proporciona un marco de referencia sólido para el manejo seguro de los activos de la compañía. Además, este sistema actúa como garantía para asegurar la confianza y satisfacción de todas las partes interesadas, al integrar una metodología segura para la prestación de servicios.

Para reforzar su compromiso, y teniendo en cuenta que la seguridad de la información se orienta a garantizar la continuidad de las operaciones de la organización y mitigar el riesgo al prevenir y, en caso necesario, reducir el impacto de los incidentes de seguridad, RED OFISAT establece los siguientes objetivos estratégicos en materia de seguridad de la información, en sintonía con el contexto y la dirección estratégica de la empresa:

  • Promover una cultura organizativa en la que la seguridad de la información sea un pilar fundamental y se encuentre arraigada en todas las prácticas y procesos de gestión de la organización.
  • Proteger la confidencialidad, disponibilidad e integridad de los datos de la organización para respaldar la estrategia empresarial, así como cumplir con los requerimientos legales y contractuales vigentes.
  • Realizar análisis y gestión de riesgos centrados en la seguridad de la información. Utilizar de manera óptima los recursos destinados a la seguridad para respaldar los objetivos del negocio.
  • Aprovechar de manera eficiente y efectiva el conocimiento y la infraestructura de seguridad existente.
  • Salvaguardar los recursos de información y la tecnología utilizada por VAILLANT SAUNIER DUVAL contra amenazas tanto internas como externas, sean intencionadas o accidentales.
  • Establecer procesos de monitorización y reporte para garantizar el cumplimiento de los objetivos de seguridad de la información y asegurar una respuesta adecuada ante incidentes.

En consonancia a su estrategia y negocio, VAILLANT SAUNIER DUVAL define una serie de objetivos específicos de seguridad de la información:

Protección de activos de Información

La habilidad para proteger los recursos del sistema es un pilar fundamental en la estrategia de VAILLANT SAUNIER DUVAL. La gestión de riesgos representa uno de los fundamentos más esenciales de la seguridad de la información y es considerada una práctica central en todos los estándares de seguridad reconocidos. Por lo tanto, gran parte de los esfuerzos dedicados a proteger la información, los activos y el negocio de la entidad se basa en los resultados derivados del análisis y evaluación de los riesgos de seguridad.

Controles de acceso lógico y autenticación

Asegurar que el sistema de información solo sea accesible por usuarios autorizados es otro de los puntos clave para VAILLANT SAUNIER DUVAL. La implementación de una autenticación sólida es crucial para mitigar el riesgo de suplantación de identidad y otros accesos fraudulentos.

Protección de la confidencialidad

Garantizar la confidencialidad de los datos es una parte integral de la seguridad de la información. Esto implica proteger la información intercambiada entre partes autorizadas y garantizar que no esté expuesta a terceros no autorizados.

Protección de la integridad

Asegurar la integridad de los datos es fundamental para prevenir modificaciones o manipulaciones no autorizadas. La organización implementa medidas de seguridad para mitigar los riesgos de manipulación de datos, especialmente en entornos no confiables como redes públicas o internet.

Protección de la disponibilidad

Mantener la disponibilidad ininterrumpida de los sistemas de información es esencial. RED OFISAT establece procedimientos para mantener la continuidad del negocio en situaciones adversas, minimizando así el impacto de interrupciones y asegurando que los sistemas estén siempre disponibles.

Auditoría de actividades de seguridad

La vigilancia y el registro continuo de posibles incidentes y actividades sospechosas son objetivos clave para prevenir eventos no deseados. Esto contribuye a la seguridad al detectar y responder a amenazas de manera proactiva.