Medidas técnicas y organizativas
No aplica de forma significativa. La información se almacena principalmente en infraestructuras cloud y servicios de alojamiento profesionales, sin uso relevante de soportes físicos para el tratamiento de datos.
La información se almacena en servicios cloud y repositorios estructurados, aplicándose criterios de organización, clasificación y control de acceso que permiten su correcta gestión y localización.
La información se almacena principalmente en servicios cloud que incorporan mecanismos de cifrado y protección de datos. La eliminación de información se realiza mediante procedimientos de borrado seguro y controlado cuando resulta aplicable.
Las comunicaciones entre usuarios, sistemas y servicios se realizan mediante protocolos cifrados HTTPS/TLS, complementados con medidas de protección perimetral y control de accesos.
La organización dispone de mecanismos de segregación de funciones y control de accesos basados en roles y permisos, limitando el acceso a sistemas, aplicaciones y datos conforme al principio de mínimo privilegio.
La organización aplica políticas de contraseñas que incluyen requisitos de longitud y complejidad, validación de caracteres, indicadores de robustez, registro de intentos de acceso e intentos fallidos, así como controles destinados a reforzar la seguridad de la autenticación.
Los centros de datos utilizados disponen de medidas de protección física y ambiental, incluyendo vigilancia, control de accesos, protección frente a incidencias eléctricas y mecanismos destinados a garantizar la disponibilidad y seguridad de los sistemas.
Los centros de datos utilizados disponen de medidas de protección física y ambiental, incluyendo vigilancia permanente, sistemas de detección y protección frente a incendios, control climático, alimentación eléctrica redundante y otras medidas destinadas a garantizar la seguridad y disponibilidad de los sistemas.
La organización dispone de mecanismos de registro y trazabilidad de accesos a aplicaciones y sistemas, incluyendo eventos de autenticación, intentos fallidos, actividad de usuarios y registros técnicos necesarios para la supervisión y análisis de incidencias de seguridad.
La identificación de usuarios se realiza mediante credenciales únicas y mecanismos de autenticación controlados. El acceso a la información se encuentra sujeto a validación de identidad, políticas de contraseñas y controles de autorización basados en roles y permisos.
La organización identifica las funciones y responsabilidades asociadas al acceso a la información mediante la asignación de roles y permisos. Asimismo, mantiene documentación interna y obligaciones de confidencialidad aplicables al personal autorizado.
Se realizan copias de seguridad automáticas diarias de la información y los sistemas críticos para la prestación del servicio, garantizando la capacidad de recuperación ante incidencias.
Se realizan verificaciones y pruebas de restauración de copias de seguridad cuando resulta necesario, con el fin de garantizar la recuperabilidad de la información y la continuidad del servicio.
La organización aplica medidas para la eliminación automática de ficheros temporales mediante los mecanismos proporcionados por los sistemas operativos y las plataformas utilizadas, evitando la conservación innecesaria de información.
La organización aplica medidas de resiliencia mediante copias de seguridad diarias, infraestructuras redundantes proporcionadas por proveedores especializados y procedimientos de recuperación que permiten restablecer los servicios y la información en caso de incidencia.
La organización dispone de medidas orientadas a la continuidad de negocio, incluyendo procedimientos de recuperación de los servicios, copias de seguridad periódicas y mecanismos que permiten la reconstrucción y restablecimiento de la plataforma en caso de incidencia grave.
La organización dispone de un procedimiento interno para la gestión de incidencias y brechas de seguridad, incluyendo su registro, evaluación, seguimiento y notificación. Asimismo, cuenta con un formulario específico para la comunicación de incidencias y un mecanismo de escalado cuando pueden afectar a datos personales.
Actualmente no se realizan auditorías técnicas periódicas ni pruebas de intrusión (pentesting) formales. La organización se encuentra en proceso de implantación de un SGSI conforme a ISO 27001, que contempla la realización de revisiones y auditorías de seguridad.
La organización aplica procedimientos de gestión de vulnerabilidades que incluyen la actualización periódica de sistemas y aplicaciones, la supervisión de incidencias de seguridad, la aplicación de correcciones y la adopción de medidas preventivas destinadas a reducir la exposición a riesgos de seguridad.
Actualmente no se exige ni verifica de forma sistemática el cifrado de los equipos y dispositivos móviles utilizados por el personal. La organización se encuentra en proceso de implantación de un SGSI conforme a ISO 27001, dentro del cual se prevé formalizar este tipo de controles.
La organización dispone de entornos diferenciados de desarrollo, pruebas y producción. Los desarrollos se realizan en entornos separados de los sistemas productivos y los accesos se encuentran controlados mediante roles y permisos. Cuando resulta necesario utilizar datos reales en entornos de prueba, su acceso se limita al personal autorizado.
La organización utiliza mecanismos de seudonimización y anonimización de datos cuando la finalidad del tratamiento lo permite, especialmente para actividades de análisis, investigación y explotación estadística de la información.