Skip to content
Information Security Policy - back

Política de Seguridad de la Información

DESCARGA NUESTRA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Descarga la versión actual de nuestra Política de Seguridad de la Información. Las versiones históricas de nuestra Política están disponibles a petición previa.

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

 

1. OBJETO

El objetivo de esta política de seguridad de la información (en adelante, la «Política») es proporcionar un marco de referencia estructurado y claro que marque las directrices de nuestra organización en la gestión y protección de la información que maneja, de acuerdo con la normativa aplicable y con los valores éticos del Grupo Quintas (también, «Quintas») definidos en su Código Ético.

Quintas considera la información que maneja como uno de sus activos más críticos, por lo que garantizará la protección de la información, independientemente de la forma en que se transmita, comparta, proyecte o almacene (en adelante, la «Información»). Esta protección abarcará tanto la información presente dentro de Quintas como la compartida con terceros.

En este contexto, la Seguridad de la Información se define como la protección de (i) la información propiedad de Quintas, ya se encuentre en sistemas internos o de terceros; y (ii) la información perteneciente a terceros que se encuentre alojada en los sistemas de Quintas.

Por último, a efectos de esta Política, se entiende por sistema de información el conjunto de tecnologías, procesos, aplicaciones empresariales y software a disposición de las personas en Quintas («Sistema de Información»).


2. ALCANCE

Esta Política se aplicará a todo el Grupo Quintas y será vinculante para todos sus empleados y colaboradores externos, independientemente de su cargo y función.

La aplicabilidad de la Política podrá extenderse, total o parcialmente, a cualquier persona física y/o jurídica asociada al Grupo Quintas mediante una relación distinta de la laboral, siempre que sea factible dadas las características de dicha relación y resulte beneficiosa para la consecución de los objetivos establecidos por la misma.

Esta Política de Seguridad de la Información debe ser adoptada y aplicada por cada una de las empresas del Grupo Quintas. En consecuencia, cada una de las empresas que conforman el Grupo Quintas deberá utilizar la Política de Seguridad como requisito mínimo y adaptarla a sus condiciones y legislación local.

Asimismo, la aplicación de esta Política es complementaria a otras normas internas de obligado cumplimiento, como la Política de Privacidad.

La Política estará disponible en el sitio web de Quintas y en el servidor de Quintas, de forma que sea accesible a todas las partes interesada.


3. OBJECTIVOS

El objetivo de la Política es establecer directrices para que todos los sistemas de información operados por la empresa sean seguros de acuerdo con los siguientes parámetros:

  • Garantizar el grado de confidencialidad necesario para cada tipo de información, protegiendo la información y restringiendo el acceso sólo a las personas autorizadas.
  • Mantener la integridad de la Información, evitando alteraciones respecto al momento en que fue generada por los propietarios o responsables de la misma.
  • Asegurar la disponibilidad de la Información, en todos los soportes y siempre que sea necesario, garantizando la continuidad del negocio y el cumplimiento de todas las obligaciones que puedan ser exigidas a Quintas.

4. PRINCIPIOS GENERALES

Los objetivos enumerados anteriormente se formalizarán de acuerdo con los siguientes principios generales:

  • Compromiso y liderazgo de la dirección: Para garantizar una seguridad de la información eficaz, es esencial contar con el compromiso y el apoyo de todos los niveles de dirección de Quintas.
  • Clasificación de la información:La clasificación de la información se realizará teniendo en cuenta su valor, importancia y relevancia para el negocio. Esto permitirá adaptar las medidas de protección en función del nivel de clasificación asignado a cada activo de información. Asimismo, la clasificación de los activos de información se realizará teniendo en cuenta los requisitos legales y operativos, así como las buenas prácticas y normas establecidas.
  • Uso de los sistemas de información: El uso de los sistemas estará restringido a fines legítimos y exclusivamente profesionales, orientados a la ejecución de responsabilidades relacionadas con el puesto de trabajo. En consecuencia, queda prohibido el uso personal de estos recursos, así como cualquier actividad con fines ilícitos.
  • Segregación de funciones: Se evitarán las situaciones de riesgo derivadas de la falta de segregación de funciones y de la dependencia exclusiva de una persona para tareas críticas para el funcionamiento de la empresa. En este contexto, se implantarán procedimientos para supervisar la asignación de permisos en los Sistemas de Información, asegurando que los usuarios acceden únicamente a los recursos e información imprescindibles para el cumplimiento de sus responsabilidades.
  • Gestión de riesgos: La integración del análisis y gestión de riesgos constituirá una parte integral del proceso de seguridad de la información, minimizando los riesgos a niveles aceptables. La reducción de estos niveles se logrará mediante la aplicación de medidas de seguridad, sopesando la naturaleza de los datos y su tratamiento, el impacto y la probabilidad de los riesgos a los que están expuestos, y la eficacia y el coste asociado de dichas medidas de seguridad.
  • Continuidad operativa: Se implantará un Plan de Continuidad Operativa que garantice la recuperación de la información crítica para el grupo Quintas en situaciones de desastre, con el objetivo de reducir el tiempo de inactividad a niveles aceptables.
  • Mejora continua: Las medidas de seguridad serán revisadas y actualizadas periódicamente para adaptar su eficacia a la constante evolución de los riesgos y de los sistemas de protección. El tratamiento de la seguridad de la información será supervisado, revisado y auditado por profesionales cualificados en la materia.
  • Formación y concienciación: Ser conscientes de los riesgos de seguridad de la información, así como conocer y aplicar las prácticas necesarias para proteger la información.

5. CONTROLES

Es responsabilidad de todo el personal directivo de Quintas asegurarse de que los empleados se adhieren a esta política. El personal de control interno de Quintas revisará el desempeño de la compañía en la implementación de esta política.


6. ACCIONES DISCIPLINARIAS

La violación de las normas, políticas y procedimientos presentados en este documento por parte de los empleados dará lugar a medidas disciplinarias, que van desde advertencias o amonestaciones hasta el despido. Consulte la sección «PROCEDIMIENTOS DISCIPLINARIOS» del Manual del Empleado de QE.


7. COMUNICACIÓN Y REVISIÓN DE LA POLÍTICA

Esta política es objeto de una comunicación, formación y actividades de sensibilización adecuadas para garantizar su correcta comprensión y puesta en práctica.

Esta política se revisa periódicamente. La última revisión se llevó a cabo el 05 de diciembre 2023, reafirmando nuestro compromiso con la seguridad de la información.

 

Para más información, consulte el documento Normas y procedimientos de seguridad de la información, en el que se establecen las normas y procedimientos aplicables a los siguientes temas:
  • Seguridad de aplicaciones y plataformas
  • Notificación de incidentes de seguridad
  • Responsabilidades de gestión
  • Controles