DECLARACIÓN DE SEGURIDAD DE LA INFORMACIÓN

Capgemini y SOGETI España, referidas desde ahora como “compañía”, desean proteger a sus clientes y objetivos de negocio ofreciendo a sus trabajadores, colaboradores, proveedores y clientes un entorno de trabajo seguro mediante las medidas de seguridad y procesos operativos adecuados.

Los principios que deben esperarse son:

  • Confidencialidad: La información debe ser conocida exclusivamente por las personas autorizadas.
  • Integridad: La información debe ser completa, exacta, válida y no sujeta a manipulaciones.
  • Disponibilidad: La información debe ser accesible por los usuarios autorizados en todo momento y garantizar su persistencia ante cualquier eventualidad.

La seguridad de la información debe de ser flexible, eficaz y dar soporte al modelo de negocio de la compañía:

  • El acceso a la información debe de ser controlado y estar basado en el rol de la persona en la organización.
  • Los servicios proporcionados deben de ser seguros desde cualquier punto de acceso cuando se conecta a la infraestructura de la compañía.
  • Las medidas de seguridad deben de garantizar los requisitos de confidencialidad, integridad y disponibilidad de información y servicios.
  • Las medidas de seguridad deben de garantizar la privacidad de datos personales de acuerdo con la legislación vigente.
  • La seguridad de la información debe de estar alineada con la organización del negocio, los requerimientos de seguridad de nuestros clientes, la legislación aplicable y las buenas prácticas de la industria.

La compañía dispone de un Sistema de Gestión de Seguridad de la Información integrado en el Sistema de Gestión de Calidad y Medioambiente que ha sido aprobado y es impulsado por la Dirección de la compañía.

Esta Política de Seguridad y la Normativa de Seguridad que la desarrolla es mantenida, actualizada y adecuada a los fines de la organización y de acuerdo con la gestión de riesgos estratégicos de la compañía.

 

APLICABILIDAD DE LA POLÍTICA

Esta política de seguridad de la información es obligatoria dentro de su ámbito de aplicación. Los trabajadores, colaboradores, subcontratistas y proveedores de la compañía deben de conocer y cumplir esta política de acuerdo con su rol cuando traten con información de la compañía o sus clientes.

Cuando se detecta un área de incumplimiento de esta política esta área está sujeta a un análisis de riesgos. Este análisis de riesgos considera el posible impacto de una brecha de seguridad como resultado del incumplimiento y la disponibilidad de controles que mitiguen o compensen el riesgo. La aprobación es realizada por el CISO de la compañía estando las desviaciones sujetas a su aprobación.

La política de seguridad se basa en los siguientes principios, reglas y estándares:

  • Capgemini Group Information Security Policies.
  • Estándar ISO/IEC 27001:2013.
  • Legislación relacionada con la privacidad de datos personales (LOPD, GDPR).
  • Legislación relacionada con la seguridad de la información referida en la Normativa de Seguridad.

 

ÁMBITO DE UTILIZACIÓN DE LA POLÍTICA

Esta política establece los requisitos mínimos para asegurar la continuidad de las operaciones. Una seguridad de la información efectiva es un esfuerzo conjunto que requiere la participación de todos los trabajadores y colaboradores de la compañía que trabajan con activos de información.

La política de seguridad de la información es de aplicación en todas las infraestructuras y activos de la información, incluyendo la infraestructura proporcionada por la compañía, por el Grupo al que pertenece, la específica de cada proyecto o la infraestructura de cliente bajo responsabilidad de personal de la compañía:

  • Redes de comunicaciones WAN, LAN y telefonía fija y móvil.
  • Dispositivos personales, servidores, almacenes de datos y aplicaciones.
  • Medios de conexión entre infraestructuras externas a la compañía e infraestructuras de la compañía.
  • Todos los activos de información que son utilizados por los servicios internos y a cliente de la compañía.
  • Cualquier información de la compañía independientemente de su localización.
  • Cualesquiera procesos o tratamientos de información propia o fruto de la actividad de negocio.

El cumplimiento de la Política de Seguridad debe de ser monitorizado y auditado por el CISO de la compañía.