Política de Seguridad de la Información
1. La Política de Seguridad de la Información (en adelante - Política) es el documento principal del sistema de gestión de la seguridad de la información (en adelante - SGSI) de UAB cV Group (en adelante "Grupo cV" o “la Empresa”). Los documentos del SGSI y/o partes separadas del mismo pueden facilitarse a las partes relacionadas con la información del Grupo cV para fines de acceso.
2. El objetivo de la Política es presentar la posición de la dirección del Grupo cV respecto a la seguridad de la información y proteger toda la información verbal, escrita y electrónica recibida, enviada, creada, gestionada y utilizada por el Grupo cV de todas las posibles amenazas: externas, internas, intencionadas o accidentales, que puedan afectar a las actividades y a la reputación del Grupo cV.
3. Para aplicar los objetivos del SGSI, se establecen los siguientes objetivos de seguridad de la información:
- garantizar y gestionar la seguridad de la información, teniendo en cuenta los objetivos estratégicos del Grupo cV para prestar sus servicios;
- garantizar y gestionar el cumplimiento de los requisitos externos e internos de seguridad de la información realizando evaluaciones periódicas del cumplimiento y eliminando las discrepancias identificadas;
- garantizar la resolución de las violaciones de la seguridad de la información y la eliminación de sus causas, aplicando la gestión de incidentes de seguridad de la información;
- garantizar la selección y aplicación adecuadas de las medidas de seguridad y tratamiento de la información, realizando una evaluación anual de riesgos y aplicando las medidas de seguridad de la información requeridas;
- garantizar la eficacia de las medidas de seguridad de la información aplicadas;
- garantizar la adecuación del Plan de Gestión de la Continuidad del Negocio revisándolo y probándolo periódicamente.
4. La información es un activo de importancia estratégica para las operaciones del Grupo cV, por lo que su pérdida, alteración ilegal, daño, divulgación o cese del tratamiento de la información puede causar interrupciones en las operaciones del Grupo cV. Por ello, esta política de gestión de la seguridad de la información establece las directrices básicas que todos los empleados del Grupo cV, contratistas y otras partes relacionadas que hagan negocios con el Grupo cV se comprometen a cumplir.
5. La política de gestión de la seguridad de la información se aplica a todos los procesos empresariales del Grupo cV relacionados con los servicios prestados e incluye la información verbal y escrita, los sistemas de información, las redes informáticas, el entorno físico, el entorno virtual, los empleados, las partes relacionadas, los socios, los contratistas u otras personas que trabajen en el Grupo cV, incluidos los empleados que trabajen para terceros y los que procesen legalmente información del Grupo cV.
6. La seguridad de la información incluye tres aspectos principales:
- confidencialidad de la información - protección de la información contra su divulgación no autorizada;
- integridad de la información: protección de la información frente a cambios no autorizados o accidentales;
- accesibilidad de la información - garantizar que la información sea accesible cuando sea necesaria para el correcto desempeño de las actividades del Grupo cV.
7. El propósito de las regulaciones es:
- Salvaguardar sus activos de información, incluidos los datos de los clientes recibidos de diversas fuentes y de terceros, abarcando la confidencialidad, la integridad, la accesibilidad y los aspectos tanto tangibles (por ejemplo, dispositivos informáticos y de comunicación, locales, etc.) como intangibles (por ejemplo, reputación, imagen);
- determinar la responsabilidad de la seguridad de la información;
- proporcionar referencias a los documentos de seguridad que componen el sistema de gestión de la seguridad de la información.
8. Los documentos del SGSI deben revisarse al menos una vez al año.
9. La aplicación de los requisitos de seguridad de la información del Grupo cV se garantiza y gestiona mediante una planificación, aplicación, evaluación y mejora coherentes del SGSI de conformidad con los requisitos de la norma ISO/IEC 27001 (así como sus últimas versiones).
10. El alcance de la certificación SGSI del Grupo cV incluye todos los productos de tecnología de la información y los proyectos relacionados del grupo de empresas.
11. La gestión de la seguridad de la información en el Grupo cV se basa en la gestión de riesgos. La evaluación de los riesgos para la seguridad de la información crea las condiciones para que las medidas de gestión de la seguridad de la información aplicadas en las actividades del Grupo cV cumplan los objetivos principales de sus actividades y de la seguridad de la información.
12. Los riesgos para la seguridad de la información del Grupo cV se evalúan cada año calendario conforme a la política de evaluación de riesgos aprobada. Durante la evaluación de los riesgos para la seguridad de la información debe realizarse una revisión del contexto de la empresa.
13. La Política también es aplicable a carVertical OÜ, la cual implementa los requisitos para terceros descritos en la Política.