Protección de datos de los trabajadores Nedtel - Nedtel Servicios

POLÍTICA DE PROTECCIÓN DE DATOS PARA TRABAJADORES

1- OBJETO, ALCANCE Y ÁMBITO DE APLICACIÓN:

Este documento recopila la normativa de seguridad de la información y protección de datos de Verne Group y aplica a todo el personal de Verne Group, en adelante “La Organización”, integrado por las siguientes sociedades.

  • Verne Technology Group, S.L. con CIF B54949508
  • Verne Technology Group Servicios S.L con CIF B54961321
  • Verne Information Technology SL B42626937
  • Telecomunicacion de Levante, S.L. con CIF B03067741
  • Verne Telecom, S.L. con CIF B54728977
  • VERNE TECHNOLOGY Gmbh NW – Dusseldorf HRB-84092
  • Teleco Global Solution Marroc s.r.l., con CIF 3368958
  • Lina Systems, con CIF 40154472
  • Digital-Cable de Levante, S.L. con CIF B53248910
  • Digicall Levante, S.L. con CIF B54873583
  • Nedtel Consultoría y Servicios s.l. con CIFB42527424
  • Face Ingeniería Global Teleco s.l. con CIF B5472321

1.1 Normas de referencia_

 

– MN-01.86.10 Política de Seguridad: Manual de Políticas de Seguridad.
– UNE-ISO/IEC 27001:2014 Requisitos de sistemas de Gestión de Seguridad de la Información (ISO27001)
– UNE-ISO/IEC 27002: Código de buenas prácticas para controles de Seguridad de la Información (ISO27002)
– REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos- RGPD)
– Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
– Real Decreto 3/2010 por el que se aprueba el Esquema Nacional de Seguridad, modificado por el RD951/2015. (ENS)

2- Responsabilidad y Formas de contacto:

Dirección de Verne Group: Establece y aprueba la política de seguridad en la que se basa esta normativa.

Comité de seguridad: Es responsable de la creación y mantenimiento de esta normativa de seguridad. Deberá revisarla siempre que se produzcan cambios relevantes en el sistema de gestión de la seguridad de la información o en las políticas de seguridad de la organización. Contacto con el comité: comitedeseguridad@vernegroup.com 

Delegado de Protección de datos (DPD o DPO): Es el referente en relación con el cumplimiento de la normativa de protección de datos. Forma parte del comité de seguridad. Contacto con el DPO: dpo@vernegroup.com .

Usuario o personal de Verne Group: Debe conocer el tratamiento de sus datos personales, los derechos que le asisten y la obligación de cumplir todos los puntos que le apliquen de las Políticas de Seguridad y de esta normativa.

3- Tratamiento de datos de los trabajadores

3.1 Tratamiento de datos de los trabajadores_

 

A continuación, se detalla qué tratamiento de datos se realiza por parte de VERNE GROUP de los trabajadores que integran las empresas que lo componen.

En cumplimiento con lo establecido en el Artículo 13 del REGLAMENTO (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y al Artículo 11 de la LO 3/2018 de protección de datos personales y garantía de los derechos digitales, le informamos de los siguientes extremos:

  • Los datos serán tratados por VERNE GROUP con la finalidad de gestión de recursos humanos de la entidad, incluyendo en dicha finalidad las tareas administrativas necesarias, planificación de la actividad, gestión de capacitación y formación para el puesto de trabajo, gestión de nóminas y seguros sociales, vigilancia de la salud y prevención de riesgos laborales.
  • VERNE GROUP utilizará medios de control empresarial siempre que sean proporcionales y guardando la consideración debida a su dignidad, son los siguientes:
  • Se le informa de la existencia de cámaras de VIDEOVIGILANCIA, responsabilidad de VERNE GROUP cuya finalidad es la gestión de las imágenes recogidas por el sistema de cámaras de la empresa con fines de seguridad de las instalaciones. Dichas cámaras no se encuentran ubicadas en zonas que puedan ser lesivas para la dignidad del trabajador, tales como aseos, vestuarios, zonas de descanso, etc
    • La empresa dispone o podrá disponer de sistemas de control de acceso físico a sus instalaciones a través de aparatos de control biométricos (Huella dactilar, reconocimiento facial, o cualquier otra que se implante en el futuro). La finalidad de dichos dispositivos es el control de presencia física de los trabajadores en las instalaciones de VERNE GROUP.
    • Como usted conoce, el vehículo o teléfono móvil de la compañía se le ha asignado para el desempeño de sus funciones laborales dentro de la empresa y podrá estar equipado con un sistema de geolocalización (GPS) que funciona cuando el vehículo cuando está en marcha y registra las coordenadas de su ubicación en una plataforma de geo posicionamiento. De acuerdo con las exigencias de la buena fe, del acceso y tratamiento de sus datos de navegación y de localización, se persigue garantizar la seguridad del trabajador, mejorar la gestión de la flota por parte de la empresa, así como la respuesta a las peticiones de los clientes, mantenimiento y cumplimiento de la relación laboral de los trabajadores de la empresa, planificación de la actividad y rutas.
    • VERNE GROUP podrá acceder a los contenidos derivados del uso de medios digitales facilitados a los trabajadores (correo electrónico, dispositivos entregados, internet, y cualquier otra aplicación de uso laboral) para control del cumplimiento de las obligaciones laborales y de garantizar la integridad de dichos dispositivos.
  • La base de legitimación para el tratamiento de sus datos es el contrato laboral que le une a la entidad.
  • Los datos personales que tratamos en VERNE GROUP han sido proporcionados directamente por usted. Es posible que se traten datos especialmente sensibles, si son transmitidos a la entidad por los Juzgados y Tribunales y Administraciones públicas para el embargo de salarios, para la gestión de la actividad sindical, así como en el caso de accidentes laborales acaecidos en la entidad.
  • Cesiones de datos: VERNE GROUP le comunica que sus datos de carácter personal podrán ser cedidos a diferentes entidades públicas y privadas en los casos en que sea necesario para el desarrollo, cumplimiento y control de la relación laboral o cuando lo autorice una norma, en especial a los siguientes cesionarios y con las siguientes finalidades:
  • A las Administraciones Públicas correspondientes, en cumplimiento de los deberes impuestos por la normativa laboral, de seguridad social y tributaria (Tesorería General de la Seguridad Social, Agencia Estatal de la Administración Tributaria, y otros órganos de la Administración Pública).
  • A entidades acreditadas en Prevención de Riesgos Laborales, mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social o cualquier otra entidad a la que se encomiende la preservación de la salud de los trabajadores.§  A la entidad bancaria correspondiente, para el pago de nóminas.
    • Sindicatos, dentro de los deberes impuestos por la Ley Orgánica de Libertad Sindical.
    • A los órganos de la Administración Pública correspondientes, para la tramitación y obtención de subvenciones.
    • A terceras entidades que lo soliciten con motivo de la participación del trabajador en cursos o acciones formativas de carácter bonificable, siendo necesarios los datos del trabajador para poder gestionar o tramitar dicha bonificación.
    • A clientes para el cumplimiento de las obligaciones derivadas de lo previsto en el artículo 42.2 del Estatuto de los Trabajadores y en el Real Decreto 171/2004, de 30 de enero, por el que se desarrolla el artículo 24 de la Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales, en materia de coordinación de actividades empresariales.
    • A agencias de viajes, hoteles, empresas de transporte, etc. con ocasión de reservas de viajes en el marco de la relación laboral. Algunas de las citadas entidades podrían estar ubicadas en terceros países que no proporcionen un nivel de protección equiparable al que presta el Reglamento Europeo de protección de datos.
  • Sus datos personales serán mantenidos hasta que prescriban las obligaciones establecidas en la legislación laboral, de seguridad social y prevención de riesgos laborales.

 

  • Tiene derecho a:obtener confirmación sobre si en el VERNE GROUP está tratando datos personales que les conciernan. Tiene derecho a acceder a sus datos personales, así como a:
    • solicitar la rectificación de los datos inexactos o, en su caso, solicitar su supresión cuando, entre otros motivos, los datos ya no sean necesarios para los fines que fueron recogidos.
    • solicitar la limitación del tratamiento de sus datos, en cuyo caso únicamente los conservaremos para el ejercicio o la defensa de reclamaciones.
    • En determinadas circunstancias y por motivos relacionados con su situación particular, podrá oponerse al tratamiento de sus datos. VERNE GROUP dejará de tratar los datos, salvo por motivos legítimos imperiosos, o el ejercicio o la defensa de posibles reclamaciones.
  • Puede ejercitar los derechos indicados en Calle La Libra 114-115. Pol. Ind. Las Atalayas, 03114, Alicante, o poniéndose en contacto con el Delegado de Protección de Datos de la organización en: dpo@vernegroup.com.

3.2 Ejercicio de derechos de protección de datos_

 

Cualquier usuario de datos personales de VERNE GROUP tiene la obligación legal de poder informar a los interesados sobre el ejercicio de los derechos que les corresponden (Interesado puede ser cualquier persona de la cual Verne Group pueda tratar datos de carácter personal, ej. candidatos a un empleo que han dejado su CV, trabajadores, proveedores, clientes, etc.).

El interesado tiene los siguientes derechos, respecto de los datos personales registrados en la entidad:

  • Derecho de acceso: el interesado tendrá derecho a obtener de Verne Group confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales.
  • Derecho de rectificación: el interesado tendrá derecho a obtener sin dilación indebida de Verne Group la rectificación de los datos personales inexactos que le conciernan.
  • Derecho de supresión: el interesado tendrá derecho a obtener sin dilación indebida de Verne Group la supresión de los datos personales que le conciernan.
  • Derecho a la limitación de los datos: el interesado tendrá derecho a obtener de Verne Group la limitación del tratamiento de los datos.
  • Derecho a la portabilidad de los datos: el interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado.
  • Derecho a oposición: el interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en el interés legítimo, incluida la elaboración de perfiles sobre la base de dichas disposiciones.:

Si cualquiera solicita ante el personal de VERNE GROUP el ejercicio de estos derechos, (aunque no sea con estas palabras, e incluso aunque sepamos que la empresa no tiene registrados, ni trata datos suyos), se le deberá informar inmediatamente al Delegado de Protección de Datos de la organización en: dpo@vernegroup.com.

4- Política general de seguridad de la información (PSI):

Cualquier usuario de datos personales de VERNE GROUP tiene la obligación legal de poder informar a los interesados sobre el ejercicio de los derechos que les corresponden (Interesado puede ser cualquier persona de la cual Verne Group pueda tratar datos de carácter personal, ej. candidatos a un empleo que han dejado su CV, trabajadores, proveedores, clientes, etc.).

El interesado tiene los siguientes derechos, respecto de los datos personales registrados en la entidad:

  • Derecho de acceso: el interesado tendrá derecho a obtener de Verne Group confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales.
  • Derecho de rectificación: el interesado tendrá derecho a obtener sin dilación indebida de Verne Group la rectificación de los datos personales inexactos que le conciernan.
  • Derecho de supresión: el interesado tendrá derecho a obtener sin dilación indebida de Verne Group la supresión de los datos personales que le conciernan.
  • Derecho a la limitación de los datos: el interesado tendrá derecho a obtener de Verne Group la limitación del tratamiento de los datos.
  • Derecho a la portabilidad de los datos: el interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado.
  • Derecho a oposición: el interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en el interés legítimo, incluida la elaboración de perfiles sobre la base de dichas disposiciones.:

Si cualquiera solicita ante el personal de VERNE GROUP el ejercicio de estos derechos, (aunque no sea con estas palabras, e incluso aunque sepamos que la empresa no tiene registrados, ni trata datos suyos), se le deberá informar inmediatamente al Delegado de Protección de Datos de la organización en: dpo@vernegroup.com.

5.- Seguridad de la información en la gestión de proyectos

Cualquier nuevo servicio o proyecto incluirá desde su fase de requisitos el análisis y gestión de los riesgos en seguridad de la información de forma que se apliquen controles en todas las fases de desarrollo de este.

Si el servicio o proyecto implica una nueva actividad de tratamiento de datos personales requerirá ser aprobada por el comité de seguridad para garantizar que cumple con los requerimientos normativos en esta materia.

6.- Seguridad en los dispositivos móviles y teletrabajo:

  • Los dispositivos son siempre asignados a una persona determinada y por tanto la persona autorizada a su uso debe garantizar que terceros no acceden físicamente al dispositivo, estableciendo las medidas para proteger contra robo, especialmente cuando se deja en lugares como vehículos, salas de reunión, salas de uso múltiple, etc. 
  • La instalación de aplicaciones se realizará siempre por el departamento de IT, todos los usuarios serán informados de la prohibición de instalar aplicaciones sin autorización previa. 
  • Las actualizaciones de parches y demás configuraciones del sistema son realizadas de forma centralizada por el departamento de IT. 
  • Los dispositivos no se conectarán a redes abiertas o aquellas que no permitan garantizar la seguridad de la información. Todos los usuarios serán informados de esta prohibición. 
  • Se establece un sistema de identificación/autenticación para el acceso al dispositivo mediante la utilización de una contraseña, código PIN o mecanismo equivalente; el cual debe ser modificado periódicamente. Los sistemas de identificación/autenticación son confidenciales y no pueden ser comunicados a terceras personas. También se establecen sistemas de bloqueo inmediato de dispositivos cuando éstos no estén siendo utilizados. 
  • No se permite, en ningún caso, al navegador que recuerde las contraseñas de acceso a la información o a las aplicaciones. 
  • La información que se encuentra en dispositivos electrónicos debe estar encriptada a nivel de disco. 
  • La protección contra software malicioso se instala y actualiza por el personal de IT. Para la correcta protección del dispositivo, no se modificarán los parámetros técnicos de seguridad del dispositivo (por ejemplo, rooting, modificaciones en BIOS, cuentas de administración del Sistema Operativo, etc.). 
  • Toda la información que se trata en dispositivos móviles esta almacenada en servicios y aplicaciones web propiedad de la organización. El departamento de IT es el encargado de realizar las copias de seguridad de estas. 
  • Se debe comunicar cualquier incidencia que pueda afectar a la información integrada en el dispositivo (ejemplo: pérdida o sustracción del terminal, pérdida o borrado de la información). La comunicación se realizará en la menor brevedad posible, a la persona asignada como responsable del departamento o en su defecto al departamento de IT. 
  • La entidad establecerá sistemas para la inhabilitación, borrado y bloqueo remoto de los dispositivos. 
  • Siempre que se haga entrega a un usuario de un dispositivo móvil, éste firmará un documento aceptando las condiciones de uso de este
  • El tratamiento fuera de las instalaciones debe realizarse sólo con equipos autorizados y que tengan las debidas medidas de seguridad, antivirus, protección de acceso no autorizado con usuario y contraseña y firewall activado. En ningún caso se debe almacenar información confidencial en equipos y soportes no autorizados.
  • De forma general, no se puede tener información privada o confidencial en los dispositivos móviles de la organización
  • Se debe tener especial cuidado cuando los equipos de computación móvil se encuentran en vehículos (incluyendo automóviles), espacios públicos, habitaciones de hotel, salas de reunión, centros de conferencias y demás áreas no protegidas exteriores a las instalaciones de la organización.

Política BYOD de Verne IT_

 

El acceso a sistemas y servicios de VERNE IT, correo electrónico, servicios de mensajería instantánea y colaboración y/o aplicaciones corporativas desde dispositivos, terminales y/o teléfonos móviles propiedad del colaborador y/o empleado, que voluntariamente aporta para su uso en actividades de ámbito profesional, está sujeto a las mismas condiciones y exigencias de seguridad y control que el resto de los dispositivos propiedad de VERNE IT.

Además, deberán cumplirse las siguientes condiciones:

  • Los empleados y colaboradores deberán aceptar el acceso por parte de la compañía a sus dispositivos personales usados para actividades profesionales. Inclusive al término de la relación laboral.
  • Dichos dispositivos deben utilizar auto-bloqueo de sesión tras un periodo de inactividad. La reanudación del trabajo debe hacerse mediante una contraseña para desbloquear la sesión.
  • En dichos dispositivos está prohibido almacenar información clasificada como CONFIDENCIAL.
  • En caso de que los dispositivos se encuentren fuera de las instalaciones que están bajo el control del Responsable de Seguridad y en ellos se trate información RESTRINGIDA, esta información será cifrada. En caso de que dicho cifrado no sea posible no deberían almacenarse dicha información restringida en estos equipos.
  • VERNE IT se reserva el derecho de autorizar o denegar el acceso y eliminación remota de datos en caso de pérdida o robo, del dispositivo móvil del empleado o colaborador, lo que este consiente, en cualquier momento, con objeto de proteger y garantizar la seguridad de los datos y activos de la compañía. A la finalización de la relación laboral, el empleado o colaborador está obligado a poner a disposición de VERNE IT su dispositivo móvil al objeto de que se realice el borrado de aplicaciones e información para garantizar la seguridad de los activos y datos de la compañía.
  •  La aportación del dispositivo para acceso a sistemas y datos de VERNE IT por el colaborador, no supone obligación de VERNE IT a asumir ningún coste derivado de este uso ya sea de consumo de datos personal, mantenimiento, reparación o reposición del dispositivo antes, durante o después del ejercicio de esta cesión; el colaborador exime a VERNE IT de cualquier daño, gasto o perjuicio causado antes, durante o después de la aportación del dispositivo por él mismo.
  • Todo dispositivo personal que no se encuentre integrado en el sistema de Mobile Device Management (MDM) en uso por VERNE IT, se recomienda que utilice un doble factor de autenticación para el acceso a los sistemas corporativos. Las políticas de seguridad y restricciones que se aplican a los dispositivos personales de un colaborador o empleado, registrado con Mobile Device Management (MDM) son iguales a las aplicadas a los dispositivos de empresa asignados a los trabajadores.
  • En determinados casos VERNE IT se reserva el derecho de proporcionar al empleado, sin Dispositivo de Empresa (PC/Portátil), un dispositivo virtual desde el que podrá trabajar.  El acceso al Dispositivo Virtual que se le proporcionará al trabajador incluirá un método seguro de comunicación mediante VPN (Virtual Private Network) a la red donde se encuentra el dispositivo virtual.  El acceso al dispositivo virtual será mediante credenciales corporativas que se le suministrará al empleado o colaborador.
  • El dispositivo virtual será integrado en el sistema de gestión centralizada de dispositivos y se le aplicará las mismas políticas de seguridad y restricciones que cualquier dispositivo empresarial. Si el dispositivo se conecta a recursos o servicios de la empresa, o sus clientes de forma remota deberá seguir las indicaciones del punto 5.12 descrito arriba.

Teletrabajo_

 
  • Los usuarios deberán acceder a los servicios y recursos informáticos de la empresa de forma remota de una forma lo más segura posible.
  • Si la ubicación de acceso es desde su vivienda familiar, se deberá garantizar la seguridad de la Red Informática utilizada para acceder a los recursos y servicios de la Empresa o de cualquiera de sus clientes.
  • Para proteger mejor la Conexión de internet de su vivienda familiar su Router/Modem deberá implementar las siguientes medidas de seguridad:
    • Cambiar la Contraseña Predeterminada del Router/Modem que tiene en su vivienda.  La mayoría de Routers/Modems traen una contraseña predeterminada del fabricante o del proveedor de Internet contratado.  El usuario deberá cambiar dicha contraseña para garantizar la seguridad del dispositivo. Dicha clave de acceso deberá seguir las recomendaciones descritas en el punto 5.1 de este documento.      
    • Si el usuario tiene una Red WIFI en su vivienda y se conecta mediante esta, para acceder a los recursos o servicio de la empresa o de sus clientes, deberá utilizar una comunicación cifrada y protegida mediante WPA/WPA2 o superior.  No se deberá utilizar una Red sin Cifrar o con un Cifrado WEP o cifrado poco seguro en ninguno de los casos.
    • Se recomienda utilizar Filtrado MAC para definir que dispositivos se puede conectar a la Red y de este modo controlar los equipos que se conectan a su Red privada.
  • En caso de que la red desde que la que se conecta no sea Personal o de una Oficina de la empresa, se asumirá que la red es insegura y se aplicará las siguientes recomendaciones:
    • Intentar no utilizar redes públicas o WIFI públicas en la medida de lo posible, si va conectar con su dispositivo a los recursos y servicios de la empresa o un cliente.  Es preferible utilizar la conexión 3G/4G de su dispositivo Móvil o el Modem 3G/4G de su equipo móvil si este tiene uno.
    • Utilizar siempre comunicaciones cifradas para conectar con recursos o servicios de la empresa o de sus clientes.  Utilizar VPNs o comunicaciones seguras y encriptadas (como, por ejemplo: https, ftps/sftp).  Nunca usar credenciales sobre comunicaciones sin encriptar y no seguras.

7.- RRHH:

El usuario se compromete a: 

  • El cumplimiento de esta normativa incluso terminada la relación laboral/contractual con Verne Group.
  • Participar en los cursos de concienciación, educación o capacitación en seguridad de la información que le sean comunicados.
  • Aceptar y cumplir esta normativa, así como el compromiso de confidencialidad indicado en la misma.
  • Comunicar al comité de seguridad cualquier incumplimiento de la normativa del que sea conocedor.
  • Comunicar al comité de seguridad cualquier vulnerabilidad o amenaza a la seguridad de la información que pudiera detectar para que sea analizada adecuadamente.
  • Cumplir con todas las políticas de seguridad y procedimientos operativos que le sean comunicados de acuerdo con su perfil o rol en la organización.

8.- Gestión de activos de información:

La organización ha identificado los activos de información relevantes para el ciclo de vida de la información documentando su importancia. Queda prohibido el uso de activos de información no inventariados. Si el usuario desea hacer uso de un activo de información no inventariado deberá comunicarlo a cau@vernegroup.com mediante una petición de Gestión Documental.

El propietario de activos de información debe:

  • Asegurar que los activos son inventariados
  • Asegurar que los activos están correctamente clasificados y etiquetados y se protegen de acuerdo a dicha clasificación.
  • Definir restricciones de acceso en lo que esté en su mano evitando el uso de copias sin las medidas de seguridad adecuadas.
  • Asegurarse que están dentro de las copias de seguridad.
  •  Asegurar el borrado o destrucción del activo cuando deje de ser pertinente según la finalidad que propició su uso inicial.
  • Aplicar esta normativa de seguridad sobre el activo.

Cualquier usuario devolverá los activos de información que estén en su poder al finalizar su relación con Verne Group, o bien si, es de uso personal serán borrados siguiendo la normativa de aceptación para las mismos.

8.1. Clasificación de la información_

 

La Información de Verne Group se clasifica como:

  • PÚBLICA:  Aquella que puede comunicarse sin inconvenientes tanto dentro como fuera de la organización.

 

  • DIFUSIÓN LIMITADA/PRIVADA: Normalmente es de uso interno, pero puede ser compartida entre los usuarios, y puede ser compartida entre las partes interesadas con algún tipo de contrato o acuerdo marco de colaboración. Circula entre usuarios siempre que los destinatarios cumplan las condiciones de acceso (tener necesidad de conocer), y las de manejo y custodia establecidas para dicho grado, siendo responsabilidad de quien la entrega verificar que se cumplen dichas condiciones por parte del destinatario.
    Es distribuida a partes interesadas externas, como por ejemplo empresas contratistas con ocasión de su participación en proyectos, siempre y cuando se haya suscrito el correspondiente acuerdo de colaboración, contrato o anexo con cláusulas específicas sobre confidencialidad.
    En caso de que la información restringida deba ser accesible sin conexión a los sistemas de la organización, se permitirá una copia de la misma en la máquina local o en un medio de almacenamiento extraíble, dentro de una carpeta cifrada, con acceso exclusivo al usuario que deba utilizarla, y procediendo al borrado de la información una vez deje de ser necesaria.
    Se intercambia con determinadas partes interesadas externas (empresas miembro de la Corporación o proveedores, p.e.) debe realizarse a través de medios seguros y fiables y con una clara referencia a la distribución exclusiva del documento entre las personas autorizadas.

 

  • CONFIDENCIAL: Información especialmente sensible para la organización. Su acceso está restringido únicamente a la Dirección y a aquellos empleados que necesiten conocerla para desempeñar sus funciones. También datos de carácter personal, en particular los de categorías especiales o aquellos clasificados como de riesgo alto o muy alto. No deberá transmitirse vía internet (espacios de disco virtuales tipo OneDrive o Dropbox), y en caso de necesitar transmitirlos por correo electrónico deberán ser cifrados.

Toda información de Verne Group no clasificada deberá entenderse como de DIFUSIÓN LIMITADA/PRIVADA.

Toda persona que tenga conocimiento de cualquier Información, no pública, deberá mantener la oportuna reserva sobre la misma. Dicho deber de reserva no expira mientras la información afectada no sea desclasificada.

La divulgación no autorizada de Información no-pública, el incumplimiento de la normativa para su manejo, o su uso para fines no autorizados, tendrán la consideración de delito o falta, y llevará pareja unas responsabilidades penales o disciplinarias para la persona que lo cometa, conforme al código penal o disciplinario que le afecte.

La Información no-pública sólo podrá ser manejada en zonas específicamente autorizadas para dicho fin. Se prohíbe su manejo fuera de las mismas, salvo en los casos de transporte autorizado (sin acceso) o de autorización expresa por el Responsable de Seguridad de la Información.

Las copias, extractos y traducciones podrán ser realizados por individuos con acceso autorizado a la información. Estarán sujetos y deberán manejarse con los mismos requisitos de seguridad que los originales.

Los equipos utilizados para la reproducción (impresoras o fotocopiadoras) deberán estar físicamente protegidos para evitar un uso no autorizado respecto a la información clasificada.

Los soportes físicos a desechar deberán ser físicamente destruidos de manera que se imposibilite la reconstrucción total o parcial de la información clasificada almacenada en estos.

Los borradores, anotaciones, o copias anuladas, con información clasificada deberán destruirse a la mayor brevedad posible.

Cualquier incidente de seguridad relacionado con la Información no-pública debe ser comunicado inmediatamente al Responsable de Seguridad de la Información o al comité de seguridad.

9.- Control de accesos:

La información de autenticación (contraseñas) es personal, confidencial y no podrán ser comunicadas a ningún otro usuario, salvo por urgencia, en cuyo caso estarán obligados a modificarla tan pronto como sea posible. En este caso habrá que dejar constancia de la correspondiente incidencia que motivó la comunicación de la contraseña. El usuario es responsable de la confidencialidad de su contraseña y de todos los accesos que se realicen bajo su identificador y contraseña.

Las contraseñas de acceso al sistema deberán ser lo suficientemente complejas para dificultar a terceros su obtención, sin embargo, deben ser lo suficientemente sencillas para permitir a los usuarios recordarlas sin dificultad. Por ello se han establecido ciertas consideraciones a la hora de elegir una contraseña para los usuarios del sistema:

Las siguientes reglas se aplican para la validación de contraseñas que componen una credencial.

  • La longitud mínima de 9 caracteres.
  • No contendrá más de 2 caracteres seguidos del nombre de usuario.
  • Debe contener al menos 3 de los siguientes tipos de caracteres:
    – Mayúsculas.
    – Minúsculas.
    – Números.
    – Caracteres especiales.
  • Existe un histórico que evita la reutilización de las 24 últimas contraseñas.
  • Bloqueo a los 5 intentos fallidos con desbloqueo por parte del administrador o pasados 5 minutos.
  • Cada tipo de cuenta de usuario tiene una caducidad de contraseña especifica:
    o Cuentas de usuario: 120 días
    o Cuentas de administración: 60 días
    o Cuentas de servicio/aplicación: 365 días

Está terminantemente prohibido escribir las contraseñas en cualquier tipo de soporte a forma de recordatorio, salvo mediante el uso de aplicaciones de gestión de contraseñas validadas o habilitadas por el responsable de seguridad o comité de seguridad

No se considera buena práctica utilizar la misma contraseña en más de un sistema de información.

La contraseña deberá cambiarse periódicamente.

En caso de disponer de varios usuarios siempre se hará uso del usuario con menos privilegios de acceso de acuerdo con el trabajo que se esté realizando.

10.- Criptografía:

El envío y archivo de información confidencial se realizará mediante cifrado de la información.

En el envío a través de portales web, el usuario debe garantizar que la información se envía de forma cifrada, validando al acceder que se encuentra bajo protocolo https.

No se permite el cifrado de información de la organización sin que la organización pueda recuperar la misma sin necesidad de la participación de un usuario concreto.

Cualquier certificado digital asignado al usuario, o al que pudiera tener acceso atendiendo a sus funciones no podrá ser cedido a nadie del usuario con menos privilegios de acceso de acuerdo con el trabajo que se esté realizando.

11.- Seguridad física y del entorno:

Se debe evitar la pérdida, daño, robo o compromiso de los activos y la posible interrupción de las actividades de Verne Group. Se debe proteger el equipo de amenazas físicas y ambientales.

Se debe prevenir el acceso físico no autorizado a las instalaciones y a los recursos de tratamiento de información de Verne Group, a la vez se garantiza el acceso a los usuarios autorizados.

Los usuarios limitarán la posibilidad de acceso no autorizado a los equipos de los que son responsables o usuarios, asegurando no dejar los equipos desatendidos sin la protección adecuada y teniendo un entorno de trabajo despejado de papeles, soportes extraíbles de información y un escritorio de sistema equivalentemente limpio.

Al acabar la jornada debe guardarse la documentación que se encuentra a la vista (información de la empresa, clientes, proveedores, etc.). Se debe ser especialmente estricto en los puestos de atención al público.

La documentación que no estemos utilizando en un momento determinado debe estar guardada correctamente.

No puede haber contraseñas, nombres de usuario o datos personales en post-its o similares en los puestos de trabajo.

12.- Seguridad de las operaciones:

Puestos de trabajo:

  • Tienen una configuración fija en sus aplicaciones y sistemas operativos, que sólo puede ser cambiada bajo la autorización del responsable de seguridad o por el administrador del sistema.
  • No está permitida a los usuarios la instalación de ningún programa o aplicación. Las aplicaciones necesarias serán instaladas exclusivamente por el personal del área de IT.
  • Se prohíbe el uso de aplicaciones no relacionadas con la actividad de la organización, por entenderse que pueden comprometer la seguridad de los equipos y permitir de forma no controlada el acceso a datos protegidos.
  • Se prohíbe utilizar los recursos del sistema de información a los que tenga acceso para uso privado o para cualquier otra finalidad diferente de las estrictamente laborales.
  • Los puestos asignados a cada persona se consideran herramientas de trabajo, y pueden ser revisados y accedidos desde dirección en el caso de ser necesario. El acceso al puesto de trabajo no requerirá preaviso

Antivirus:

  • En todos los equipos y servidores de la organización se han implantado medidas de antivirus que los protegen de software malicioso. Los antivirus se encuentran configurados para actualizar sus bases de datos diariamente o en el momento en el que haya una actualización crítica.
  • El usuario no está autorizado a desactivar este programa.

Copias de seguridad:

  • La organización realiza copias de seguridad de la información en los sistemas de la información.
  • Si dispone de información en local o en algún sistema no gestionado por la organización debe comunicarlo de forma inmediata para que se incorpore a los sistemas de copias y se le aplique las medidas de seguridad adecuadas.

Red:

  • La red es monitorizada de forma que se controla el uso de la misma, existiendo alertas de diversos tipos que garantizan el buen uso de la misma y previenen las fugas de información.
  • El usuario ha de ser consciente de este hecho.

Bloqueo de sesión:

  • Al abandonar el puesto de trabajo, aunque sea de forma momentánea, se debe bloquear el mismo. Para ello se puede pulsar Ctrl + Alt + Supr o Windows+L.
  • En los sistemas que es posible, el área de sistemas dispone medidas automáticas para programar el bloqueo automático del mismo tras minutos de inactividad por parte del usuario.

Impresora:

  • Debe asegurarse de que no queden documentos impresos en la bandeja de salida que contengan datos protegidos.
  • Si las impresoras son compartidas con otros usuarios no autorizados para acceder a los datos, la impresión sólo se realizará con control del usuario para asegurar que solo él puede recoger directamente la documentación impresa.

Ficheros temporales:

  • Los ficheros temporales que los usuarios mantengan en sus ordenadores personales deberán ser borrados, una vez haya concluido la finalidad para la que fueron creados (fichero temporal: ficheros de trabajo creados por los usuarios o procesos que son necesarios para un tratamiento ocasional o como paso intermedio durante la realización de un tratamiento).
  • Se prohíbe la creación de nuevos ficheros que supongan el tratamiento de datos personales, así como la cesión de estos sin previa autorización del comité de seguridad.

Pruebas con datos:

  • Las pruebas anteriores a la implantación o modificación de los sistemas de información se realizarán dotándoles de medidas de seguridad equivalentes a las de producción. Se evitará, siempre que sea posible, hacer pruebas con datos reales.

Correo electrónico:

  • No abrir ni ejecutar ficheros que se reciban por correo electrónico, especialmente si es de un remitente desconocido, salvo que se tenga la total certeza de su inocuidad, y siempre después de revisarlo con el programa antivirus.

Aplicaciones en la nube (Dropbox, OneDrive, Wetransfer, GDrive):

  • Se permite el uso de las aplicaciones en la nube incluidas en la plataforma Office 365.
  • No se podrán crear grupos de teams públicos sin la previa autorización del departamento de sistemas.
  • El uso de otras aplicaciones en la nube deberá ser autorizado expresamente por la dirección de VERNE GROUP.
  • Cuando se pretenda hacer uso de aplicaciones en la nube tendrá que solicitarse mediante una petición en Octopus y contar con la autorización del responsable de área indicando la aplicación que se va a utilizar y la finalidad de esta.
  • Si se utilizan estas herramientas se deberán tener en cuenta los siguientes criterios:
    • Si se almacenan datos sensibles tendrá que hacerse en carpetas previamente cifradas.
    • La aplicación en la nube estará vinculada al correo corporativo.

Gestión de soportes:

  • No está previsto en la organización el uso de soportes eternos para almacenar datos personales. Sólo las personas autorizadas pueden manejar estos soportes en casos excepcionales. La autorización la deberá proporcionar el responsable del área de negocio al que pertenezca el usuario, indicando el soporte que se va a utilizar y con qué finalidad.
  • Cuando se deseche cualquier documento o soporte deberán adoptarse las medidas de destrucción o borrado para evitar el acceso posterior a la información.
  • Si salen soportes u ordenadores portátiles que puedan contener datos sensibles deberán cifrarse los datos contenidos en ellos.
  • Queda terminantemente prohibido facilitar, a persona alguna ajena a la entidad, ningún soporte conteniendo datos a los que haya tenido acceso en el desempeño de sus funciones, sin la debida autorización.

Gestión de la documentación:

  • Los documentos deben almacenarse en áreas donde el acceso esté restringido, protegido con puertas de acceso y llave.
  • Se adoptarán las medidas necesarias para evitar la sustracción, pérdida o acceso indebido durante su transporte (si la documentación es confidencial: traslado en sobres opacos y cerrados).
  • La documentación en proceso de revisión, o tramitación, ya sea previo o posterior al archivo, debe ser custodiada por la persona que se encuentra al cargo de esta, quien tendrá la responsabilidad de la confidencialidad de la misma, impidiendo el acceso de personas no autorizadas.
  • La salida de documentos deberá estar previamente autorizada.
  • Las copias y reproducciones de documentación, así como cualquier papel que contenga datos personales, deberá ser desechado de forma que se evite el acceso a la información y su recuperación posterior.

13.- Seguridad de las comunicaciones:

Internet: El uso de internet debe limitarse a la obtención de la información relacionada con el trabajo que se desempeña. El usuario se compromete a acatar las reglas y normas de funcionamiento establecidas en VERNE GROUP que son:

  • El servicio de Internet es un servicio corporativo que la empresa pone a disposición de su personal para uso estrictamente profesional. Su utilización por otras personas requiere la previa autorización de VERNE GROUP.
  • VERNE GROUP se reserva el derecho de controlar o limitar el conjunto de servicios Internet accesibles para los usuarios, por motivos de seguridad o rendimiento de la red, así como a establecer sistemas de control del uso de Internet por los usuarios para garantizar que este se realiza conforme a las presentes normas, de conformidad con el artículo 20.3 del Real Decreto Legislativo 1/95, de 24 de marzo, por el que se aprueba el Estatuto de los Trabajadores, y ello sin necesidad de aviso posterior al presente.
  • Todo el material descargado desde Internet, desde cualquier ordenador o desde la misma red, debe ser escaneado por el antivirus corporativo de VERNE GROUP que cada empleado tiene instalado en su equipo, antes de ser alojados en el sistema informático de VERNE GROUP o ser ejecutado en cualquier equipo.
  • Queda terminantemente prohibido:
    • Descargar programas informáticos de tipo destructivo (por ejemplo, que contengan virus o código auto-replicante).
    • Mostrar una conducta que implique amenazas, ofensas, acoso sexual o cualquier otra acción de tipo antisocial.
    • Descargar, recibir, imprimir o instalar material protegido por derechos de autor (software, imágenes, literatura, música, cine o cualquier información bajo copyright), en contravención de las leyes de protección intelectual.
    • Enviar, recibir, imprimir o distribuir información propietaria, secretos de negocio o cualquier otra información confidencial de VERNE GROUP en contravención de las políticas de la empresa o derivados de contratos o acuerdos suscritos por la misma.
    • Descargar o distribuir imágenes o contenidos de carácter sexual, jugar, mantener conversaciones virtuales en Chat, o en general participar en cualquier actividad desligada con la actividad profesional del empleado.
    • No administrar cualquier tipo de negocio externo, usurpar oportunidades de negocio, solicitar dinero para beneficio personal, o buscar trabajos fuera del ámbito de VERNE GROUP utilizando cualquier medio de procesado de información o datos de la empresa.

Correo electrónico y mensajería:

  • Las cuentas de mensajería o correo electrónico de la organización nunca se considerarán personales o privadas.
  • Queda prohibido crear grupos en aplicaciones de mensajería con teléfonos personales, sin el consentimiento expreso de todas las personas que vayan a formar parte de este grupo.
  • No se autoriza la creación de cuentas de correo electrónico fuera del dominio de la organización. Si de manera incidental fuera necesario la creación de una cuenta de correo electrónico o de mensajería instantánea fuera del dominio de la organización se necesitará autorización del comité de seguridad, quién se encargará de tener posibilidad de acceso a las mismas.
  • Se prohíbe la utilización de las herramientas de mensajería y el correo electrónico corporativo para usos personales o particulares.  No se reenviarán mensajes ni documentos corporativos a cuentas privadas del trabajador o de sus familiares o amigos, ya que éstas no gozan del mismo nivel de seguridad. Tampoco se puede configurar la cuenta corporativa para reenviar los mensajes recibidos a una cuenta privada.
  • Las herramientas de mensajería y correo electrónico se consideran herramienta de trabajo, y como tal podrán ser revisadas en caso de incidencia, y desviadas en caso de ausencia o baja del trabajador, sin necesidad de previo aviso.
    •  Los controles por incidencias técnicas podrán realizarse sin preaviso del trabajador.
    • Los controles preventivos se realizarán con presencia del trabajador si fuera posible. Si se realizan sin presencia de este se realizará un preaviso del alcance de dicho control. En el caso de cuentas con varios usuarios será suficiente con la información o presencia de un único usuario.
    • En casos de ausencia o baja de un trabajador el correo electrónico será desviado al jefe del departamento o a otro empleado de este designado por aquel, con la finalidad de no dejar desatendidas las tareas realizadas.
  • El correo electrónico no puede ser empleado para la transmisión de datos protegidos o confidenciales, ni para fines diferentes a los establecidos para el correcto desarrollo de sus funciones laborales, sin la autorización del comité de seguridad.
  • El envío de e-mail a varios destinatarios desde las cuentas de correo de la organización se realizará siempre introduciendo los destinatarios en el campo CCO (Copia Oculta o BCC), salvo que se deban conocer los distintos destinatarios entre sí.
  • Siempre que sea posible se crearán listas de difusión (departamentales, por ejemplo) como medida de seudonimización evitando el uso de cuentas identificables cuando sea posible.
  • Únicamente se podrán remitir correos electrónicos a aquellas personas o empresas que hayan prestado su consentimiento para la recepción de información de Verne Group, así como el envío de información a los clientes, relativa a los productos o servicios contratados.
  • Cualquier actividad que incremente el tráfico y servicios de la red, por ejemplo, la transferencia de ficheros voluminosos o el envío de correos que contengan ficheros adjuntos de gran tamaño disminuye el rendimiento global de toda la red, también ocurre cuando se envía a una gran cantidad de receptores. Para reducir este impacto en la red se recomienda que no se envíen gran cantidad de datos mediante correo electrónico ni transferencias de archivos en horas punta de trabajo.
  • El contenido del correo debe ser claro y conciso. Para incrementar la efectividad, en el área ‘Asunto’ del correo, se han de introducir una palabra o palabras que breve y claramente identifiquen el asunto de este. Se recomienda ser discreto en el uso de las mayúsculas y minúsculas, así como en el uso de los caracteres, tipos de letra, colores y tamaños no estándar. Preferentemente debería utilizarse el color negro.
  • Al final del mensaje debe añadir su nombre y apellidos y preferiblemente también el cargo, departamento, nombre de la empresa, teléfono y dirección de correo electrónico.
  • Queda prohibido enviar o reenviar mensajes en cadena o de tipo       piramidal.   Si   se   recibe   alguna debe comunicarlo inmediatamente al administrador al responsable de sistemas.
  • No se deben utilizar estas herramientas como mecanismo de acceso, distribución o transmisión de mensajes o contenidos xenófobos, pornográficos, difamatorios, discriminatorios, ilegales u ofensivos. Así como su uso fraudulento relacionado con especulación de información sobre la organización, el personal o los terceros con quien esta tenga acuerdos comerciales o contractuales. Se aplicarán al e-mail las mismas normas legales y contractuales y legales en la comunicación verbal o escrita.

14.- Adquisición, desarrollo y mantenimiento:

La organización debe controlar que todo software o sistema de información desarrollado interna o externamente cumplan con los lineamientos de desarrollo seguro, tales como:

  •         Control de Cambios en los sistemas/software.
  •         Principios de Construcción Seguros.
  •         Ambientes de desarrollo seguro.
  •         Pruebas de seguridad.
  •         Pruebas de aceptación.
  •         Protección de datos de prueba.

En caso de que se vaya a iniciar un proyecto de desarrollo debes comunicarlo al comité de seguridad para que apruebe el proceso y dé las instrucciones a seguir.

15.- Relación con proveedores:

Solo se puede trabajar con proveedores que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas y deberán aceptar un compromiso de confidencialidad y un contrato que especifique las medidas de seguridad a las que está obligado, así como al cumplimiento de la normativa de protección de datos. El usuario está obligado a la comunicación al delegado de protección de datos de la organización de cualquier nueva subcontratación que pueda implicar el tratamiento de datos personales.

 

16.- Gestión de incidentes de la seguridad de la información:

Se considerarán incidencias de seguridad cualquier incumplimiento de las políticas de seguridad o de la normativa aquí desarrollada, así como cualquier anomalía que afecte o pueda afectar a la seguridad de la información almacenada de forma automatizada o no (también incluye los datos almacenados en “formato papel”). Son incidencias la pérdida de datos, la recuperación de estos, el acceso no autorizado a una actividad de tratamiento.

A continuación, se presenta una lista de incidencias que serán inexcusablemente comunicadas. Esta lista no debe entenderse como limitativa, sino que podrá ser ampliada con cualquier otro tipo de incidencias que hubieran quedado omitidas:

  • Incidencias que afecten a la identificación y autenticación de los usuarios:
  • Pérdida de confidencialidad de contraseñas.
  • Asignación o modificación de derechos sobre herramientas de control de acceso y utilidades con accesos privilegiados.
  • Períodos de desactivación de las herramientas de seguridad.
  • Incidencias que afecten a los derechos de acceso a los datos:
    • Revisión de «logs» sobre intentos fallidos de accesos, accesos fuera de horas de oficina, etc.
    • Comunicación de los usuarios de sospechas de que alguien ha suplantado su personalidad.
    • Detección de puntos de acceso desatendidos y sin protección de pantalla activada.
    • Detección de contraseñas escritas en los puestos de trabajo.
    • Revisión de los informes de seguridad.
  • Incidencias que afecten a la gestión de soportes:
    • Comunicación de pérdida de soportes.
    • Comunicación de localización de soportes en lugares inadecuados.
    • Errores de contenido en soportes recibidos.
  • Incidencias que afecten a la gestión documental:
    • Comunicación de extravío de documentos
    • Comunicación de localización de documentos en lugares inadecuados
    • Acceso a la documentación por personal no autorizado
  • Incidencias que afecten a los procedimientos de copias de salvaguarda y recuperación:
    • Errores en los procesos de realización de copias de salvaguarda.
    • Recuperaciones de datos realizadas.
  • Cualquier otra de las observadas como consecuencia de la ejecución de los controles definidos para garantizar el cumplimiento de las políticas o normativa de seguridad de la información.

16.1_ Comunicación de incidencias_

 

Cualquier usuario, si tiene conocimiento de una incidencia, es responsable de la comunicación de esta al Centro de Atención al Usuario (CAU), a través de una solicitud de servicio en Octopus o correo electrónico a cau@vernegroup.com o llamando al teléfono 864 60 84 16.

Cuando sea improbable que la incidencia constituya un riesgo para los derechos y libertades de las personas físicas, se gestionará internamente y se comunicará las medidas adoptadas y la resolución de esta a las personas implicadas.

Si la incidencia puede constituir un riesgo para los derechos y libertades de las personas se comunicará una violación de seguridad de datos de carácter personal.

El conocimiento y la no-notificación de una incidencia por parte de un usuario del sistema es considerado como una falta contra la seguridad.

16.2_ Violaciones de seguridad de datos de carácter personal_

 

Cuando se produzcan violaciones de seguridad de datos de carácter personal, como, por ejemplo, el robo o acceso indebido a los datos personales se notificará al delegado de protección de datos tan pronto como sea posible, para que éste valore la comunicación de la brecha de seguridad a la Agencia Española de Protección de Datos antes de 72 horas. Esta comunicación incluirá toda la información necesaria para el esclarecimiento de los hechos que hubieran dado lugar al acceso indebido a los datos personales. La notificación se realizará por medios electrónicos a través de la sede electrónica de la Agencia Española de Protección de Datos identificada en el manual del SGSI.

 

17.- Incumplimiento de la normativa:

El comité de seguridad de Verne Group vela por el cumplimiento de esta normativa. Ante cualquier inconveniente con la misma puede contactar con ellos en el correo comitedeseguridad@vernegroup.com

El incumplimiento de la política de seguridad de la información o de cualquiera de las medidas previstas en la presente Normativa podrá ser considerada como FALTA MUY GRAVE o GRAVE, según el caso, de acuerdo con lo previsto en materia de régimen disciplinario aplicable a los trabajadores en el Estatuto de los Trabajadores. En el referido caso de incumplimiento, y sin perjuicio de las demás responsabilidades a que hubiere lugar en derecho, sería responsable de cuantos daños y perjuicios hubiera podido ocasionar tanto a Verne Group, como a terceros como consecuencia del eventual incumplimiento

En caso de incumplimiento del VERNE GROUP se reserva el derecho a emprender acciones legales por la vía que corresponda (civil, penal o laboral), incluida la acción de repetición del importe de la sanción impuesta al mismo que por dicha causa le puedan ser imputable.

Igualmente, se le informa que la sustracción o revelación de información propiedad de VERNE GROUP puede ser una acción constitutiva de ilícito penal de acuerdo con el artículo 197 del Código Penal.

18.- Compromiso de confidencialidad:

La información de cualquier tipo custodiada en VERNE GROUP, y en especial los datos personales, son propiedad de la organización y todas las tareas derivadas de su tratamiento resultan confidenciales salvo que se indique lo contrario.

 El personal sólo puede acceder a los datos necesarios para el desempeño de su actividad dentro de la organización y respetará la confidencialidad de esos datos.

Se compromete a tratar diligentemente y de acuerdo con las reglas de la buena fe aquella información de carácter corporativo a la que pueda tener acceso como empelado de Verne Group y a no revelar a ninguna persona ajena a VERNE GROUP, sin el consentimiento debido, dicha información, excepto en aquellos casos en lo que sea necesario dar el debido cumplimiento a sus obligaciones o por habérsele requerido por mandato legal o de la autoridad competente.

El personal está obligado legalmente a guardar secreto profesional respecto a los datos tratados, y al deber de guardarlos, es decir, evitar el acceso a dichos datos por personal no autorizado. Dicho deber será observado durante la vigencia de dicha relación laboral e incluso cuando se extinga, por cualquier causa.

Se prohíbe expresamente copiar información con datos de carácter personal al ordenador personal o portátil y en cualquier tipo de soporte informático sin autorización expresa del Comité de Seguridad.

19.- Aceptación de la política y normativa de seguridad:

Como empleado o colaborador de VERNE GROUP, constato que:

PRIMERO.     Soy consciente de la importancia de mis responsabilidades en cuanto a mantener la integridad, disponibilidad y confidencialidad de la información que maneja VERNE GROUP. En concreto he leído, entiendo y me comprometo a cumplir con lo detallado en la actual Política y Normativa de Seguridad.

SEGUNDO.  Me comprometo a cumplir todas las disposiciones relativas a la Normativa de Seguridad de la entidad respecto a seguridad de la información y tratamiento de datos de carácter personal.

TERCERO.      Me comprometo a no divulgar tanto la información confidencial como de uso restringido que reciba a lo largo de mi relación con VERNE GROUP tanto si esta información es propiedad de VERNE GROUP, como si pertenece a un cliente de este.

CUARTO.       En el caso del personal trabajador de VERNE GROUP, el incumplimiento de cualquiera de las medidas previstas en la presente Normativa podrá ser considerada como FALTA MUY GRAVE o GRAVE, según el caso, de acuerdo con lo previsto en materia de régimen disciplinario aplicable a los trabajadores en el Estatuto de los Trabajadores.

Esta responsabilidad no excluye la que pudiera corresponderle directamente al usuario por las infracciones que cometa contra terceros con sus actos, la reparación de las cuales podrá repercutirse contra el causante de estas.

Por lo que respecta al acceso a los datos de carácter personal que tengo como usuario de los sistemas de información de VERNE GROUP, manifiesto conocer que la misma  está  protegida  por  el  Reglamento  (UE)  2016/679  del  Parlamento Europeo y del Consejo del 27 de abril de 2016 y que tan sólo puedo utilizarla a los  estrictos  y  exclusivos  fines  para  lo  que  fue  proporcionada,  aplicando el deber de secreto a toda la información accedida, sin que me sea posible compartirla o cederla bajo ninguna circunstancia.

Se prohíbe expresamente copiar información con datos de carácter personal al ordenador personal o portátil y en cualquier tipo de soporte informático sin autorización expresa del Comité de Seguridad.

PL-01.86.11 Normativa de Seguridad y protección de datos – Versión 3

Firma:
Hernán Rafael Zabaleta Figuera | Responsable de Ciberseguridad