Política de seguridad de la información

KUNAK TECHNOLOGIES S.L.

Introducción

En KUNAK TECHNOLOGIES S.L. diseñamos y operamos soluciones de monitorización ambiental e IoT que procesan datos críticos para nuestros clientes. La confianza en nuestros servicios se basa en que la información esté siempre disponible, sea precisa y esté debidamente protegida frente a accesos no autorizados.

Con esta Política de Seguridad de la Información, la Dirección manifiesta su compromiso con la protección de la información y con el cumplimiento de los requisitos legales y contractuales aplicables, integrando la seguridad en todos los procesos y servicios de la organización.

1. Objeto y alcance

Esta Política tiene por objeto establecer los principios y directrices generales para gestionar la seguridad de la información en KUNAK TECHNOLOGIES S.L.

Su alcance incluye:

  • Todos los sistemas de información, infraestructuras y servicios gestionados por KUNAK TECHNOLOGIES S.L., tanto internos como en la nube.
  • Todo el personal propio y las terceras partes que tengan acceso a dichos sistemas o a información gestionada por la organización.

El cumplimiento de esta Política es obligatorio para todas las personas y entidades incluidas en su alcance.

2. Marco de referencia

La gestión de la seguridad de la información en KUNAK TECHNOLOGIES S.L. se alinea con el Esquema Nacional de Seguridad (ENS) y con la norma ISO/IEC 27001 para sistemas de gestión de la seguridad de la información, actualmente en proceso de certificación.

Asimismo, cumple la normativa de protección de datos aplicable, incluyendo el Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD), sobre cuya base se desarrollan los procedimientos y controles internos de la organización.

3. Principios de seguridad

KUNAK TECHNOLOGIES S.L. se compromete a proteger la información bajo los siguientes principios:

  • Confidencialidad: la información solo será accesible a personas, sistemas o entidades autorizadas.
  • Integridad: la información será exacta y completa, evitando modificaciones no autorizadas o errores no controlados.
  • Disponibilidad: los sistemas y servicios estarán operativos cuando se necesiten, con los niveles definidos de continuidad y resiliencia.
  • Autenticidad: se garantizará la identidad de las partes que intervienen y el origen de los datos intercambiados.
  • Trazabilidad: las acciones relevantes quedarán registradas de forma que puedan ser analizadas y auditadas.

4. Organización y responsabilidades

La Dirección de KUNAK TECHNOLOGIES S.L. asume la responsabilidad última sobre la seguridad de la información y aprueba esta Política.

La organización cuenta con un Comité de Seguridad de la Información, formado por los responsables de servicio, información, seguridad y sistema, que tiene entre sus funciones:

Responsable del servicio:

  • Establecer los requisitos del servicio en materia de seguridad, incluyendo los requisitos de interoperabilidad, accesibilidad y disponibilidad.
  • Determinar los niveles de seguridad de los servicios.
  • Aprobar formalmente el nivel de seguridad del servicio.

Responsable de la información:

  • Velar por el buen uso de la información y, por tanto, de su protección.
  • Ser responsable último de cualquier error o negligencia que lleve a un incidente de confidencialidad o de integridad.
  • Establecer los requisitos de la información en materia de seguridad.
  • Determinar los niveles de seguridad de la información.
  • Aprobar formalmente el nivel de seguridad de la información.

Responsable de seguridad:

  • Mantener el nivel adecuado de seguridad de la información manejada y de los servicios prestados por los sistemas.
  • Realizar o promover las auditorías periódicas a las que obliga el ENS para verificar el cumplimiento de los requisitos del mismo.
  • Gestionar la formación y concienciación en materia de seguridad TIC.
  • Comprobar que las medidas de seguridad existentes son las adecuadas para las necesidades de la entidad.
  • Revisar, completar y aprobar toda la documentación relacionada con la seguridad del sistema.
  • Monitorizar el estado de seguridad del sistema proporcionado por las herramientas de gestión de eventos de seguridad y mecanismos de auditoría implementados en el sistema.
  • Apoyar y supervisar la investigación de los incidentes de seguridad desde su notificación hasta su resolución, emitiendo informes periódicos sobre los más relevantes al Comité.

Responsable del sistema:

  • Gestionar el Sistema de Información durante todo su ciclo de vida, desde la especificación, instalación hasta el seguimiento de su funcionamiento.
  • Definir los criterios de uso y los servicios disponibles en el Sistema.
  • Definir las políticas de acceso de usuarios al Sistema.
  • Aprobar los cambios que afecten a la seguridad del modo de operación del Sistema.
  • Determinar la configuración autorizada de hardware y software a utilizar en el Sistema y aprobar las modificaciones importantes de dicha configuración.
  • Realizar el análisis y gestión de riesgos en el Sistema.
  • Elaborar y aprobar la documentación de seguridad del Sistema.
  • Determinar la categoría del sistema según el procedimiento descrito en el Anexo I del ENS y determinar las medidas de seguridad que deben aplicarse según se describe en el Anexo II del ENS.
  • Implantar y controlar las medidas específicas de seguridad del Sistema.
  • Establecer planes de contingencia y emergencia, llevando a cabo frecuentes ejercicios para que el personal se familiarice con ellos.
  • Suspensión del manejo de cierta información o la prestación de un cierto servicio si detecta deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos.

Todo el personal, así como las empresas colaboradoras que trabajan con KUNAK TECHNOLOGIES S.L., debe conocer y cumplir esta Política y la normativa interna que la desarrolla.

5. Gestión de riesgos y cumplimiento

KUNAK TECHNOLOGIES S.L. realiza análisis y gestión de riesgos de sus sistemas de información, revisándolos periódicamente y siempre que se produzcan cambios significativos, nuevas amenazas o incidentes relevantes.

La organización se compromete a:

  • Implementar medidas técnicas y organizativas acordes al nivel de riesgo.
  • Mantener evidencias de cumplimiento frente al ENS, ISO/IEC 27001, RGPD, LOPDGDD y demás normativa aplicable.
  • Someter sus sistemas a revisiones y auditorías periódicas, internas y de terceros.

6. Protección de datos personales

Los datos de carácter personal se tratan únicamente cuando son adecuados, pertinentes y no excesivos para las finalidades legítimas de la organización y de sus clientes.

KUNAK TECHNOLOGIES S.L. aplica medidas técnicas y organizativas apropiadas para:

  • Garantizar un nivel de seguridad adecuado al riesgo.
  • Facilitar el ejercicio de los derechos de las personas interesadas.
  • Asegurar la confidencialidad, integridad y disponibilidad de los datos personales a lo largo de todo su ciclo de vida.

7. Formación, concienciación y terceras partes

La seguridad de la información es responsabilidad de todas las personas que participan en las actividades de KUNAK TECHNOLOGIES S.L.

La organización:

  • Proporciona formación y concienciación periódica en materia de seguridad y protección de datos.
  • Exige contractualmente a proveedores y terceros que prestan servicios o tratan información para KUNAK TECHNOLOGIES S.L. el cumplimiento de requisitos de seguridad equivalentes a los propios.
  • Establece mecanismos de supervisión y coordinación en materia de seguridad con dichas terceras partes.

8. Gestión de incidentes y continuidad

KUNAK TECHNOLOGIES S.L. dispone de procedimientos para la detección, notificación, análisis y respuesta ante incidentes de seguridad de la información, así como para la recuperación de los servicios afectados.

La organización mantiene planes de copia de seguridad, contingencia y continuidad de negocio que permiten restaurar los servicios esenciales en caso de fallo grave o desastre, de acuerdo con los requisitos acordados con los clientes y con el ENS.

9. Revisión y mejora continua

Esta Política de Seguridad de la Información será revisada al menos una vez al año, o cuando se produzcan cambios significativos en los sistemas, servicios, normativa aplicable o riesgos identificados.

La Dirección y el Comité de Seguridad de la Información impulsan la mejora continua del sistema de gestión de la seguridad, incorporando las lecciones aprendidas de auditorías, revisiones, análisis de riesgos y gestión de incidentes.