Politique de sécurité

ONE MILLION BOT, SL est une entreprise technologique dans le domaine de l'intelligence artificielle avec une vaste expérience dans le traitement du langage naturel (NLP) et les assistants virtuels intelligents.

1MILLIONBOT a été créé en juillet 2018 en tant que spin-off d'ITYIS SIGLO XXI, SL, un groupe économique avec 20 ans d'expérience et de succès dans l'économie numérique.

Notre vision d'entreprise est la suivante : Diriger le langage qui reste à venir, en créant une Intelligence Artificielle +e :

+ éthique

+ empathique

+ évolutif

Ces valeurs se reflètent dans tous nos projets, dans lesquels nous assurons l'éthique la plus stricte dans l'application de l'intelligence artificielle, en prenant toujours soin de l'expérience utilisateur et en garantissant flexibilité et valeur croissante pour les entreprises et la société.

L'objectif de notre entreprise est de créer des solutions personnalisées en intelligence artificielle pour donner de la valeur à nos clients et à la société, toujours guidés par l'efficacité et l'éthique comme principes fondamentaux. 1MILLIONBOT est fortement engagé dans l'innovation, l'amélioration continue et la qualité du service rendu à ses clients.

Cadre réglementaire
Portée
Principes et lignes directrices
Objectifs
Organisation de la sécurité
Documents de sécurité
Données personnelles
Gestion des risques
Obligation du personnel
Des tiers

Cadre réglementaire

Le cadre réglementaire sur la sécurité de l'information dans lequel 1MILLIONBOT exerce son activité est essentiellement le suivant :

Loi organique 3 / 2018, de décembre 5, de protection des données personnelles.
Décret Royal 1720/2007, du 21 décembre, qui approuve le Règlement pour le développement de la Loi Organique 15/1999 sur la Protection des Données Personnelles.
RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et qui abroge la directive 95/46/ CE.
Décret royal 3/2010, du 8 janvier, qui réglemente le régime de sécurité nationale dans le domaine de l'administration électronique.
Décret royal 951/2015, du 23 octobre, modifiant le décret royal 3/2010, du 8 janvier, qui réglemente le régime national de sécurité dans le domaine de l'administration électronique.
Loi 34/2002, du 11 juillet, sur les services de la société de l'information et le commerce électronique.
Décret royal législatif 1/1996, du 12 avril, qui approuve le texte consolidé de la loi sur la propriété intellectuelle.

Portée

Cette politique de sécurité affecte tous les systèmes, travailleurs et fournisseurs liés à 1MILLIONBOT.

Le champ d'application de cette politique est dans les systèmes, les personnes et les fournisseurs qui interviennent dans les systèmes d'information qui supportent les processus de conception, de développement et de maintenance des assistants virtuels basés sur l'intelligence artificielle pour les services en mode SaaS, ainsi que dans la conception, développement et maintenance d'applications pour les services fournis aux clients.

Principes et lignes directrices

Les principes envisagés par 1MILLIONBOT lorsqu'il s'agit de garantir la sécurité des informations sont ceux énoncés à l'article 4 du RD 3/2010, qui réglemente le régime de sécurité nationale dans le domaine de l'administration électronique.

PRÉVENTION

1MILLIONBOT empêche les informations ou les services d'être endommagés par des incidents de sécurité. Pour ce faire, les départements appliquent les mesures minimales de sécurité déterminées par le cadre national de sécurité, ainsi que tout contrôle supplémentaire identifié par une évaluation des menaces et des risques. Ces contrôles, les rôles et responsabilités de sécurité de tout le personnel, sont clairement définis et documentés.

Pour assurer le respect de la politique de sécurité, 1MILLIONBOT :

Autoriser les systèmes avant de les mettre en service
Demander un examen périodique par un tiers dans le but d'obtenir une évaluation indépendante.

DÉTECTION

Les services sont surveillés en permanence pour détecter les anomalies dans la fourniture des services et agir en conséquence comme établi à l'art. 8 et art. 9 de l'ENS.

Il existe des mécanismes établis de détection, d'analyse et de signalement qui parviennent régulièrement aux responsables et, en particulier, lorsqu'il y a un écart par rapport aux paramètres préétablis.

RÉPONSE

Des mécanismes sont en place pour répondre efficacement aux incidents de sécurité. Une boîte aux lettres est activée comme canal de communication pour les incidents de sécurité, qui sera supervisé par la personne responsable. La procédure d'échange d'informations à cet égard est établie par la procédure interne à ces fins.

RECOUVREMENT

Pour garantir la disponibilité des services critiques, 1MILLIONBOT dispose d'un plan de continuité des systèmes TIC dans le cadre de son plan général de continuité des activités et des activités de reprise.

Objectifs

Les systèmes doivent être gérés avec diligence, en prenant les mesures appropriées pour les protéger contre les dommages accidentels ou délibérés pouvant affecter l'authenticité, la disponibilité, l'intégrité, la confidentialité ou la traçabilité des informations traitées ou des services fournis.

L'objectif de la sécurité de l'information est de garantir la qualité de l'information et la fourniture continue des services, en agissant de manière préventive, en supervisant l'activité quotidienne et en réagissant rapidement aux incidents.

Les objectifs suivants sont établis pour la politique de sécurité actuelle :

Utilisation des ressources de l'entreprise, telles que le courrier électronique, l'accès à Internet, l'équipement informatique et de communication.
Gestion d'un patrimoine informationnel inventorié, catégorisé et associé à un responsable.
Mécanismes nécessaires pour que toute personne qui accède ou puisse accéder aux actifs informationnels connaisse ses responsabilités et réduise ainsi le risque découlant d'une mauvaise utilisation des actifs.
La sécurité physique, afin que les actifs informationnels soient situés dans des zones sécurisées, protégées par des contrôles d'accès physiques adaptés à leur niveau de criticité. Les systèmes d'information et les actifs contenus dans ces zones seront suffisamment protégés contre les menaces physiques ou environnementales.
Sécurité dans la gestion des communications et des opérations, de sorte que les informations transmises via les réseaux de communication doivent être protégées de manière adéquate, compte tenu de leur niveau de sensibilité et de criticité, grâce à des mécanismes garantissant leur sécurité.
Contrôle d'accès, limitation de l'accès aux actifs informationnels par les utilisateurs, les processus et les systèmes d'information par la mise en place de mécanismes d'identification, d'authentification et d'autorisation en fonction de la criticité de chaque actif.
Acquisition, développement et maintenance de systèmes d'information prenant en compte les aspects de sécurité de l'information dans toutes les phases du cycle de vie desdits systèmes.
Gestion des incidents de sécurité en mettant en œuvre des mécanismes appropriés pour l'identification, l'enregistrement et la résolution corrects des incidents de sécurité.
La gestion de la continuité en mettant en place des mécanismes appropriés pour assurer la disponibilité des systèmes d'information et maintenir la continuité de vos processus d'affaires.

Organisation de la sécurité

La mise en œuvre de la politique de sécurité de 1MILLIONBOT nécessite que tous les membres de l'organisation comprennent leurs obligations et responsabilités en fonction du poste occupé.

COMITÉ DE SÉCURITÉ DE L'INFORMATION

La sécurité de l'information est une responsabilité organisationnelle partagée par le conseil d'administration de 1MILLIONBOT. Par conséquent, il promeut la composition d'un comité de sécurité de l'information, afin d'établir un chemin défini et de soutenir les initiatives de sécurité.

Ledit Comité est composé au moins du responsable de la sécurité, du responsable de l'information, du responsable du service, du responsable des systèmes d'information et d'un président qui sera responsable en dernier ressort des décisions adopté et qui dirigera les réunions du Comité Sécurité, informer, proposer et coordonner les activités et les décisions.

Ce rôle de Président incombe initialement à la Direction Générale de 1MILLIONBOT.

Les fonctions du comité de sécurité de l'information sont les suivantes :

Examen de la politique de sécurité de l'information et des principales responsabilités.
Définir et promouvoir la stratégie et la planification de la sécurité de l'information, en proposant l'allocation du budget et des ressources précises.
Supervision et contrôle des changements significatifs dans l'exposition des actifs informationnels aux principales menaces, ainsi que l'élaboration et la mise en œuvre de contrôles et de mesures visant à garantir la sécurité desdits actifs.
Approbation des principales initiatives visant à améliorer la sécurité de l'information.
Supervision et suivi des aspects tels que :

Principaux incidents en sécurité de l'information.
Élaboration et mise à jour des plans de continuité.
Conformité et diffusion des politiques de sécurité.

RÔLES ET RESPONSABILITÉS

La structure organisationnelle, les rôles et les responsabilités de 1MILLIONBOT sont définis par une procédure interne. Les rôles principaux sont identifiés comme suit :

Responsable de la sécurité
Gestionnaire d'informations
Responsable du service
Gestionnaire de systèmes

El Responsable de la sécurité sera celui qui prendra les décisions appropriées pour satisfaire aux exigences de sécurité des informations et des services. Vous aurez les fonctions suivantes :

Superviser le respect de la présente politique, de ses règles et procédures dérivées.
Conseiller en matière de sécurité les membres du Comité de sécurité qui le demandent.
Être au courant et superviser l'enquête et le suivi des incidents de sécurité.
Établir des mesures de sécurité adéquates et efficaces pour répondre aux exigences de sécurité établies par les responsables des services et de l'information, en suivant à tout moment ce qui est requis dans l'annexe II de l'ENS.
Conseiller, en collaboration avec les responsables des systèmes, les responsables des services et de l'information, dans la réalisation de l'analyse et de la gestion des risques, en soumettant le rapport qui en résulte au comité de sécurité.
Surveiller l'état de sécurité du système fourni par les outils de gestion des événements de sécurité et les mécanismes d'audit mis en œuvre dans le système.
Promouvoir les activités de sensibilisation et de formation à la sécurité dans leur domaine de responsabilité, en suivant les directives du comité de sécurité.
Réaliser ou promouvoir des audits périodiques permettant de vérifier le respect des obligations du Comité de Sécurité en matière de sécurité.
Préparer les sujets à discuter lors des réunions du comité de sécurité, en fournissant des informations opportunes pour la prise de décision.
Elaboration et révision des règles de sécurité Comité de sécurité.
Approbation des procédures de sécurité préparées par le gestionnaire du système.

El Gestionnaire d'informations en sera le propriétaire et aura les fonctions suivantes :

Classifier les informations selon les critères établis et dans chacune des dimensions de sécurité connues et applicables (disponibilité, authenticité, traçabilité, confidentialité et intégrité).
Travailler en collaboration avec le responsable sécurité et système dans la maintenance des services technologiques.
Réaliser l'analyse des risques qui le compromettent ainsi que les différentes options de gestion des risques à mettre en place.
Évaluer et décider, en collaboration avec les Responsables de Service, les risques résiduels calculés dans l'analyse des risques, et procéder à leur suivi et contrôle, sans préjudice de la possibilité de déléguer cette tâche.
Veiller à l'insertion de clauses de sécurité dans les contrats avec les tiers susceptibles d'avoir accès aux informations sur les procédures qu'il gère et contrôler leur respect.

El Responsable du service déterminera les exigences des services fournis, en conséquence, aura les fonctions suivantes :

Établir les exigences de sécurité du service ou, selon la terminologie de l'ENS, le pouvoir de déterminer les niveaux de sécurité des services.
Classifier les services selon les critères et catégories établis dans l'ENS et dans chacune des dimensions de sécurité connues et applicables (disponibilité, authenticité, traçabilité, confidentialité et intégrité), dans le cadre établi à l'annexe I de l'ENS.
Répondre aux exigences de sécurité de l'information, telles que la disponibilité, l'accessibilité, l'interopérabilité, etc. qui sont exigées dans la fourniture de services.
S'assurer de l'inclusion de clauses de sécurité dans les contrats avec des tiers pouvant affecter leurs services et contrôler leur conformité.

El Responsable des Systèmes d'Information, dans leurs domaines d'action, se verront attribuer les fonctions suivantes :

Développement, exploitation et maintenance du Système d'Information tout au long de son cycle de vie, de ses spécifications, mise en place et vérification de son bon fonctionnement.
Garantir que les mesures de sécurité sont correctement intégrées dans le cadre général de la sécurité de l'information.
Approuver toute modification substantielle de la configuration de tout élément du système.
Élaborer des procédures techniques de sécurité des systèmes d'information.
Préparer les plans de continuité des systèmes d'information.
Collaborer à la réalisation de l'analyse de risques des systèmes d'information dont il a la charge.
Mettre en œuvre, gérer et maintenir les mesures de sécurité applicables au système d'information.
Gérer, configurer et mettre à jour, le cas échéant, les matériels et logiciels sur lesquels reposent les mécanismes et services de sécurité du système d'information.

PROCÉDURES DE NOMINATION

Les nominations sont établies par la Direction Générale de 1MILLIONBOT et seront revues tous les 2 ans ou lorsque le poste devient vacant.

Documents de sécurité

Les lignes directrices pour structurer la documentation du système, sa gestion et son accès sont détaillées dans la procédure générale 'Gestion des informations documentées'.

La documentation relative à la sécurité de l'information est classée en trois niveaux, de sorte que chaque document de niveau est basé sur ceux d'un niveau supérieur :

Premier niveau : politique de sécurité de l'information.
Deuxième niveau : Réglementations, politiques internes et procédures de sécurité.
Troisième niveau : Rapports, enregistrements et preuves.

Premier niveau: Politique de sécurité.

Document obligatoire pour tout le personnel, interne et externe, de l'Organisation.

Second niveau: Règlements, politiques internes et procédures de sécurité.

Conformité obligatoire selon le périmètre organisationnel, technique ou juridique correspondant, développé par 1MILLIONBOT dans le cadre de son Système de Management, dans lequel les aspects spécifiques de l'ENS ont été inclus pour se conformer aux exigences minimales de sécurité établies dans son article 11.

La responsabilité de l'approbation des documents élaborés à ce niveau incombera à la Commission de Sécurité.

Troisième niveau: Rapports, dossiers et preuves.

Documents à caractère technique qui recueillent des preuves générées au cours de toutes les phases du cycle de vie du système d'information, ainsi que les menaces et les vulnérabilités des systèmes d'information.

Données GENERALES

Tous les systèmes d'information de 1MILLIONBOT respectent les niveaux de sécurité requis par la réglementation en fonction de la nature et de la finalité des données personnelles.

En application du principe de responsabilité proactive établi dans le Règlement général sur la protection des données (RGPD) et la nouvelle LOPD, les activités de traitement des données personnelles sont intégrées dans la catégorisation des systèmes du National Security Scheme, compte tenu des menaces et des risques associés à ce type de traitement.

De même, toute autre réglementation en vigueur concernant la protection des données personnelles sera appliquée.

Gestion des risques

Tous les systèmes soumis à cette politique doivent effectuer une analyse des risques, évaluant les menaces et les risques auxquels ils sont exposés.

Cette analyse sera répétée :

Régulièrement, au moins une fois par an.
Lorsque les informations traitées changent.
Lorsque les services fournis changent.
Lorsqu'un grave incident de sécurité se produit.
Lorsque de graves vulnérabilités sont signalées.

Pour l'harmonisation de l'analyse des risques, le Comité de Sécurité établira une évaluation de référence pour les différents types d'informations qu'il traite et les différents services fournis.

Le comité de sécurité rationalisera la disponibilité des ressources pour répondre aux besoins de sécurité des différents systèmes, en favorisant les investissements de nature horizontale.

Obligation du personnel

Tous les membres de 1MILLIONBOT ont l'obligation de connaître et de respecter la présente politique de sécurité de l'information et le règlement de sécurité, étant la responsabilité du comité de sécurité de fournir les moyens nécessaires pour que les informations parviennent aux personnes concernées.

Tous les membres de 1MILLIONBOT assisteront à une session de sensibilisation à la sécurité au moins une fois par an. Un programme de sensibilisation continue sera mis en place pour servir tous les membres de 1MILLIONBOT, en particulier les nouveaux arrivants.

Les personnes responsables de l'utilisation, de l'exploitation ou de l'administration des systèmes TIC recevront une formation sur la manipulation sûre des systèmes dans la mesure où elles en ont besoin pour effectuer leur travail. La formation sera obligatoire avant d'assumer une responsabilité, que ce soit votre première affectation ou s'il s'agit d'un changement de poste ou de responsabilités dans celui-ci.

Des tiers

Lorsque 1MILLIONBOT utilise des services tiers ou transfère des informations à des tiers, ils seront informés de la présente politique de sécurité et des règles de sécurité relatives auxdits services ou informations.

Ledit tiers sera soumis aux obligations établies dans ledit règlement, pouvant développer ses propres procédures de fonctionnement pour le satisfaire. Des procédures spécifiques de signalement et de résolution des incidents seront établies. On s'assurera que le personnel tiers est suffisamment conscient de la sécurité, au moins au même niveau que celui établi dans la présente politique.

Lorsqu'un aspect de la Politique ne peut être satisfait par un tiers tel que requis dans les paragraphes précédents, un rapport du Responsable de la sécurité sera exigé, précisant les risques encourus et la manière de les traiter. L'approbation de ce rapport par les responsables des informations et des services concernés sera requise avant de procéder.