Política de Seguridad

ONE MILLION BOT, S.L. es una compañía tecnológica dentro del campo de la Inteligencia Artificial con gran experiencia en el Procesamiento del Lenguaje Natural (PLN) y los asistentes virtuales inteligentes.

1MILLIONBOT se constituye en Julio 2018 como spin off de ITYIS SIGLO XXI, S.L., un grupo económico con 20 años de experiencia y éxitos en la economía digital.

Nuestra visión de compañía es la siguiente: Liderar el idioma que está por llegar, creando una Inteligencia Artificial +e:

+ ética

+ empática

+ evolutiva

Estos valores se reflejan en todos nuestros proyectos, en los que aseguramos la más estricta ética en la aplicación de la Inteligencia Artificial, siempre cuidando la experiencia de usuarios y asegurando flexibilidad y valor creciente para las empresas y la sociedad.  

Nuestro propósito de compañía es crear soluciones personalizadas en Inteligencia Artificial para dar valor a nuestros clientes y a la sociedad, siempre guiados por la eficacia y la ética como principios fundamentales. 1MILLIONBOT está altamente comprometida con la innovación, la mejora continua, y la calidad del servicio prestado a sus clientes.

 

Marco Normativo

El marco normativo en materia de seguridad de la información en el que 1MILLIONBOT desarrolla su actividad, esencialmente, es el siguiente: 

  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos de Carácter Personal. 
  • Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal. 
  • REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE. 
  • Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica. 
  • Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
  • Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de comercio electrónico. 
  • Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el Texto Refundido de la Ley de Propiedad Intelectual. 

Alcance

La presente política de seguridad afecta a todos los sistemas, trabajadores y proveedores que tengan relación con 1MILLIONBOT. 

El alcance de la presente política está en los sistemas, personas, y proveedores que intervienen en los sistemas de información que dan soporte a los procesos de diseño, desarrollo y mantenimiento de asistentes virtuales basados en inteligencia artificial para servicios en modo SaaS, así como también en el diseño, desarrollo y mantenimiento de aplicaciones de los servicios prestados a los clientes.

Principios y directrices

Los principios que se contemplan desde 1MILLIONBOT a la hora de garantizar la seguridad de la información son los marcados en el Artículo 4 del RD 3/2010, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

PREVENCIÓN

1MILLIONBOT evita que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello, los departamentos aplican las medidas mínimas de seguridad determinadas por el Esquema Nacional de Seguridad, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, los roles y responsabilidades de seguridad de todo el personal, están claramente definidos y documentados. 

Para garantizar el cumplimiento de la política de seguridad, 1MILLIONBOT: 

  • Autoriza los sistemas antes de entrar en operación
  • Solicita la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.

DETECCIÓN

Los servicios son monitorizados de forma continua para detectar anomalías en la prestación de los servicios y actuar en consecuencia según lo establecido en el art. 8 y art. 9 del ENS.

Hay establecidos mecanismos de detección, análisis y reporte que llegan a los responsables regularmente y, de forma especial, cuando se produce una desviación de los parámetros preestablecidos.

RESPUESTA

Se dispone de mecanismos para responder eficazmente a los incidentes de seguridad. Se habilita un buzón de correo a modo de canal de comunicación para los incidentes de seguridad, el cual será supervisado por su responsable. El procedimiento para el intercambio de información al respecto es establecido mediante el procedimiento interno a dichos efectos.

RECUPERACIÓN

Para garantizar la disponibilidad de los servicios críticos, 1MILLIONBOT dispone de un plan de continuidad de los sistemas TIC como parte de su plan general de continuidad de negocio y actividades de recuperación

Objetivos

Los sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la autenticidad, disponibilidad, integridad, confidencialidad o trazabilidad de la información tratada o los servicios prestados.

El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando a los incidentes de forma rápida.

Se establecen los siguientes objetivos para la actual política de seguridad: 

  1. Utilización de recursos corporativos, tales como el correo electrónico, el acceso a Internet, el equipamiento informático y de comunicaciones.
  2. Gestión de activos de información inventariados, categorizados y asociados a un responsable.
  3. Mecanismos necesarios para que cualquier persona que acceda, o pueda acceder a los activos de información, conozca sus responsabilidades y de este modo se reduzca el riesgo derivado de un uso indebido de los activos. 
  4. Seguridad física, de forma que los activos de información serán emplazados en áreas seguras, protegidos por controles de acceso físicos adecuados a su nivel de criticidad. Los sistemas y los activos de información que contienen dichas áreas estarán suficientemente protegidos frente a amenazas físicas o ambientales. 
  5. Seguridad en la gestión de comunicaciones y operaciones, de manera que la información que se transmita a través de redes de comunicaciones deberá ser adecuadamente protegida, teniendo en cuenta su nivel de sensibilidad y de criticidad, mediante mecanismos que garanticen su seguridad. 
  6. Control de acceso, limitando el acceso a los activos de información por parte de usuarios, procesos y sistemas de información mediante la implantación de los mecanismos de identificación, autenticación y autorización acordes a la criticidad de cada activo. 
  7. Adquisición, desarrollo y mantenimiento de los sistemas de información contemplando los aspectos de seguridad de la información en todas las fases del ciclo de vida de dichos sistemas. 
  8. Gestión de los incidentes de seguridad implantando mecanismos apropiados para la correcta identificación, registro y resolución de los incidentes de seguridad. 
  9. Gestión de la continuidad implantando mecanismos apropiados para asegurar la disponibilidad de los sistemas de información y manteniendo la continuidad de sus procesos de negocio.

Organización de la Seguridad

La implantación de la Política de Seguridad de 1MILLIONBOT requiere que todos los miembros de la organización entiendan sus obligaciones y responsabilidades en función del puesto desempeñado.

COMITÉ DE SEGURIDAD DE LA INFORMACIÓN

La Seguridad de la Información es una responsabilidad organizativa que es compartida por el consejo de administración de 1MILLIONBOT. En consecuencia, éste promueve la composición de un Comité de Seguridad de la Información, en aras de establecer una vía definida y de apoyo a las iniciativas de seguridad.

Dicho Comité está compuesto por, al menos, el responsable de seguridad, el responsable de la información, el responsable del servicio, el responsable de los sistemas de información y un presidente que será responsable último de las decisiones adoptadas y que dirigirá las reuniones del Comité de Seguridad, informando, proponiendo y coordinando las actividades y decisiones.

Esta función de Presidente inicialmente recae en la Dirección General de 1MILLIONBOT. 

Las funciones del Comité de Seguridad de la Información son las siguientes: 

  • Revisión de la Política de Seguridad de la Información y de las responsabilidades principales. 
  • Definir e impulsar la estrategia y la planificación de la seguridad de la información proponiendo la asignación de presupuesto y los recursos precisos. 
  • Supervisión y control de los cambios significativos en la exposición de los activos de información a las amenazas principales, así como del desarrollo e implantación de los controles y medidas destinadas a garantizar la Seguridad de dichos activos. 
  • Aprobación de las iniciativas principales para mejorar la Seguridad de la Información. 
  • Supervisión y seguimiento de aspectos tales como: 
    • Principales incidencias en la Seguridad de la Información.
    • Elaboración y actualización de planes de continuidad.
    • Cumplimiento y difusión de las Políticas de Seguridad.

ROLES Y RESPONSABILIDADES

La estructura organizativa, roles y responsabilidades de 1MILLIONBOT son definidos mediante procedimiento interno. Los principales roles son identificados del modo siguiente:

  • Responsable de Seguridad
  • Responsable de la Información
  • Responsable del Servicio
  • Responsable de Sistemas

El Responsable de Seguridad será quien tome las decisiones adecuadas para satisfacer los requisitos de seguridad de la información y de los servicios. Dispondrá de las siguientes funciones:

  • Supervisar el cumplimiento de la presente Política, de sus normas y procedimientos derivados.
  • Asesorar en materia de seguridad a los integrantes del Comité de Seguridad que así lo requieran.
  • Tomar conocimiento y supervisar la investigación y monitorización de los incidentes de seguridad.
  • Establecer las medidas de seguridad, adecuadas y eficaces para cumplir los requisitos de seguridad establecidos por los Responsables de los Servicios y de la Información, siguiendo en todo momento lo exigido en el Anexo II del ENS.
  • Asesorar, en colaboración con los Responsables de los Sistemas, los Responsables de los Servicios y de la Información, en la realización del análisis y gestión de riesgos, elevando el informe resultante al Comité de Seguridad.
  • Monitorizar el estado de seguridad del sistema proporcionado por las herramientas de gestión de eventos de seguridad y mecanismos de auditoría implementados en el sistema.
  • Promover las actividades de concienciación y formación en materia de seguridad en su ámbito de responsabilidad, siguiendo las directrices del Comité de Seguridad.
  • Realizar o promover las auditorías periódicas que permitan verificar el cumplimiento de las obligaciones del Comité de Seguridad en materia de seguridad.
  • Preparar los temas a tratar en las reuniones del Comité de Seguridad, aportando información puntual para la toma de decisiones.
  • Elaboración y revisión de la normativa de seguridad Comité de Seguridad.
  • Aprobación de los procedimientos de seguridad elaborados por el Responsable del Sistema.

El Responsable de la Información será el propietario de la misma y tendrá las siguientes funciones:

  • Clasificar la información conforme a los criterios establecidos y en cada una de las dimensiones de seguridad conocidas y aplicables (disponibilidad, autenticidad, trazabilidad, confidencialidad e integridad).
  • Trabajar en colaboración con el responsable de seguridad y de sistema en el mantenimiento de los servicios tecnológicos.
  • Realizar los análisis de riesgos que le comprometan así como las diferentes opciones de gestión del riesgo a implantar.
  • Valorar y decidir, junto con los Responsables de Servicios, los riesgos residuales calculados en el análisis de riesgos, y de realizar su seguimiento y control, sin perjuicio de la posibilidad de delegar esta tarea.
  • Velar por la inclusión de cláusulas sobre la seguridad en los contratos con terceras partes que puedan tener acceso a información de los procedimientos que gestiona y realizar el seguimiento de su cumplimiento.

El Responsable del Servicio será quien determine los requisitos de los servicios prestados, en consonancia, tendrá las siguientes funciones:

  • Establecer los requisitos del servicio en materia de seguridad, o, en terminología del ENS, la potestad de determinar los niveles de seguridad de los servicios.
  • Clasificar los servicios conforme a los criterios y categorías establecidas en el ENS y en cada una de las dimensiones de seguridad conocidas y aplicables (disponibilidad, autenticidad, trazabilidad, confidencialidad e integridad), dentro del marco establecido en el Anexo I del ENS.
  • Atender a los requisitos de seguridad de la información, tales como disponibilidad, accesibilidad, interoperabilidad, etc.. que se demanden en la prestación de los servicios.
  • Velar por la inclusión de cláusulas sobre seguridad en los contratos con terceras partes que puedan afectar a sus servicios y realizar el seguimiento de su cumplimiento.

El Responsable de los Sistemas de Información, dentro de sus áreas de actuación, tendrán asignadas las siguientes funciones:

  • Desarrollo, operación y mantenimiento del sistema de Información durante todo su ciclo de vida, de sus especificaciones, instalación y verificación de su correcto funcionamiento.
  • Garantizar que las medidas de seguridad se integren adecuadamente dentro del marco general de la Seguridad de la Información.
  • Aprobar toda modificación sustancial de la configuración de cualquier elemento del sistema.
  • Elaborar procedimientos técnicos de seguridad de los sistemas de información.
  • Elaborar planes de continuidad de los sistemas de información.
  • Colaborar para la realización del análisis de riesgos de los sistemas de información de los que es responsable.
  • Implementar, gestionar y mantener las medidas de seguridad aplicables al sistema de información.
  • Gestionar, configurar y actualizar, en su caso, el hardware y software en los que se basan los mecanismos y servicios de seguridad del sistema de información.

PROCEDIMIENTOS DE DESIGNACIÓN

Los nombramientos los establece la Dirección General de 1MILLIONBOT y serán revisados cada 2 años o cuando el puesto quede vacante.

Documentación de Seguridad

Las directrices para la estructuración de la documentación del sistema, su gestión y acceso se encuentran detalladas en el procedimiento general ‘Gestión de la información documentada’.

La documentación relativa a la Seguridad de la Información se clasifica en tres niveles, de manera que cada documento de un nivel se fundamenta en los de nivel superior: 

  • Primer nivel: Política de seguridad de la Información.
  • Segundo nivel: Normativas, políticas internas y procedimientos de seguridad.
  • Tercer nivel: Informes, registros y evidencias.

Primer nivel: Política de seguridad.

Documento de obligado cumplimiento por todo el personal, interno y externo, de la Organización.

Segundo nivel: Normativas, políticas internas y procedimientos de seguridad.

De obligado cumplimiento de acuerdo al ámbito organizativo, técnico o legal correspondiente, desarrollados por 1MILLIONBOT en el marco de su Sistema de Gestión en los que se han incluido los aspectos específicos del ENS para cumplir con los requisitos mínimos de seguridad que marca su artículo 11.

La responsabilidad de aprobación de los documentos redactados en este nivel será competencia del Comité de Seguridad.

Tercer nivel: Informes, registros y evidencias.

Documentos de carácter técnico que recogen evidencias generadas durante todas las fases del ciclo de vida del sistema de información, así como amenazas y vulnerabilidades de los sistemas de información.

Datos de carácter general

Todos los sistemas de información de 1MILLIONBOT se ajustan a los niveles de seguridad requeridos por la normativa para la naturaleza y finalidad de los datos de carácter personal.

En aplicación del principio de responsabilidad proactiva establecido en el Reglamento General de Protección de Datos (GDPR) y la nueva LOPD, las actividades de tratamiento de datos de carácter personal se integran en la categorización de sistemas del Esquema Nacional de Seguridad, considerando las amenazas y riesgos asociados a este tipo de tratamientos.

Se aplicará, asimismo, cualquier otra normativa vigente en materia de protección de datos de carácter personal.

Gestión de riesgos

Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. 

Este análisis se repetirá: 

  • Regularmente, al menos una vez al año. 
  • Cuando cambie la información manejada. 
  • Cuando cambien los servicios prestados. 
  • Cuando ocurra un incidente grave de seguridad. 
  • Cuando se reporten vulnerabilidades graves. 

Para la armonización de los análisis de riesgos, el Comité de Seguridad establecerá una valoración de referencia para los diferentes tipos de información que manejados y los diferentes servicios prestados. 

El Comité de Seguridad dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal. 

Obligación del personal

Todos los miembros de 1MILLIONBOT tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad, siendo responsabilidad del Comité de Seguridad disponer los medios necesarios para que la información llegue a los afectados. 

Todos los miembros de 1MILLIONBOT atenderán a una sesión de concienciación en materia de seguridad al menos una vez al año. Se establecerá un programa de concienciación continua para atender a todos los miembros de 1MILLIONBOT, en particular a los de nueva incorporación. 

Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.

Terceras partes

Cuando 1MILLIONBOT utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que atañe a dichos servicios o información.

Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros esté adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política. 

Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.