Agendar una demo

Política de seguridad de la información

 

POLÍTICA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN – ISO/IEC 27001:2022

1- OBJETIVO

El presente documento describe la estructura, funcionamiento y compromisos del Sistema de Gestión de Seguridad de la Información (SGSI) de CUSTOMERNET SOLUCIONES DE NEGOCIO S.L, desarrollado conforme a los requisitos de la norma ISO/IEC 27001. Relativo a los Sistemas de Información que dan soporte al desarrollo y explotación de software para la prestación de servicios chat y voice bot.

Su propósito es establecer de forma clara cómo la organización protege la información crítica, asegura el cumplimiento legal y contractual, gestiona los riesgos asociados a sus activos de información y promueve una cultura de mejora continua en materia de seguridad.

Este documento sirve de base tanto para el personal interno como para auditores externos, partes interesadas y autoridades competentes, proporcionando una visión completa y estructurada del sistema implementado.

2- ALCANCE

Esta política se aplica a todo el personal de CUSTOMERNET, así como a colaboradores, herramientas cloud, repositorios, sistemas de autenticación, datos, infraestructuras y proveedores que intervienen directa o indirectamente en la operación de los servicios de chat y voice bot. Las Responsabilidades y roles se han definido en el documento Políticas, Responsabilidades y Obligaciones. Este documento forma parte del conjunto normativo del SGSI y su ejecución se apoya en los procedimientos operativos correspondientes, accesibles a través del Índice Documental.

3- PRINCIPIOS

La Política de Seguridad de la Información de CUSTOMERNET se apoya en los siguientes principios:

  • Principio de confidencialidad: Solo el personal autorizado puede acceder a la información que respalda nuestros servicios de chat y voice bot.

  • Principio de integridad y calidad: La información debe mantenerse exacta, sin alteraciones no autorizadas, garantizando la fiabilidad de las respuestas automatizadas.

  • Principio de disponibilidad y continuidad: Nuestros sistemas deben estar siempre operativos. Se implementan medidas de contingencia para garantizar la continuidad de los servicios ante cualquier incidente.

  • Principio de trazabilidad: Toda acción sobre la información debe quedar registrada. Esto permite auditar incidentes y mantener el control sobre los accesos.

  • Principio de gestión del riesgo: Se aplican evaluaciones periódicas de riesgos sobre los activos que soportan el servicio, priorizando su tratamiento según su impacto.

  • Principio de concienciación y formación: El equipo recibe formación continua sobre buenas prácticas y amenazas relevantes para su rol.

  • Principio de prevención: Aplicamos controles orientados a reducir la probabilidad de errores, fraudes o accesos indebidos.

  • Principio de mejora continua: Revisamos de forma periódica la eficacia de los controles, adaptándose al crecimiento de la empresa y a los cambios tecnológicos.

  • Principio de mínimo privilegio: Cada miembro del equipo accede solo a los recursos que necesita para realizar su trabajo.

  • Principio de necesidad de saber: La información crítica se comparte únicamente con quienes requieren conocerla para cumplir su función.

  • Principio de Zero Trust: No se confía por defecto en ningún usuario, dispositivo o red. Toda conexión debe autenticarse y autorizarse.

4- APLICABILIDAD

Esta política es de obligado cumplimiento para todas las personas que acceden a los sistemas y recursos que dan soporte a los servicios de CUSTOMERNET, incluyendo empleados, colaboradores, proveedores y cualquier tercero con acceso a nuestras herramientas, plataformas o datos.

Se considera usuario a cualquier persona que, de forma directa o indirecta, intervienen en el diseño, operación o mantenimiento de los servicios de automatización conversacional (chat y voice bot).

El incumplimiento de esta política podrá conllevar medidas disciplinarias o contractuales. Para cualquier duda sobre su aplicación, se habilita un canal interno de comunicación con el responsable de seguridad. Los controles aplicados están descritos y justificados en la Declaración de Aplicabilidad (SoA) asociada al SGSI, en respuesta a los riesgos determinados en el Control de Riesgos.

5- GUÍAS GENERALES

Para asegurar los objetivos de esta política y mantener la seguridad de los recursos que sustentan los servicios de chat y voice bot, CUSTOMERNET establecerá y mantendrá las siguientes directrices de actuación:

  • Todo acceso a los sistemas será personal, identificado y limitado al mínimo de personas necesarias para el desempeño de las funciones asignadas.
  • Dentro del acceso a los sistemas, el acceso a los ficheros que contienen datos personales de empresas y clientes, se limita a su vez a las personas necesarias para el desempeño de labores necesarias sobre los mismos ficheros, siendo este acceso diferente y específico respecto al acceso general a sistemas y software.
  • Cada usuario, dentro y fuera de la organización, dispondrá de credenciales individuales. Se exigirán contraseñas robustas, renovadas periódicamente, y nunca compartidas ni transmitidas por canales inseguros.
  • El envío a otra persona de usuario y contraseña se realiza siempre en mensajes separados, y si es posible por medios diferentes (p. ej. email y whatsapp).
  • Las transmisión de usuarios y contraseñas a usuarios en las empresas cliente siempre sugiere el cambio de contraseña al primer uso por una propia, y se le transmite la necesidad de que sea una contraseña robusta y no transferible a ninguna otra persona.
  • Toda amenaza, anomalía o posible incidente deberá ser comunicada de inmediato a través de los canales habilitados.
  • La información confidencial deberá estar protegida contra accesos no autorizados, alteraciones o pérdidas, mediante medidas como cifrado, controles de acceso, copias de seguridad y segmentación de red.
  • Solo se podrán utilizar herramientas y plataformas previamente autorizadas por el responsable de seguridad.
  • Está prohibido subir o compartir documentación en servicios de terceros no aprobados.
  • Se clasificarán los datos según su nivel de sensibilidad y criticidad.
  • Se mantendrán controles técnicos como autenticación, análisis de vulnerabilidades, prevención de intrusos y protección antimalware.
  • Se analizarán y registrarán los incidentes relevantes para extraer lecciones y mejorar el sistema.

  • Los proveedores y terceros deberán respetar las directrices de seguridad exigidas por CUSTOMERNET, especialmente si tratan información relevante para el servicio.

  • La organización impulsará una cultura de seguridad mediante:

    • Formación obligatoria en seguridad para todo el personal.

    • Envío de contenidos periódicos de concienciación.

6- GESTIÓN DE LA SEGURIDAD

6.1. Clasificación de la información y gestión de accesos

Toda la información gestionada por CUSTOMERNET, ya sea operativa, técnica o de clientes, se clasifica según su sensibilidad (pública, interna, confidencial) siguiendo el Procedimiento de Clasificación de la Información. Se aplican controles de acceso basados en el principio de mínimo privilegio. El acceso a entornos productivos, paneles de administración, bases de datos y sistemas cloud está restringido por rol y sujeto a autenticación robusta.

6.2. Seguridad en entornos cloud y canales digitales

Dado que se opera en infraestructuras cloud (ej. Google Cloud, Azure), la seguridad perimetral y lógica se basa en el uso de cifrado en tránsito (HTTPS/TLS), aislamiento de entornos, protección de API mediante tokens seguros y revisión continua de configuraciones. Los servicios de chatbot y voice bot están diseñados para garantizar la trazabilidad, disponibilidad y recuperación ante incidentes.

6.3. Gestión de incidentes y continuidad del servicio

Se ha establecido un procedimiento de gestión de incidentes que permite detectar, registrar, contener y resolver eventos que afecten la seguridad de la información. El responsable de Seguridad es el encargado de documentar cualquier tipo de incidencia en el Registro de Incidentes, siguiendo el Procedimiento de Gestión de Incidentes.

7- REVISIÓN Y MEJORA DE LA POLÍTICA

La presente Política de Seguridad de la Información será revisada al menos una vez al año o cuando se produzcan cambios significativos en el modelo de negocio, la tecnología utilizada o el contexto normativo que afecte a los servicios de chat y voice bot prestados por CUSTOMERNET.

La revisión será responsabilidad del responsable de seguridad y apoyo de los responsables técnicos y legales. Las actualizaciones serán comunicadas de forma efectiva a todos los implicados.

Esta política se alinea con el principio de mejora continua establecido por la norma ISO/IEC 27001 y refleja el compromiso de CUSTOMERNET con la seguridad como pilar de calidad y confianza en sus servicios.