Política de seguridad

Declaración de principios

Deister Consulting SA, Deister Tech Services SLU, Deister SA, Deister S.A. Sucursal Perú, Deister software PERÚ SAC y Deister Cloud SL (en adelante DEISTER) es un grupo de empresas cuya actividad principal es el diseño y desarrollo de soluciones ERP en su modalidad On Premise y SaaS. Para ello, asume valores que considera esenciales para la consecución de sus objetivos como es la preservación de la Información y los datos personales, tanto propios como del resto de partes interesadas y el desarrollo profesional y personal de todos los componentes de su equipo de trabajo.

Debido a nuestra actividad, en DEISTER somos conscientes de que la información es un activo conun elevado valor para nuestra organización y requiere, por lo tanto, una protección y gestiónadecuadas con el fin de dar continuidad a nuestra línea de negocio y minimizar los posibles dañosocasionados por fallos a la integridad, disponibilidad y confidencialidad de la información. Asímismo, tanto la legislación vigente relativa a la protección de datos personales (RGPD yLOPDGDD), como el compromiso de DEISTER con nuestros clientes nos hace especialmentesensibles al tratamiento de los datos personales a los que tenemos acceso en el ejercicio denuestra actividad.

Para ello, DEISTER establece un conjunto de actividades de gestión que tienen como objetivopreservar los principios de Confidencialidad, Integridad, Disponibilidad, Autenticidad,Trazabilidad, así como Conformidad Regulatoria de la información. A su vez, estos principios sedefinen de la siguiente manera:

⦿ Confidencialidad: es la propiedad que permite garantizar que el acceso a la información solamente puede ser ejercido por las personas autorizadas para ello.

⦿ Integridad: es la propiedad de salvaguardar la exactitud y completitud de los activos de información.

⦿ Disponibilidad: es la cualidad que garantiza que las personas autorizadas pueden acceder a la información y procesarla en cualquier momento en que sea necesario.

⦿ Autenticidad: es la propiedad o característica consistente en que una entidad es quien dice ser o bien que garantiza la fuente de la que proceden los datos.

⦿ Trazabilidad: es la propiedad o característica consistente en que las actuaciones de una entidad pueden ser imputadas exclusivamente a dicha entidad.

⦿ Conformidad Regulatoria: es la propiedad que asegura que la información es gestionada de acuerdo a los principios éticos, profesionales y legales establecidos por las regulaciones que son aplicables en cada contexto.

Los sistemas deben estar protegidos contra amenazas de rápida evolución con potencial paraincidir en la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar laprestación continua de los servicios.

Esto implica que los diferentes departamentos deben aplicar las medidas mínimas de seguridadexigidas por el Esquema Nacional de Seguridad y la ISO 27001:2022 Sistemas de Seguridad de laInformación, así como realizar un seguimiento continuo de los niveles de prestación de servicios,seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a losincidentes para garantizar la continuidad de los servicios prestados.

Los diferentes departamentos y sociedades de la organización deben cerciorarse de que laseguridad es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepciónhasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y lasactividades de explotación. Los requisitos de seguridad y las necesidades de financiación debenser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitaciónpara proyectos de TIC.

Los departamentos deben estar preparados para prevenir, detectar, reaccionar y recuperarse deincidentes, de acuerdo al Artículo 8 del ENS y a los requisitos de la ISO 27001:2022 Sistemas deSeguridad de la Información.

Dentro del amparo de lo anterior, se encuentra embebida la protección de la privacidad. Nuestrossistemas tratan datos personales sensible y por ello, la protección de la privacidad se erige comoun pilar esencial en el marco de SGSI y se constituye como una necesidad social que las empresasdeben respetar y proteger, así como objeto de legislación y/o regulación específica en todo elmundo.

Objetivos generales

La Política de Seguridad proporciona las bases para definir y delimitar los objetivos yresponsabilidades para las diversas actuaciones técnicas, legales y organizativas que se requieranpara garantizar la seguridad de la información y la privacidad, cumpliendo el marco legal deaplicación y las políticas globales y específicas de firma, así como los procedimientos definidos.

Estas actuaciones desde el punto de vista de la seguridad y privacidad son seleccionadas eimplantadas basándose en el análisis de riesgos y el equilibrio entre riesgo aceptable y coste delas medidas.

El objetivo de la Política de Seguridad es fijar el marco de actuación necesario para proteger losrecursos de información y datos frente a amenazas, internas o externas, deliberadas oaccidentales.

La información y datos pueden existir en una variedad de formatos, con soportes tantoelectrónicos como el papel u otros medios, e incluye a veces datos críticos acerca de lasoperaciones, estrategias o actividades de DEISTER y de sus clientes e incluso, en su caso, datos de carácter sensible que establece la normativa de protección de datos de carácter personal. Lapérdida, corrupción, o sustracción de información o de los sistemas que la gestionan tiene unimpacto elevado en nuestra Firma.

DEISTER está convencida de que una gestión eficaz de la Seguridad de la Información y de laPrivacidad es un elemento habilitador para que la organización comprenda completamente yactúe de modo adecuado a los riesgos a los que la información es expuesta, así como para poderresponder y adaptarse de manera eficiente a los crecientes requerimientos de organismosreguladores, leyes, y por supuesto sus clientes.

Compromiso de la alta dirección

El propósito del Sistema de Gestión de Seguridad de la Información es garantizar que los riesgos
de la seguridad de la información y privacidad sean conocidos, asumidos, gestionados y
minimizados de una forma documentada, sistemática, estructurada, repetible, asumible y
adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.

Para ello, la dirección declara el compromiso de DEISTER para:

⦿ Establecer como objetivo primordial los servicios de la Plataforma Axional, con absoluto respeto a los estándares de calidad, preservando la información, con especial atención a la sensibilidad de los datos personales tratados, con todas las medidas necesarias a su alcance.

⦿ Aplicar el principio de mejora continua a todos los procesos de la organización, con el objetivo adicional de conseguir el mayor grado de satisfacción de los clientes.

⦿ Asegurar el cumplimiento de los requisitos legales y reglamentarios que sean de aplicación (en particular la relativa a la protección de los datos personales), así como los que la organización haya asumido de manera voluntaria en el desarrollo de la Responsabilidad Social Corporativa y en el Código de Conducta.

⦿ Potenciar la participación, la comunicación, la información y la formación del equipo profesional con el objetivo de que se sienta partícipe del trabajo de la organización en su conjunto.

⦿ Promover el compromiso de responsabilidad entre los componentes del equipo de acuerdo con los requisitos de calidad, así como los relativos a la privacidad y seguridad de la información acordados tanto internamente como con los clientes, mediante acciones de formación y concienciación adecuadas y regulares.

⦿ Asegurar la continuidad del negocio desarrollando planes de continuidad conformes a metodologías reconocidas.

⦿ Realizar y revisar periódicamente un análisis de riesgos basados en métodos reconocidos que nos permitan establecer el nivel tanto de privacidad de los datos personales como de seguridad de la información a nivel general y de los proyectos y servicios en marcha y minimizar los riesgos mediante el desarrollo de políticas específicas, soluciones técnicas y acuerdos contractuales con organizaciones especializadas.

⦿ Compromiso de información a partes interesadas.

⦿ Selección de proveedores y subcontratistas en base a criterios relacionados con la privacidad y seguridad de la información.

⦿ Establecer las consecuencias de las violaciones de la política de seguridad, las cuales serán reflejadas en los contratos firmados con las partes interesadas, proveedores y subcontratistas.

⦿ Promover una cultura de mejora continua en la gestión de la seguridad de la información e implementar mejoras basadas en el análisis de incidentes, auditorías y revisiones periódicas.

⦿ Asegurar que el acceso y uso de los sistemas de información se realice de manera segura y conforme a las políticas y procedimientos establecidos.

⦿ Gestionar adecuadamente el ciclo de vida de la información, de manera que se puedan evitar usos incorrectos durante cualquiera de las fases.

⦿ Asegurar la protección de los derechos de propiedad intelectual.

⦿ Establecer periódicamente un conjunto de objetivos e indicadores, que permitan a la dirección llevar a cabo un adecuado seguimiento de los niveles de servicio ofrecidos y las actividades de gestión.

⦿ Principio de “licitud, transparencia y lealtad”. Los datos deben ser tratados de manera lícita, leal y transparente para el interesado.

⦿ Principio de “finalidad”. Los datos deben ser tratados con una o varias finalidades determinadas, explícitas y legítimas y, por otro lado, se prohíbe que los datos recogidos con unos fines determinados, explícitos y legítimos sean tratados posteriormente de una manera incompatible con esos fines.

⦿ Principio de “minimización de datos”. Aplicar medidas técnicas y organizativas para garantizar que sean objeto de tratamiento los datos que únicamente sean precisos para cada uno de los fines específicos del tratamiento reduciendo, la extensión del tratamiento, limitando a lo necesario el plazo de conservación y su accesibilidad.

⦿ Principio de “exactitud”. Disponer de medidas razonables para que los datos se encuentren actualizados, se supriman o modifiquen sin dilación cuando sean inexactos con respecto a los fines para los que se tratan.

⦿ Principio de “limitación del plazo de conservación”. La conservación de los datos debe limitarse en el tiempo al logro de los fines que persigue el tratamiento.

⦿ Principio de “seguridad” Realizar un análisis de riesgos orientado a determinar las medidas técnicas y organizativas necesarias para garantizar la integridad, la disponibilidad y la confidencialidad de los datos personales que traten.

⦿ Principio de “responsabilidad activa” o “responsabilidad demostrada”. Mantener diligencia debida de manera permanente para proteger y garantizar los derechos y libertades de las personas físicas cuyos datos son tratados en base a un análisis de los riesgos que el tratamiento representa para esos derechos y libertades, de modo que podamos garantizar y demostrar que el tratamiento se ajusta a las previsiones del RGPD y la LOPDGD.

⦿ Dirigir, apoyar y supervisar el sistema de gestión de la seguridad de la información, según lo establecido en el RD 311.2022 y posteriores modificaciones, así como en la ISO 27001, y buscar se alcancen los objetivos del mismo.

La dirección de DEISTER se compromete a apoyar y promover los principios establecidos en esta Política, para lo que pide al personal de DEISTER que asuma y se atenga a las previsiones del sistema de gestión documentado para el ENS.

El objetivo de la Política de Seguridad es fijar el marco de actuación necesario para proteger losrecursos de información y datos frente a amenazas, internas o externas, deliberadas oaccidentales.

Desarrollo de la política de seguridad

Esta Política de Seguridad complementa las políticas de seguridad de DEISTER en diferentes materias y se desarrollará por medio de normativa de seguridad que afronte aspectos específicos. La normativa de seguridad estará a disposición de todos los miembros de la organización que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemasde información y comunicaciones.

La documentación relativa a la Seguridad de la Información estará clasificada en tres niveles, demanera que cada documento de un nivel se fundamenta en los de nivel superior:

⦿ Primer nivel: Política de seguridad.
⦿ Segundo nivel: Normativas y procedimientos de seguridad.
⦿ Tercer nivel: Informes, registros y evidencias electrónicas.

Política

– Prevención

Los departamentos deben evitar, o al menos prevenir en la medida de lo posible, que lainformación o los servicios se vean perjudicados por incidentes de seguridad. Para ello losdepartamentos deben implementar las medidas mínimas de seguridad determinadas por el ENS,así como cualquier control adicional identificado a través de una evaluación de amenazas yriesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, debenestar claramente definidos y documentados.

Para garantizar el cumplimiento de la política, los departamentos deben:

⦿ Autorizar los sistemas antes de entrar en operación.

⦿ Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios deconfiguración realizados de forma rutinaria.

⦿ Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluaciónindependiente.

– Detección

Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde unasimple desaceleración hasta su detención, los servicios deben monitorizar la operación de maneracontinua para detectar anomalías en los niveles de prestación de los servicios y actuar enconsecuencia según lo establecido en el Artículo 9 del ENS.

La monitorización es especialmente relevante cuando se establecen líneas de defensa de acuerdocon el Artículo 8 del ENS. Se establecerán mecanismos de detección, análisis y reporte que lleguena los responsables regularmente y cuando se produce una desviación significativa de losparámetros que se hayan preestablecido como normales.

– Respuesta

Los departamentos deben:

⦿ Establecer mecanismos para responder eficazmente a los incidentes de seguridad.

⦿ Designar punto de contacto para las comunicaciones con respecto a incidentesdetectados en otros departamentos o en otros organismos. ⦿ Establecer protocolos para el intercambio de información relacionada con el incidente.Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta aEmergencias (CERT).

– Recuperación

Para garantizar la disponibilidad de los servicios críticos, los departamentos deben desarrollarplanes de continuidad de los sistemas como parte de su plan general de continuidad de negocio yactividades de recuperación.

Organización de la seguridad

Esta política se aplica a todos los sistemas de DEISTER y a todos los miembros de la organización,sin excepciones.

DEISTER se compromete a prestar sus servicios de forma gestionada y cumpliendo con losrequisitos establecidos en su Sistema Integrado de Gestión de modo que se garantice un servicioininterrumpido conforme a los requisitos de disponibilidad, seguridad y calidad hacia los clientes.

Para ello, la organización:

⦿ Protegerá adecuadamente la confidencialidad, disponibilidad, integridad, autenticidad y
trazabilidad de sus activos de información mediante la introducción de una serie de
controles para gestionar los riesgos de seguridad relevantes.

⦿ Priorizará la protección y salvaguarda de sus clientes y los datos de los clientes como una
prioridad de negocio.

⦿ Establecerá, implementará, monitoreará, mantendrá y mejorará continuamente su
gestión de seguridad de la información como parte de su enfoque más amplio de gestión
empresarial, y mantendrá la Certificación Acreditada a los estándares adecuados.

⦿ Gestionará cualquier violación de la seguridad de la información de manera oportuna y
responsable, e invertirá en estrategias adecuadas de detección, respuesta y remediación.

⦿ A intervalos planificados, probará sus controles de seguridad de la información y sus
respuestas a escenarios que puedan causar una amenaza a sus operaciones.

⦿ Proporcionará los recursos adecuados a la organización para establecer, mantener y
mejorar el entorno de seguridad según sea apropiado para el cambiante panorama de
riesgos.

⦿ Invertirá en las competencias del personal para llevar a cabo sus tareas y proporcionará al
personal la capacitación y la conciencia adecuadas relevantes para su función y la
información a la que tienen acceso.

⦿ Garantizará que nuestros proveedores y organizaciones asociadas hagan lo mismo, y que
establezcan y hagan cumplir los estándares de seguridad a aquellos a quienes
transmitimos cualquier información.

– Comité de Seguridad

Los integrantes del Comité de Seguridad serán designados en un acta fundacional, donde seindicará la persona designada y el cargo que deberá ostentar.

El Secretario del Comité de Seguridad será el RESPONSABLE DE SEGURIDAD y tendrá comofunciones :

⦿ Convoca las reuniones del Comité de Seguridad.

⦿ Prepara los temas a tratar en las reuniones del Comité, aportando información puntualpara la toma de decisiones.

⦿ Elabora el acta de las reuniones.

⦿ El Comité de Seguridad reportará al Director General.

⦿ Elabora el acta de las reuniones.

El Comité de Seguridad tendrá las siguientes funciones:

⦿ Atender las inquietudes de la Alta Dirección y de los diferentes departamentos.

⦿ Informar regularmente del estado de la seguridad de la información a la Alta Dirección.

⦿ Promover la mejora continua del sistema de gestión de la seguridad de la información.

⦿ Elaborar la estrategia de evolución de la Organización en lo que respecta a seguridad de lainformación.

⦿ Coordinar los esfuerzos de las diferentes áreas en materia de seguridad de la información,para asegurar que los esfuerzos son consistentes, alineados con la estrategia decidida enla materia, y evitar duplicidades.

⦿ Elaborar (y revisar regularmente) la Política de Seguridad para que sea aprobada por laDirección.

⦿ Aprobar la normativa de seguridad de la información.

⦿ Coordinar todas las funciones de seguridad de la organización.

⦿ Velar por el cumplimiento de la normativa legal y sectorial de aplicación.

⦿ Velar por el alineamiento de las actividades de seguridad a los objetivos de laorganización.

⦿ Coordinar los Planes de Continuidad de las diferentes áreas, para asegurar una actuaciónsin fisuras en caso de que deban ser activados.

⦿ Coordinar y aprobar, en su caso, las propuestas de proyectos recibidas de los diferentesámbitos de seguridad, encargándose gestionar un control y presentación regular delprogreso de los proyectos y anuncio de las posibles desviaciones.

⦿ Recibir las inquietudes en materia de seguridad de la Dirección de la entidad ytransmitirlas a los responsables departamentales pertinentes, recabando de ellos lascorrespondientes respuestas y soluciones que, una vez coordinadas, habrán de sercomunicadas a la Dirección.

⦿ Recabar de los responsables de seguridad departamentales informes regulares del estadode la seguridad de la organización y de los posibles incidentes. Estos informes, seconsolidan y resumen para su comunicación a la Dirección de la entidad.

⦿ Coordinar y dar respuesta a las inquietudes transmitidas a través de los responsables deseguridad departamentales.

⦿ Definir, dentro de la Política de Seguridad Corporativa, la asignación de roles y loscriterios para alcanzar las garantías pertinentes en lo relativo a segregación de funciones.

⦿ Elaborar y aprobar los requisitos de formación y calificación de administradores,operadores y usuarios desde el punto de vista de seguridad de la información.

⦿ Monitorizar los principales riesgos residuales asumidos por la Organización y recomendarposibles actuaciones respecto de ellos.

⦿ Monitorizar el desempeño de los procesos de gestión de incidentes de seguridad yrecomendar posibles actuaciones respecto de ellos. En particular, velar por lacoordinación de las diferentes áreas de seguridad en la gestión de incidentes de seguridadde la información.

⦿ Promover la realización de auditorías periódicas que permitan verificar el cumplimientode las obligaciones del organismo en materia de seguridad.

⦿ Aprobar planes de mejora de la seguridad de la información de la Organización. Enparticular velará por la coordinación de diferentes planes que puedan realizarse endiferentes áreas.

⦿ Priorizar las actuaciones en materia de seguridad cuando los recursos sean limitados.

⦿ Velar porque la seguridad de la información se tenga en cuenta en todos los proyectosdesde su especificación inicial hasta su puesta en operación. En particular deberá velarpor la creación y utilización de servicios horizontales que reduzcan duplicidades y apoyenun funcionamiento homogéneo de todos los sistemas TIC.

⦿ Resolver los conflictos de responsabilidad que puedan aparecer entre los diferentesresponsables y/o entre diferentes áreas de la Organización.

– Roles: Funciones y responsabilidades

Se detallarán a continuación las funciones de los responsables de la organización:

⦿ Coordinar todos los aspectos relacionados con la adecuación de las actuaciones de
DEISTER en materia de protección de datos de carácter personal.

⦿ Coordinar, junto con el Responsable de Seguridad, el cumplimiento del ENS con respecto
a la protección de datos de carácter personal.

Responsable de la Información

⦿ Responsabilidad última del uso que se haga de una cierta información y, por tanto, de suprotección.

⦿ Responsable último de cualquier error o negligencia que conlleve un incidente deconfidencialidad o de integridad (en materia de protección de datos) y de disponibilidad(en materia de seguridad de la información).

⦿ Establecer los requisitos de la información en materia de seguridad.

⦿ Determinar y aprobar los niveles de seguridad de la información.

⦿ Aprobar la categorización del sistema con respecto a la información.

⦿ Los que se vayan indicando en los documentos dentro del alcance del ENS.

⦿ Mantener la seguridad de la información manejada y de los servicios prestados por los sistemas de información en su ámbito de responsabilidad, de acuerdo a lo establecido en la Política de Seguridad de la Información de la organización.

⦿ Promover la formación y concienciación en materia de seguridad de la información dentro de su ámbito de responsabilidad.

⦿ Aprobar la declaración de aplicabilidad.

⦿ Canalizar y supervisar, tanto el cumplimiento de los requisitos de seguridad del servicio que se presta o solución que provee, como las comunicaciones relativas a la seguridad de la información y la gestión de los incidentes para el ámbito de dicho servicio (POC).

⦿ Los que se vayan indicando en los documentos dentro del alcance del ENS.

El Responsable de la Seguridad será el secretario del Comité de Seguridad con las funciones indicadas en el apartado 6.1 de la presente política.

De conformidad con el principio de “segregación de funciones y tareas” recogido en el art. 10 del ENS, el Responsable de la Seguridad será una figura diferenciada del Responsable del Sistema.

Responsable de la Seguridad

Responsable del Sistema

⦿ Desarrollar, operar y mantener el sistema de información durante todo su ciclo de vida, incluyendo sus especificaciones, instalación y verificación de su correcto funcionamiento.

⦿ Definir la topología y la gestión del sistema de información, estableciendo los criterios de uso y los servicios disponibles en el mismo.

⦿ Cerciorarse de que las medidas de seguridad se integren adecuadamente en el marco general de seguridad.

⦿ Potestad para proponer la suspensión del tratamiento de una cierta información o la prestación de un determinado servicio si aprecia deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos.

⦿ Los que se vayan indicando en los documentos dentro del alcance del ENS.

Responsable de Privacidad

Procedimientos de designación

El Responsable de Seguridad será nombrado por el Comité de Seguridad. El nombramiento serevisará cada 2 años o cuando el puesto quede vacante. Igualmente, el resto de los cargos indicados en el apartado anterior será designado por el Comitéde Seguridad mediante acta de reunión.

Revisión de la política de seguridad

Será misión del Comité de Seguridad la revisión anual de esta Política de Seguridad y la propuestade revisión o mantenimiento de la misma. La Política será aprobada por la Alta Dirección ydifundida para que la conozcan todas las partes afectadas.

Datos de carácter personal

DEISTER, en la prestación de su servicio, trata datos de carácter personal especialmente sensibles.

La documentación relativa, a la que tendrán acceso sólo las personas autorizadas, recoge losregistros de actividad de tratamiento de datos afectados y los responsables correspondientes.Todos los sistemas de información de DEISTER se ajustarán a los niveles de seguridad requeridospor la normativa para la naturaleza y finalidad de los datos de carácter personal.

Gestión de riesgos

Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando lasamenazas y los riesgos a los que están expuestos. Este análisis se repetirá:

⦿ Establecer mecanismos para responder eficazmente a los incidentes de seguridad.

⦿ Regularmente, al menos una vez al año

⦿ Cuando cambie la información manejada.

⦿ Cuando cambien los servicios prestados

⦿ Cuando ocurra un incidente grave de seguridad.

⦿ Cuando se reporten vulnerabilidades graves.

Para la armonización de los análisis de riesgos, el Comité de Seguridad establecerá una valoraciónde referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. El Comité de Seguridad dinamizará la disponibilidad de recursos para atender a lasnecesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácterhorizontal.

Obligaciones del personal

Todos los miembros de DEISTER tienen la obligación de conocer y cumplir esta Política deSeguridad y la Normativa de Seguridad, siendo responsabilidad del Comité de Seguridad disponerlos medios necesarios para que la información llegue a los afectados.

Todos los miembros de DEISTER atenderán a una sesión de concienciación en materia deseguridad de la información al menos una vez al año. Se establecerá un programa deconcienciación continua para atender a todos los miembros de DEISTER en particular a los denueva incorporación.

Las personas con responsabilidad en el uso, operación o administración de sistemas recibiránformación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar sutrabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primeraasignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.

Terceras partes

Cuando DEISTER preste servicios a otras organizaciones públicas o privadas o maneje informaciónde otras organizaciones públicas o privadas, se les hará partícipes de esta Política de Seguridad, seestablecerán canales para reporte y coordinación de los respectivos Comités de Seguridad y seestablecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

Cuando DEISTER utilice servicios de terceros o ceda información a terceros, se les hará partícipesde esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios oinformación. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dichanormativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Seestablecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizaráque el personal de terceros está adecuadamente concienciado en materia de seguridad, al menosal mismo nivel que el establecido en esta Política.

Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según serequiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad queprecise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de esteinforme por los responsables de la información y los servicios afectados antes de seguir adelante.

Legislación aplicable

Ley / Regulación	Responsabilidad
Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas	Responsable de Seguridad
Ley 40/2015, de 1 de octubre, establece y regula las bases del régimen jurídico de las Administraciones Públicas, los principios del sistema de responsabilidad de las Administraciones Públicas y de la potestad sancionadora, así como la organización y funcionamiento de la Administración General del Estado y de su sector público institucional para el desarrollo de sus actividades	Responsable de Seguridad
Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.	Responsable de Seguridad
Ley Orgánica 1/2015, de 30 de marzo, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal	Responsable de Seguridad
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos	Responsable de Seguridad
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales	Responsable de Seguridad
Ley 34/2002 de Servicios de la Sociedad de la Información (LSSI)	Responsable de Seguridad
Ley 22/11, de 11/11/1987, de Propiedad Intelectual	Responsable de Seguridad