Política de Seguridad de la Información

Propósito Alcance y obligaciones Misión de Jotelulu Declaración de la PSI Objetivos de seguridad Objetivos de seguridad de HDS Organización de seguridad Marco normativo Gestión de riesgos Estructura de la documentación Revisión de la PSI Comunicación de la PSI Normativa

Última actualización: marzo de 2025

  1. Propósito

El objeto de la presente política es establecer las directrices generales y el compromiso de la Dirección para que la empresa gestione adecuadamente la seguridad de la información que gestiona.

Esta política constituye el marco de referencia del Sistema de Gestión de Seguridad de la Información (SGSI), basado en la norma ISO 27001, que existe en JOTELULU, atendiendo a los requisitos del Esquema Nacional de Seguridad (ENS), el Código de Salud Pública Francesa, así como el Código de Conducta de CISPE (Cloud Infrastructure Services Providers in Europe)

  1. Alcance y obligaciones del personal

Esta política se aplica a todos los sistemas de IT de JOTELULU y a todos los miembros de la organización, sin excepciones.

Todos los miembros de tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad asociada.

  1. Misión de JOTELULU

JOTELULU es una plataforma de servicios en la nube que tiene como misión simplificar el cloud computing, haciéndolo accesible y asequible para empresas de IT y, en última instancia, para las pequeñas y medianas empresas (pymes). Su objetivo principal es mejorar la competitividad de las empresas tecnológicas, permitiéndoles ofrecer servicios en la nube de manera sencilla y rentable.

La filosofía de JOTELULU se basa en tres principios fundamentales:

  • 1. Simplicidad: Desarrollar productos que sean fáciles de desplegar, gestionar y mantener, minimizando la complejidad del cloud.
  • 2. Asequibilidad: Crear soluciones accesibles para empresas de todos los tamaños, asegurando que el cloud no sea exclusivo de las grandes corporaciones.
  • 3. Rentabilidad: Optimizar productos para que las empresas de IT puedan integrar el cloud como una parte esencial y lucrativa de su negocio.

Además, JOTELULU busca convertirse en la mejor plataforma cloud para el canal de IT, ofreciendo servicios en la nube que las empresas de informática pueden comercializar bajo su propia marca y precios.

En este entorno la seguridad es fundamental para JOTELULU debido a su compromiso con la protección de datos y la continuidad del negocio de sus clientes, que requiere altos estándares de seguridad para garantizar la confianza de sus usuarios.

  1. Declaración de la política de seguridad de la información

La Política de Seguridad establece las directrices y principios establecidos por JOTELULU, S.L.U. (en adelante JOTELULU) para garantizar la protección de la información, así como el cumplimiento de los objetivos de seguridad definidos, asegurando así la confidencialidad, integridad y disponibilidad de los sistemas de información y por supuesto, garantizando el cumplimiento de todas las obligaciones legales aplicables.

La dirección de JOTELULU consciente de la importancia de la seguridad de la información en el ámbito laboral, asume y dispone los siguientes compromisos con respecto al Sistema de Gestión de Seguridad de la Información (SGSI):

  • a) Asegurar que se establecen objetivos de seguridad de la información, siempre alineados con la estrategia de la empresa.
  • b) Asegurar que los requisitos de seguridad se integran en los procesos de la organización.
  • c) Asegurar los recursos necesarios para el sistema de gestión.
  • d) Comunicar la importancia de una gestión de la seguridad de la información eficaz y conforme con los requisitos del sistema de gestión de seguridad de la información.
  • e) Asegurar que el sistema de gestión de seguridad de la información consigue los resultados previstos.
  • f) Dirigir y apoyar a las personas, para contribuir a la eficacia del sistema de gestión de seguridad de la información.
  • g) Promover la mejora continua del sistema de gestión.
  • h) Y apoyar los roles pertinentes para demostrar su liderazgo aplicado a sus áreas de responsabilidad.

Para ello, la dirección asegurará que el personal de JOTELULU cumple con las normativas, políticas, procedimientos e instrucciones relativas a la seguridad de la información.

  1. Objetivos de Seguridad

Mediante el desarrollo de su Sistema de Gestión de Seguridad de la Información, JOTELULU pretende garantizar los siguientes objetivos de seguridad:

  • 1. Asegurar la confidencialidad, integridad, disponibilidad trazabilidad y autenticidad de la información.
  • 2. Cerciorarse que la seguridad es una parte integral de cada etapa del ciclo de vida de los sistemas, desde su concepción hasta su retirada del servicio.
  • 3. Cumplir todos los requisitos legales aplicables.
  • 4. Aplicar las medidas mínimas de seguridad exigidas por el ENS.
  • 5. Tener un plan de continuidad que permita recuperar los procesos y actividades ante un incidente, en el menor tiempo posible.
  • 6. Gestionar los riesgos que puedan impactar a la organización estableciendo los mecanismos necesarios para su control y mejora.
  • 7. Formar y concienciar a todos los empleados en materia de seguridad de la información.
  • 8. Satisfacer las expectativas y necesidades en materia de seguridad de clientes, empleados, proveedores, dirección y demás partes interesadas.
  • 9. Todos los empleados serán informados de sus funciones y obligaciones de seguridad y son responsables de cumplirlas.
  • 10. Que los departamentos estén preparados para prevenir, detectar, reaccionar y recuperarse ante incidentes.
  • 11. Gestionar adecuadamente todas las incidencias ocurridas.
  • 12. Mejorar de forma continua el SGSI y por ende, la seguridad de la información de la organización.
  1. Objetivos de Seguridad de HDS

En particular dentro del marco de la certificación HDS, (Hébergeur de Données de Santé) con respecto a los datos de salud que puedan alojar nuestros partners se establecen los siguientes objetivos específicos:

1. Garantizar la confidencialidad de los datos de salud alojados dentro de los servicios de HDS, en particular implementando métodos, procesos y políticas apropiados para:

  • Regular el acceso a los datos personales de salud alojados y a los recursos de HDS donde se alojan los datos de salud.
  • Prevenir, identificar y remediar vulnerabilidades, así como limitar el riesgo de acceso no autorizado a los datos de salud y los recursos de HDS.
  • Borrar o eliminar los datos de salud al finalizar los servicios (antes de reasignar los recursos a otro cliente) y al final de la vida útil de la infraestructura de hardware.

2. Garantizar la disponibilidad e integridad de los datos de salud alojados dentro de los servicios, en particular:

  • Definir y compartir con los clientes objetivos de nivel de servicio apropiados (notablemente la disponibilidad de los servicios, tiempo de respuesta a las solicitudes del cliente y tiempo para abordar incidentes identificados que impacten la disponibilidad de los servicios HDS).
  • Implementar la organización y los procedimientos necesarios, especialmente dentro del equipo de soporte y productos, para cumplir con los objetivos de nivel de servicio.
  • Implementar y probar un plan de continuidad de servicios relevante para remediar cualquier fallo en la prestación del servicio.
  • Garantizar la disponibilidad de las claves de cifrado cuando JOTELULU proporcione funcionalidades de cifrado de datos de salud al cliente.
  • Garantizar la disponibilidad e integridad de las copias de seguridad cuando JOTELULU ofrezca servicios de respaldo de datos de salud a los clientes.

3. Permitir que los clientes utilicen los servicios de manera adecuada y segura, en particular:

  • Proporcionar documentación de servicios clara y accesible, así como términos y condiciones de uso, presentando las características de los servicios, las especificaciones técnicas y la distribución de tareas y responsabilidades entre JOTELULU y los clientes.
  • Asegurar que el equipo de soporte de JOTELULU esté al tanto de los procesos y condiciones específicos de los servicios de HDS.
  1. Organización de Seguridad

Comité de Seguridad

Para asegurar el correcto desempeño del Sistema de Gestión y cumplir con los objetivos y requisitos establecidos, la dirección de JOTELULU ha designado un Responsable del SGSI y un Comité de Seguridad que velará por el cumplimiento de las directrices marcadas por la presente política.

El comité tiene las siguientes funciones:

  • Aprobación y verificación del cumplimiento de las políticas de seguridad de la información.
  • Conocer y revisar los resultados de las auditorías del sistema, así como los incidentes relevantes de seguridad de la información.
  • Realizar la asignación de roles específicos y responsables del Sistema de Seguridad de la Información, así como comunicarles sus funciones.
  • Adoptar las medidas necesarias para garantizar que el personal conozca los procedimientos de seguridad que afectan el desempeño de sus funciones y las consecuencias que podrían derivarse en caso de incumplimiento.
  • Asegurar que las necesidades de seguridad de la información hayan sido identificadas e integradas de manera adecuada en los procesos relevantes de la organización.
  • Aprobar los objetivos de seguridad, asegurando que sean medibles y cuenten con responsabilidades, recursos y plazos asignados.
  • Proporcionar todos los recursos necesarios para llevar a cabo la Seguridad de la Información.
  • Brindar una base estratégica y coherente para la toma de decisiones que reduzcan o mitiguen los riesgos a niveles aceptables para la empresa, sus clientes e inversionistas.
  • Garantizar el correcto monitoreo y tratamiento de los riesgos identificados, en línea con la gestión de riesgos.

Roles: funciones y responsabilidades

 

Funciones

Responsable en JOTELULU

Dirección

Es el máximo responsable de la implantación del ENS.

Dirección

Responsable de la Información

Es el encargado de la protección de la información y que determina los requisitos de seguridad de la información tratada.

Comité de Seguridad

Responsable del Servicio

Determina los requisitos de seguridad de los servicios prestados, según los parámetros del Anexo I del ENS.
Debe incluir las especificaciones de seguridad en el ciclo de vida de los servicios y sistemas, acompañadas de los correspondientes procedimientos de control.

Comité de Seguridad

Responsable de la Seguridad

Determina las decisiones de seguridad pertinentes para satisfacer los requisitos establecidos por los responsables de la información y de los servicios.

Analizar los informes de autoevaluación Y/o informes de auditoría y elevar las conclusiones al responsable del sistema para que adopte las medidas correctoras adecuadas.

Head of Security

Responsable del Sistema

Se encarga de la operación del sistema de información, atendiendo a las medidas de seguridad determinadas por el Responsable de la Seguridad.

Adoptar las medidas correctoras pertinentes a raíz de los informes de autoevaluación auditoría que eleve el Responsable de Seguridad, con el soporte de los responsables de Ingeniería e Infraestructura.

Head of Operations

Datos de carácter personal

JOTELULU. trata datos de carácter personal, que se recogen en el Registro de Actividades de Tratamiento (RAT) junto y los responsables correspondientes. Todos los sistemas de información de se ajustarán a los niveles de seguridad requeridos por la normativa para la naturaleza y finalidad de los datos de carácter personal recogidos.

Responsable del Tratamiento

La persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento;

Según se indica en el RAT

Encargado del Tratamiento

La persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del Responsable del Tratamiento

Según se indica en el RAT

Delegado de Protección de Datos

 Garantiza el cumplimiento de las normativas de protección de datos y actúa como enlace con las autoridades de supervisión

DPD

Los conflictos entre las diferentes personas, unidades u órganos responsables que componen la estructura organizativa de la política de seguridad de la información serán resueltos por el superior jerárquico común, que podrá elevar consulta previa al Comité de Seguridad de la Información. En caso de conflicto prevalecerán las decisiones del Comité de Seguridad de la Información.

Procedimiento de designación

El rol del Responsable de Seguridad de la Información recaerá sobre el CISO/Head of Security o en el caso de que el puesto quede vacante, se nombrará a propuesta del Comité de Seguridad.

El rol del Responsable del Sistema recaerá sobre el Head of Operations, o en el caso de que el puesto quede vacante, se nombrará a propuesta del Comité dentro de los departamentos de Ingeniería/ Operaciones o Infraestructura.

  1. Marco normativo
  • Reglamento General de Protección de Datos (RGPD) – Reglamento (UE) 2016/679, relativo a la protección de datos personales y la libre circulación de estos datos.
  • Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) – Ley Orgánica 3/2018, alineada con el RGPD y la normativa europea de protección de datos.
  • Directiva (UE) 2022/2555, NIS2 – Directiva europea sobre ciberseguridad, pendiente de transposición a la legislación nacional, bajo Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad.
  • El Real Decreto 311/2022, de 3 de mayo, que regula el Esquema Nacional de Seguridad (ENS)
  • Ley de Propiedad Intelectual – Real Decreto Legislativo 1/1996, que protege los derechos sobre programas de ordenador y regula su explotación.
  • Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI-CE) – Ley 34/2002, que regula el comercio electrónico y los servicios digitales.
  • Ley de Prevención de Riesgos Laborales (PRL) – Ley 31/1995, de aplicación en materia de seguridad y salud en el trabajo.
  • Leyes de Propiedad Industrial – Normativas sobre diseños industriales, marcas, patentes y modelos de utilidad (Ley 17/2001, Ley 24/2015 y Ley 3/1991).
  • Reglamento eIDAS – Reglamento (UE) 910/2014, sobre identificación electrónica y servicios de confianza en transacciones digitales.
  • Ley de Protección Jurídica de Programas de Ordenador – Ley 16/1993, que protege el software y combate la piratería informática.
  • Código de Salud Pública de Francia – Marco legislativo que regula la organización del sistema de salud, la seguridad sanitaria y la protección de los datos de salud en Francia en el ámbito de la certificación HDS.
  • Código de Conducta de CISPE – Refuerza la protección de datos en el contexto de los servicios cloud en Europa.
  • Ley de IA de la UE, aprobada por el Parlamento Europeo el 13 de marzo de 2024 y por el Consejo de la UE el 21 de mayo de 2024.
  1. Gestión de riesgos

Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:

  • regularmente, al menos una vez al año cuando cambie la información manejada
  • cuando cambien los servicios prestados
  • cuando ocurra un incidente grave de seguridad
  • cuando se reporten vulnerabilidades graves

Para la armonización de los análisis de riesgos, se establece una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. El Comité de Seguridad dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.

  1. Estructuración de la documentación de seguridad

La Política de Seguridad de la Información se estructura en los siguientes niveles relacionados jerárquicamente:

  • 1. Primer nivel: Política de Seguridad de la Información, recogido en el presente documento, revisado y aprobado por el Comité de Seguridad y firmado por el CEO.
  • 2. Segundo nivel: Normativa de Seguridad de la Información, igualmente revisado y aprobado por el Comité de Seguridad y firmado por el CEO.
  • 3. Tercer nivel: Procedimientos e Instrucciones Técnicas de Seguridad de la Información. Documentos técnicos y controles orientados a resolver tareas relacionadas con la seguridad de los sistemas, gobernados por el SGSI.
  • 4. Cuarto nivel: Informes, registros y evidencias electrónicas de carácter técnico, publicados en nuestros sistemas de información documental.
  1. Revisión de la Política de Seguridad de la Información

La política de seguridad de la información, al igual que los procesos del Sistema de Gestión, son revisados regularmente a intervalos planificados o si ocurren cambios significativos para asegurar la continua idoneidad, eficacia y efectividad de la misma. De forma genérica son revisados anualmente en el proceso de auditoría interna del SGSI.

Existen procedimientos de monitorización que aportan información sobre el correcto desempeño del SGSI.

La dirección también juega un importante papel en la revisión del sistema, realizando un profundo análisis del sistema y concretando posibles mejoras y deficiencias.

  1. Comunicación de la Política de Seguridad de la Información

La política del sistema de gestión es comunicada en el momento de la incorporación, en los cursos de concienciación e internamente a través de correo electrónico y/o canales corporativos.

Se mantendrá disponible la declaración de la presente política para las partes interesadas externas a JOTELULU a través de su publicación en un documento compartido la web.

  1. Normativa y aspectos específicos de seguridad de la información

Esta Política se desarrollará por medio de Normativa de Seguridad que afronta aspectos específicos. La normativa de seguridad está a disposición de todos los miembros de la organización , en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones.