| POLÍTIQUES DE LA ORGANITZACIÓ |
| Política de privacitat de la informació | Existeix una política de privacitat i protecció de dades personals publicada i coneguda per tot el personal i col·laboradors. |
| Responsable de seguretat | CONEIX ha designat un Responsable de Seguretat de la Informació, encarregat de coordinar i supervisar les polítiques, normatives i procediments de seguretat. Les seves responsabilitats inclouen la verificació del compliment d’aquestes polítiques, l’avaluació dels riscos per a la seguretat de la informació, la determinació de les mesures tècniques i organitzatives necessàries per mitigar els riscos i la supervisió del rendiment dels controls implantats. |
| Rols i responsabilitats en matèria de seguretat de la informació i protecció de la privacitat | Els rols i responsabilitats en matèria de seguretat de la informació i protecció de la privacitat estan definits i assignats adequadament dins de l’organització. El personal de CONEIX que gestiona els serveis que contenen dades del client està subjecte a obligacions de confidencialitat i a la normativa de seguretat de la informació i protecció de dades personals. |
| Programa de gestió de riscos | En el marc del Sistema de Gestió de la Seguretat de la Informació, existeix un pla d’avaluació i tractament dels riscos de seguretat de la informació que es revisa periòdicament. |
| Avaluació continuada | CONEIX duu a terme una verificació i avaluació periòdica de l’eficàcia de les mesures tècniques i organitzatives implantades per protegir la seguretat de la informació en els sistemes de tractament, els centres de treball i els usuaris que els utilitzen. Aquesta avaluació i revisió es realitza segons els criteris dels estàndards de seguretat de la indústria i les pròpies polítiques i procediments determinats pel Sistema de Gestió de la Seguretat de la Informació. |
| Política de seguretat i privacitat de proveïdors | Existeix un procés formal que permet valorar el compliment dels requisits de seguretat de la informació i protecció de la privacitat que han de complir els proveïdors que tracten informació i dades personals. Només es dona accés a la informació als proveïdors quan hi hagi una necessitat legítima que justifiqui aquest accés. |
| PERSONAL I COL·LABORADORS |
| Responsabilitats | Així mateix, tot el personal de CONEIX s’ha compromès a complir i fer complir les polítiques i normatives de seguretat de la informació de l’empresa. |
| Compromís de confidencialitat | Tot el personal i col·laboradors de CONEIX signen un document de caràcter contractual mitjançant el qual s’obliguen a guardar secret i garantir la confidencialitat i seguretat respecte als dades als quals podrien tenir accés per raons de la seva responsabilitat laboral, contractual o de qualsevol altre tipus. Es considerarà informació confidencial qualsevol informació (comercial, tècnica, administrativa o altres) de CONEIX i els seus clients, sobre els seus assumptes comercials, tecnologia, maquinària, processos, productes, plànols, instal·lacions i dependències, que abans de ser rebuda pel treballador o treballadora no estigués en el seu coneixement o poder sense l’obligació de confidencialitat. |
| Normativa interna de seguretat de la informació | Existeix una normativa de seguretat de la informació, protecció de dades personals i ús dels mitjans informàtics que tot el personal i col·laboradors s’han compromès a complir. Aquest document inclou l’advertència que l’incompliment d’aquestes obligacions constitueix una falta greu d’indisciplina o desobediència en el treball i, per tant, serà sancionable. |
| Formació i concienciació | Tot el personal de CONEIX rep una formació adequada pel que fa a la seguretat de la informació i la protecció de les dades personals. Així mateix, periòdicament es realitzen activitats i accions de conscienciació adreçades a tot el personal. |
| Normes d’ús dels sistemes d’informació | La normativa de seguretat de la informació estableix les normes d’ús acceptable dels sistemes d’informació i equips que el personal té a la seva càrrec. |
| Normes d’ús personal dels equips corporatius | Es permet l’ús per a fins particulars d’aquells ordinadors i dispositius proporcionats per Coneix, fent un ús responsable i segur dels mateixos, complint amb la política de protecció de dades. |
| SEGURETAT EN EL LLOC DE TREBALL |
| Equips desatesos | Quan un equip quedi desatès, s’ha de procedir al bloqueig de la pantalla o al tancament de la sessió. |
| Informació al núvol | CONEIX tracta tota la informació mitjançant serveis al núvol, per la qual cosa no es guarda informació sensible als equips de treball. Si es descarrega en un equip local per a la seva revisió, s’ha de borrar un cop ja no sigui necessari. |
| Teletreball segur | S’ha establert una política perquè el teletreball es pugui realitzar de manera segura. |
| Custòdia de documentació | S’ha establert una normativa perquè en cap moment quedi documentació en paper o suports d’informació sense custòdia al lloc de treball. |
| Seguridad en els dispositius mòbils | Es permet l’ús per a fins particulars dels dispositius mòbils proporcionats per Coneix, fent un ús responsable i segur dels mateixos, complint amb la política de protecció de dades. |
| ACCÉS ALS SISTEMES |
| Política de control d’accessos | CONEIX manté una política de control d’accés que determina els privilegis de seguretat de les persones que tenen accés a la informació sota el principi de mínim privilegi. |
| Autorització d’accés | Existeix un procés formal per gestionar l’autorització, alta, baixa i modificació d’accessos dels usuaris als sistemes. |
| Comptes individuals | Cada persona utilitza un compte d’usuari individual i intransferible |
| Mínim privilegi | CONEIX ha definit i aplica una política de mínim accés per defecte, que garanteix que el personal i col·laboradors només tenen accés a la informació que necessiten per a dur a terme les tasques del seu lloc de treball. |
| Comptes amb accés privilegiat | Per a realitzar tasques d’administració i configuració dels sistemes, s’utilitzen comptes d’accés nominales amb drets privilegiats que són diferents i segregades de les comptes d’ús ordinari dels sistemes. |
| Autentificació | CONEIX utilitza pràctiques estàndards del sector per identificar i autenticar els usuaris que intenten accedir als sistemes d’informació. Per accedir a aquelles xarxes més exposades o per a l’administració dels sistemes, s’utilitzen sistemes de doble factor d’autenticació i/o VPNs. Tots els sistemes inclouen controls per evitar els intents reiterats d’aconseguir accés als sistemes d’informació mitjançant una contrasenya no vàlida. |
| Seguretat de les contrassenyes | Coneix ha definit una política de contrasenyes per a l’accés al sistema i les aplicacions que compleixen com a mínim el següent: Longitud de la contrasenya: mínim 8 caràcters, requisits de complexitat de les contrasenyes, caducitat de la contrasenya, doble autenticació mitjançant codi per correu en el primer intent (30 dies), doble autenticació per certificat RSA i contrasenya en connexió SSH, accés extern a base de dades mitjançant connexió VPN i amb certificat i contrasenya. |
| Confidencialitat de les contrassenyes | Existeix una normativa per assegurar la confidencialitat de les contrasenyes, evitant que quedin exposades o siguin compartides amb tercers. Internament, totes les contrasenyes es guarden aplicant algorismes de xifrat irreversible. |
| Registre d’accessos | Es manté i supervisa un registre dels accessos i intents d’accés als sistemes. |
| ACTIUS DE TRACTAMENT DE LA INFORMACIÓ |
| Inventari d’actius | Es disposa d’un inventari dels sistemes i equips utilitzats en el tractament de la informació, amb la informació de la persona que és responsable d’aquest equip. |
| Descarte i reutilització segura | S’han definit processos formals per al descartament i/o reutilització segura dels equips de tractament de la informació. |
| Manteniment dels equips | Els sistemes i equips utilitzats per al tractament de la informació estan degudament mantinguts i actualitzats. |
| Protecció contra malware | Els equips en què s’emmagatzema informació disposen de protecció d’accés. La informació queda emmagatzemada amb els permisos necessaris, evitant que es pugui llegir/editar/executar per usuaris no autoritzats. |
| Actualització del software | Tot el programari que s’utilitza per al tractament de la informació està degudament actualitzat i sense vulnerabilitats greus conegudes. |
| Enduriment dels sistemes | La infraestructura està protegida amb les garanties proporcionades pel proveïdor del centre de dades, OVH i HETZNER, que disposen de certificació ISO27001. |
| Instal·lació de programari per part dels usuaris | No existeix una normativa o mesures tècniques per impedir que el personal pugui instal·lar el programari que consideri necessari als seus equips de treball. L’usuari farà un ús responsable i segur del seu equip. |
| Limitació de privilegis d’administració | No s’han implantat mesures tècniques perquè els usuaris no puguin modificar o desactivar les configuracions de seguretat dels equips que creguin necessàries. L’usuari farà un ús responsable i segur del seu equip. |
| SEGURETAT DE XARXA |
| Protecció i segregació de xarxes | La infraestructura està protegida amb les garanties proporcionades pel proveïdor del centre de dades, OVH i HETZNER, que disposen de certificació ISO27001. |
| Arquitectura | La infraestructura de l’aplicació proporcionada per CONEIX està allotjada al centre de dades d’OVH i HETZNER, on s’allotgen els servidors. Aquests centres de dades disposen de certificació ISO27001. Els dades tenen redundància ja que existeix una rèplica de les dades allotjades entre OVH i HETZNER. |
| Seguridad perimetral a la xarxa | La infraestructura està protegida amb les garanties proporcionades pel proveïdor del centre de dades, OVH i HETZNER, que disposen de certificació ISO27001. |
| Protocols segurs de transmissió de la informació | Tot el tràfic a les xarxes de l’organització està xifrat mitjançant protocols segurs i sense vulnerabilitats greus conegudes (per exemple, mínim TLS 1.2). |
| Gestió d’alertes de seguretat i detecció i prevenció d’intrusions | El nostre sistema de supervisió controla registres d’activitat a la xarxa de servidors. El sistema envia alertes sobre esdeveniments indeguts. |
| Mitigació DDoS | CONEIX monitoritza el tràfic de xarxa en temps real per inspeccionar el tràfic. Per realitzar la mitigació automàtica de la majoria de les tècniques DDoS, els firewalls dels nostres proveïdors, OVH i HETZNER, protegeixen contra tots els atacs d’infraestructura coneguts. |
| OPERACIONS DE SEGURETAT |
| Accés lògic | CONEIX utilitza una arquitectura de seguretat basada en usuaris i perfils i requereix que els usuaris s’identifiquin i autentiquin abans d’accedir a qualsevol recurs del sistema, amb privilegis d’accés específics per usuari i perfil. Els recursos de producció i totes les accions administratives es registren i s’emmagatzemen durant almenys 2 anys amb proteccions específiques i còpies de seguretat per evitar que es modifiquin els registres d’auditoria. Tots els recursos de producció es gestionen en el sistema d’inventari d’actius. |
| Supervisió i gestió de la capacitat | CONEIX ha implantat un procés de supervisió dels sistemes i gestió de la capacitat, per monitoritzar de forma contínua el rendiment dels sistemes, supervisar l’ús dels recursos i ajustar la utilització dels recursos, així com realitzar projeccions dels requisits futurs de capacitat, per garantir el rendiment requerit dels sistemes. |
| Resposta a incidents de seguretat | En cas d’una alerta del sistema, els esdeveniments s’escalen al nostre equip de TI. Així mateix, els clients tenen a la seva disposició el sistema de tiquets, el telèfon d’atenció al client i el correu proposta@coneix.com per donar resposta a qualsevol incident que puguin detectar. |
| Gestió de canvis | CONEIX disposa d’un procediment de gestió de canvis mitjançant el qual es preveu que qualsevol canvi no pugui afectar a la seguretat de la informació i els serveis. En cas que el canvi pugui afectar al servei, el procediment contempla l’obligació d’informar als clients prèviament sobre els canvis, proporcionant informació suficient perquè el client pugui valorar l’impacte, i es proporciona informació sobre la planificació del canvi i possibles alteracions en la disponibilitat del servei. |
| Registres d’auditoria | Es recullen, conserven i revisen els registres d’auditoria de les operacions realitzades sobre les dades (accés, modificació i eliminació). |
| CIFRATGE DE LES DADES |
| Cifratge de dades en trànsit | Tota la informació en trànsit es transmet sempre de forma segura dins de les possibilitats i tenint en compte els requisits específics de cada client. Els protocols de serveis exposats directament a Internet són HTTPS/SSH habilitant únicament les versions més recents i segures. Pel que fa als protocols, CONEIX realitza proves de penetració per assegurar-nos que els xifrats permesos no són vulnerables a atacs i aplicam les actualitzacions i configuracions de seguretat necessàries. Les comunicacions amb serveis de tercers per necessitats dels clients (integracions, webservices) es realitzen utilitzant HTTPS/SSH i/o VPN. |
| Cifratge en emmagatzematge | La informació emmagatzemada dels backups està encriptada |
| DISPONIBILITAT I CONTINUITAT |
| Disponibilitat | CONEIX realitza una supervisió contínua de la disponibilitat dels sistemes i serveis amb l’objectiu d’garantir el compliment dels objectius de disponibilitat del servei compromesos. |
| Redundàncies | La redundància està integrada en la infraestructura del sistema que suporta els serveis de producció per ajudar a garantir que no hi hagi un únic punt de fallada. En cas que falli un sistema primari, el maquinari redundant està configurat per ocupar el seu lloc. |
| Còpies de seguretat | Es realitzen còpies de seguretat de forma automatitzada. El procés d’execució de les còpies està supervisat i, en cas que es produeixi algun error en la realització de les còpies, el personal de sistemes intervindrà per determinar la causa arrel de l’error i reprendre l’execució de la còpia. Es realitza una còpia diària de la base de dades, del codi i dels documents dels clients. Es xifra i es guarda en una unitat FTP ubicada físicament en un altre punt que el servidor d’origen de les dades. A més, les còpies es fan arribar a un servidor a Sant Cugat del Vallès i a Google Drive. A la unitat de Google Drive és on es guarda l’històric (una còpia anual, una còpia mensual, una còpia setmanal i una còpia diària). Adicionalment, es fa una còpia de seguretat anual de les màquines virtuals (servidors). |
| Supervisió de les còpies de seguretat | Es supervisa de manera contínua l’execució correcta de les còpies de seguretat. Si es detecta qualsevol error o incidència durant el procés, el personal de sistemes intervé immediatament per identificar i resoldre el problema, garantint així la integritat i disponibilitat de les dades. |
| Proves de recuperació | Es realitzen proves periòdiques de recuperació i verificació de la informació continguda a les còpies de seguretat. Aquestes proves garanteixen que les còpies siguin vàlides i que les dades es puguin recuperar de manera eficaç en cas d’incidència o pèrdua de dades. |
| Pla de continuitat | S’ha elaborat i provat un Pla de Continuïtat per poder donar resposta en terminis i condicions adequades a aquells incidents que poguessin provocar una disrupció en els serveis contractats. Aquest pla inclou mesures per garantir la recuperació ràpida i eficient dels serveis afectats, assegurant la mínima interrupció en l’activitat i la continuïtat del servei per als clients. |
| Procediments de recuperació davant desastres | Es disposa de procediments específics de protecció i recuperació davant amenaces que comprometin la integritat de la informació, com ara els atacs per ransomware o fallades greus en la infraestructura tecnològica. Aquests procediments inclouen la implementació de mesures de seguretat proactives, com ara còpies de seguretat regulars, l’ús de sistemes de detecció d’intrusions, i la formació contínua del personal en seguretat per minimitzar els riscos i garantir una resposta ràpida davant de qualsevol incident. |
| SEGURETAT FÍSICA DELS ESPAIS DE TRACTAMENT |
| Control d’accés | Els nostres proveïdors han implantat controls d’accés físic a les dependències on es realitza el tractament de la informació per assegurar que únicament el personal autoritzat té l’accés permès. Aquests controls inclouen mesures com l’ús de sistemes de vigilància, tarjetes d’accés, i la supervisió contínua de les instal·lacions per garantir la seguretat física de les dades i evitar qualsevol accés no autoritzat. |
| Protecció contra amenaces externes i ambientals | Els nostres proveïdors han establert les mesures necessàries per protegir les persones, els equips i les instal·lacions essencials en cas de desastres naturals, atacs maliciosos o incidents, com ara incendis, inundacions, fuites d’aigua, fallades en l’aire condicionat, entre d’altres. Aquestes mesures inclouen plans de contingència, sistemes de protecció contra incendis, control de temperatura, protecció contra fuites d’aigua i altres protocols per garantir la continuïtat de les operacions i la seguretat de la informació. |
| Instal·lacions de subministrament | Els nostres proveïdors han establert les mesures necessàries per garantir la continuïtat del subministrament elèctric en aquelles instal·lacions essencials. Aquestes mesures inclouen la implementació de sistemes de proveïment d’energia de reserva, com generadors o font d’energia ininterrompuda (UPS), per assegurar que les operacions i el tractament de la informació no es vegin interromputs per fallades en el subministrament elèctric. |
| Seguretat dels centres de tractament de dades | Els serveis de CONEIX s’executen en servidors ubicats en centres de dades d’OVH i HETZNER, que disposen de certificacions ISO 27001. Com a resultat, els controls de seguretat física estan delegats en aquests proveïdors. Aquests centres de dades estan ubicats a la Unió Europea, complint amb les normatives de seguretat i protecció de dades establertes per la legislació de la UE. |
