Aseguramos la calidad y seguridad en nuestros productos y servicios

Política de Seguridad de la Información y Gestión de los Servicios

La dirección de Media Interactiva Solutions es la responsable de establecer los principios, normas, responsabilidades y requisitos generales de la organización, definiendo las políticas que deben regir su sistema de gestión y seguridad de la información, las cuales deberán:

  • Ser adecuadas al propósito de la organización y proporcionar un marco de referencia para establecer y revisar los objetivos del sistema de gestión.
  • Incluir el compromiso de cumplir con los requisitos aplicables a los servicios, incluyendo aquellos relativos a la seguridad de la información.
  • Incluir el compromiso de mejorar continuamente la eficacia del sistema y los servicios.
  • Asegurar un alto nivel de calidad y seguridad en los productos y servicios ofrecidos por el Grupo Media Interactiva.

Por este motivo, Media Interactiva manifiesta su firme compromiso con la calidad y la seguridad, considerando este como un proyecto estratégico de la compañía, aportando los recursos necesarios en la implantación, mantenimiento y mejora del sistema basándose en las normas UNE-ISO/IEC 20000-1 y UNE-ISO/IEC 27001: 2022.

Para cumplir con los objetivos propuestos, las políticas deberán ser revisadas, al menos, anualmente durante la revisión del sistema por la dirección y siempre que se produzcan cambios significativos, con objeto de valorar la necesidad de introducir cambios a fin de asegurar su idoneidad, adecuación y eficacia.

Para ello deberán tenerse en cuenta los resultados de las revisiones del sistema por la dirección y otros aspectos tales como, cambios del entorno, circunstancias del negocio, condiciones legales reglamentarios o contractuales, así como posibles oportunidades de mejora.

Media Interactiva aplica normas, políticas y procedimientos de obligado cumplimiento para proteger el acceso a los datos, la calidad de los servicios y permitir solo a las personas autorizadas considerando las tres dimensiones fundamentales en las que basamos la seguridad de la información (confidencialidad, integridad y la disponibilidad) y las cuatro dimensiones en las que basamos la gestión de la calidad de los servicios (procesos, personas, productos y proveedores).

Este proyecto estratégico de la compañía comprende un conjunto de normativas que se indican a continuación y que aporta valor a la organización, sus empleados, proveedores y clientes, procesos y productos en diferentes aspectos.

Personal y accesos

  • Todo el equipamiento de trabajo para los empleados se compone de dispositivos portátiles con herramientas y políticas expresas de uso, acceso y mantenimiento. Tanto por motivo del trabajo en remoto como por la mejora de los accesos a la información, Media Interactiva dispone de procesos de encriptación de discos, imposibilidad de discos extraíbles, etc.
  • Seguridad del personal, tanto empleados como personal provisto por terceros: en el proceso de selección verificamos la información suministrada y aseguramos la confidencialidad. Nuestro equipo tiene identificado de forma clara su rol y funciones, y cuenta con procesos de revisión y seguimiento de desempeño.
  • Seguridad de acceso para clientes: utilizamos una política de permisos y contraseñas robustas en las aplicaciones que conforman nuestros productos y servicios. Incluimos un mínimo de caracteres, que caracteres alfanuméricos y puntuación. Además, contamos con sistemas de acceso de doble factor con dispositivos móviles.
  • El uso de conexiones remotas para nuestro trabajo y para accesos a servicios productivos con una política fuerte de roles/permisos y con control por VPN.
  • Desvinculación, permisos, vacaciones o cambio de puesto de trabajo/función de los empleados y personal subcontratado: el responsable de sistema de gestión de seguridad de la información controla y verifica los procesos de cada cambio o permisos en el personal.
  • Control de acceso: controles de la organización para restringir acceso a la información según el puesto y departamento. Además, tratamos el software permitido y contraseñas, tanto a nivel de usuario, de rol y permisos o categoría de la información como pública, privada o confidencial. Nuestras políticas de acceso incluyen el trato de información con clientes y partners.

Información

  • Gestión de activos de información: cada activo de la información tiene un responsable, está inventariado y clasificado. Todos los departamentos han identificado los activos y tienen claro los riesgos que manejan, así como sus planes de mitigación.
  • Uso de periféricos y medios de almacenamiento: está restringido el uso de dispositivos de almacenamiento. El borrado de ciertos datos también se encuentra bajo procesos críticos de la organización, disponiendo de políticas de identificación de filtración de información.
  • Criptografía: controles existentes en la organización para cifrar los datos en caso de que fallen otros controles. Encriptamos el tráfico de información entre nuestras productos y servicios y practicamos mecanismos de ofuscación de información cuando ejecutamos información para el cliente.
  • Seguridad física y medioambiental: control de las amenazas físicas externas e internas en las instalaciones del grupo, así como recomendaciones y política especial de teletrabajo.
  • Seguridad en las operaciones: cómo y qué flujos usamos para nuestro trabajo diario, como hacemos las subidas y como garantizamos la seguridad de estas. Las revisiones de código, automatización de testeo de calidad, pruebas unitarias a procesos de firma y validación de clientes, las llevamos a cabo durante las etapas de construcción y entrega de nuestros productos y servicios. Aplicamos “separation of duties”.
  • Seguridad en las comunicaciones: disponemos de mecanismos para asegurar que los datos en tránsito son seguros. Nuestros entornos productivos están bajo el marco de certificados wildcard, y toda la comunicación se encuentra encriptada.
  • Seguridad en las integraciones de servicios: nuestros mecanismos de SSO e integraciones de nuestra aplicación con las de clientes cumplen con los estándares de seguridad y conexión como el ejemplo de lti.
  • Adquisición, desarrollo y mantenimiento de sistemas de información: procesos de desarrollo y cómo hacemos para evaluar nuevos requerimientos y desarrollos. Practicamos buenas prácticas de cara a tener nuestros sistemas y frameworks de trabajo actualizados y con los riesgos sobre vulnerabilidades controlados.

Ciberseguridad

  • Realizamos una sesión de pen testing anual, tratando nuevos trabajos en modalidad white y black box, para cubrir un espectro amplio de testeo. Nuestros informes y acciones están disponibles para los partners y clientes que lo soliciten, además de nuestra política de publicación de vulnerabilidades.
  • Incluimos las herramientas cloudflare y siem que cumplen con el estándar de owasp top 10 en nuestros procesos de producción de software, y que además disponen de mecanismos de identificación de ataques y alertas de tipo ddos.
  • Relación con terceras partes: en nuestros contratos y convenio queda recogida las políticas, normas y procedimientos de seguridad de la información. No sólo lo cubrimos en el plano de la confidencialidad y la GDPR, con esta inclusión de la ISO 27001, la seguridad es otro capítulo importante en nuestra relación con proveedores y partners.
  • Infraestructura descentralizada: toda nuestra infraestructura se encuentra bajo Microsoft Azure, aprovechando todas las políticas de seguridad y normativas de calidad que aplican bajo este proveedor.
  • Gestión de incidentes de seguridad: contamos con un proceso interno para el registro y evaluación de los incidentes de seguridad. Nuestra intención es la de ser transparentes con clientes y notificar tanto en las incidencias como en las soluciones aplicadas.
  • Inclusión de seguridad de la información en la gestión de la continuidad del negocio: plan de actuación ante una gran variedad de contingencias o eventos catastróficos.
  • A nivel de producto, disponemos de sistemas de monitoreo y trazabilidad de información disponibles 24/7.

Servicios

La familia de procedimientos del sistema de gestión está compuesta por las siguientes:

  • Procedimiento acogida y salida de recursos mi (internos y externos)
  • Procedimiento ausencias y presencia
  • Procedimiento desarrollo
  • Procedimiento PRL
  • Procedimiento selección
  • Procedimiento evaluación desempeño
  • Procedimiento de solicitud compras
  • Procedimiento de solicitud viajes
  • Procedimiento aprobación de proyectos y control costes
  • Procedimiento gestión presupuestos generales
  • Procedimiento control de documentos y registros
  • Procedimiento de gestión de auditorías internas
  • Procedimiento de gestión de mejora continua
  • Procedimiento de gestión de proveedores
  • Procedimiento de peticiones de negocio
  • Procedimiento de gestión del nivel de servicios b2c
  • Procedimiento de gestión de relaciones con el negocio
  • Procedimiento de peticiones de negocio
  • Procedimiento de gestión de la continuidad y disponibilidad
  • Procedimiento de gestión de la capacidad
  • Procedimiento de seguridad de la información
  • Procedimiento de seguridad en la operativa
  • Procedimiento en seguridad de las telecomunicaciones
  • Procedimiento en gestión de incidencias y peticiones de clientes
  • Procedimiento en gestión de la configuración
  • Procedimiento en gestión del cambio
  • Procedimiento en gestión de la entrega
  • Política de uso aceptable
  • Procedimiento en gestión de activos
  • Política de procedimientos internos
  • Manual del sistema

Versión 1.0. Aprobada por dirección

Última actualización: 23/04/2024