Aseguramos la calidad y seguridad en nuestros productos y servicios

Política de Seguridad de la Información

El Grupo Media Interactiva dispone de la certificación ISO 27001 dentro de sus procesos y políticas de seguridad de la información.

Este proyecto estratégico se pone en marcha después de la obtención de la ISO 20000, y comprende un pack de normativas que aseguran un alto nivel de calidad y seguridad en los productos y servicios ofrecidos por el Grupo Media Interactiva.

¿Qué valor aporta la ISO 27001 a Media Interactiva?

Personal y accesos

  • Todo el equipamiento de trabajo para los empleados se compone de dispositivos portátiles con herramientas y políticas expresas de uso, acceso y mantenimiento. Tanto por motivo del trabajo en remoto como por la mejora de los accesos a la información, Media Interactiva dispone de procesos de encriptación de discos, imposibilidad de discos extraíbles, etc.
  • Seguridad del personal, tanto empleados como personal provisto por terceros: En el proceso de selección verificamos la información suministrada y aseguramos la confidencialidad. Nuestro equipo tiene identificado de forma clara su rol y funciones, y cuenta con procesos de revisión y seguimiento de desempeño.
  • Seguridad de acceso para clientes: Utilizamos una política de permisos y contraseñas robustas en las aplicaciones que conforman nuestros productos y servicios. Incluimos un mínimo de caracteres, que caracteres alfanuméricos y puntuación. Además, contamos con sistemas de acceso de doble factor con dispositivos móviles.
  • El uso de conexiones remotas para nuestro trabajo y para accesos a servicios productivos con una política fuerte de roles/permisos y con control por VPN.
  • Desvinculación, permisos, vacaciones o cambio de puesto de trabajo/función de los empleados y personal subcontratado: El responsable de Sistema de Gestión de Seguridad de la Información controla y verifica los procesos de cada cambio o permisos en el personal.
  • Control de acceso: Controles de la organización para restringir acceso a la información según el puesto y departamento. Además, tratamos el software permitido y contraseñas, tanto a nivel de usuario, de rol y permisos o categoría de la información como pública, privada o confidencial. Nuestras políticas de acceso incluyen el trato de información con clientes y partners.

Información

  • Gestión de activos de información: Cada activo de la información tiene un responsable, está inventariado y clasificado. Todos los departamentos han identificado los activos y tienen claro los riesgos que manejan, así como sus planes de mitigación.
  • Uso de periféricos y medios de almacenamiento: Está restringido el uso de dispositivos de almacenamiento. El borrado de ciertos datos también se encuentra bajo procesos críticos de la organización, disponiendo de políticas de identificación de filtración de información.
  • Criptografía: Controles existentes en la organización para cifrar los datos en caso de que fallen otros controles. Encriptamos el tráfico de información entre nuestras productos y servicios y practicamos mecanismos de ofuscación de información cuando ejecutamos información para el cliente.
  • Seguridad física y medioambiental: Control de las amenazas físicas externas e internas en las instalaciones del grupo, así como recomendaciones y política especial de teletrabajo.
  • Seguridad en las operaciones: Cómo y qué flujos usamos para nuestro trabajo diario, como hacemos las subidas y como garantizamos la seguridad de estas. Las revisiones de código, automatización de testeo de calidad, pruebas unitarias a procesos de firma y validación de clientes, las llevamos a cabo durante las etapas de construcción y entrega de nuestros productos y servicios. Aplicamos “Separation of duties”.
  • Seguridad en las comunicaciones: Disponemos de mecanismos para asegurar que los datos en tránsito son seguros. Nuestros entornos productivos están bajo el marco de certificados wildcard, y toda la comunicación se encuentra encriptada.
  • Seguridad en las integraciones de servicios: Nuestros mecanismos de SSO e integraciones de nuestra aplicación con las de clientes cumplen con los estándares de seguridad y conexión como el ejemplo de LTI.
  • Adquisición, desarrollo y mantenimiento de sistemas de información: Procesos de desarrollo y cómo hacemos para evaluar nuevos requerimientos y desarrollos. Practicamos buenas prácticas de cara a tener nuestros sistemas y frameworks de trabajo actualizados y con los riesgos sobre vulnerabilidades controlados.

Ciberseguridad

  • Realizamos una sesión de Pen Testing anual, tratando nuevos trabajos en modalidad White y Black box, para cubrir un espectro amplio de testeo. Nuestros informes y acciones están disponibles para los partners y clientes que lo soliciten, además de nuestra política de publicación de vulnerabilidades.
  • Incluimos el estándar de OWASP Top 10 en nuestros procesos de producción de software, y disponemos de mecanismos de identificación de ataques y alertas de tipo DDOS.
  • Relación con terceras partes: En nuestros contratos y convenio queda recogida las políticas, normas y procedimientos de seguridad de la información. No sólo lo cubrimos en el plano de la confidencialidad y la GDPR, con esta inclusión de la ISO 27001, la seguridad es otro capítulo importante en nuestra relación con proveedores y partners.
  • Infraestructura descentralizada: Toda nuestra infraestructura se encuentra bajo Microsoft Azure, aprovechando todas las políticas de seguridad y normativas de calidad que aplican bajo este proveedor.
  • Gestión de incidentes de seguridad: Contamos con un proceso interno para el registro y evaluación de los incidentes de seguridad. Nuestra intención es la de ser transparentes con clientes y notificar tanto en las incidencias como en las soluciones aplicadas.
  • Inclusión de seguridad de la información en la gestión de la continuidad del negocio: Plan de actuación ante una gran variedad de contingencias o eventos catastróficos. Esta política la usamos cuando se declaró el primer estado de Alarma por la COVID19.
  • A nivel de producto, disponemos de sistemas de monitoreo y trazabilidad de información disponibles 24/7.

Fecha de la última modificación 05/05/2022

 

   iso 27001