Política de Seguretat de la Informació

POLÍTICA DE SEGURETAT DE LA INFORMACIÓ D’UNIÓ DE MÚTUES

ABAST
Aquesta Política de seguretat de la informació i el seu desenvolupament, de conformitat amb els requisits mínims establerts en l’Esquema Nacional de Seguretat, serà aplicable a tots els processos estratègics, operatius i de suport d’Unió de Mútues, a tots els seus sistemes i tecnologies de la informació i de les comunicacions, i a tots els seus centres i persones treballadores. Tot això de conformitat amb la declaració d’aplicabilitat del sistema de gestió de la seguretat de la informació sobre la base d’una valoració dels sistemes de nivell alt, seguint les directrius de l’Esquema Nacional de Seguretat, instruccions tècniques de seguretat i les seves guies d’ajuda a la implantació.

MISSIÓ I OBJECTIUS D’UNIÓ DE MÚTUES
Unió de Mútues està formada per persones que ens ocupem de la salut laboral i de la gestió del pagament de prestacions econòmiques. Unió de Mútues, mútua col·laboradora amb la Seguretat Social n. 267, és una associació d’empreses, sense ànim de lucre ni de captació d’empreses o autònoms, que col·laborem en la gestió de la Seguretat Social en la gestió integral de l’accident de treball i malaltia professional dels treballadors protegits, amb l’objectiu de millorar la seva salut mitjançant la prevenció i l’assistència sanitària. També gestionem el control i el pagament de les prestacions econòmiques de la contingència professional i de la incapacitat temporal derivada de contingència comuna, així com les prestacions de risc durant l’embaràs i la lactància natural, la cura de menors malalts de càncer o una altra malaltia greu i el cessament d’activitat dels treballadors autònoms.

El nostre treball es realitza sobre la base dels principis de bon govern, assegurant la transparència en la nostra gestió i d’acord amb els criteris d’un model de gestió de l’excel·lència basat en l’eficiència, el compromís amb les persones, la innovació i la sostenibilitat, per a oferir el millor servei a les empreses mutualistes i persones treballadores associades o adherides a Unió de Mútues i satisfer les expectatives legítimes de tots els nostres grups d’interès.

MARC NORMATIU
Les funcions de les mútues col·laboradores amb la Seguretat Social queden subjectes a la normativa actual, que es troba establerta àmpliament en el mapa normatiu de l’entitat. S’inclouen com a principals les següents:

  • Reial decret legislatiu 8/2015, de 30 d’octubre, pel qual s’aprova el text refós de la Llei General de la Seguretat Social.
  • Reial decret 1993/1995, de 7 de desembre, pel qual s’aprova el Reglament sobre col·laboració de les Mútues d’Accidents de Treball i Malalties Professionals de la Seguretat Social.
  • Llei 31/1995, de 8 de novembre, de Prevenció de Riscos Laborals.
  • Resolució de 4 de maig de 2015, de la Secretaria d’Estat de la Seguretat Social, per la qual s’estableix el Pla general d’activitats preventives de la Seguretat Social, a aplicar per les mútues col·laboradores amb la Seguretat Social en la planificació de les seves activitats per a l’any 2015.
  • Reial decret 625/2014, de 18 de juliol, pel qual es regulen determinats aspectes de la gestió i control dels processos per incapacitat temporal en els primers tres-cents seixanta-cinc dies de la seva durada.
  • Reial decret 3/2010, de 8 de gener, pel qual es regula l’Esquema Nacional de Seguretat en l’àmbit de l’Administració Electrònica.
  • Llei 40/2015, d’1 d’octubre, de Règim Jurídic del Sector Públic.
  • Llei 39/2015, d’1 d’octubre, del Procediment Administratiu Comú de les Administracions Públiques.
  • Reglament General de Protecció de Dades, (Reglament UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades i pel qual es deroga la Directiva 95/46/CE).
  • Llei orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals.
  • Reial decret 1541/2011, de 31 d’octubre, pel qual es desenvolupa la Llei 32/2010, de 5 d’agost, per la qual s’estableix un sistema específic de protecció per cessament d’activitat dels treballadors autònoms.
  • Llei 32/2010, de 5 d’agost, per la qual s’estableix un sistema específic de protecció per cessament d’activitat dels treballadors autònoms (BOE 06/08/2010).
  • Reial decret legislatiu 2/2015, de 23 d’octubre, pel qual s’aprova el text refós de la Llei de l’Estatut dels Treballadors.
  • Reial decret llei 14/2019, de 31 d’octubre, pel qual s’adopten mesures urgents per raons de seguretat pública en matèria d’administració digital, contractació del sector públic i telecomunicacions.
  • Llei 41/2002, de 14 de novembre, bàsica reguladora de l’autonomia del pacient i de drets i obligacions en matèria d’informació i documentació clínica.
  • Reial decret 1299/2006, de 10 de novembre pel qual s’aprova el quadre de malalties professionals en el Sistema de Seguretat Social i s’estableixen criteris per a la seva notificació i registre.
  • Resolució de 26 de novembre de 2002, que regula la utilització del Sistema de Declaració Electrònica d’Accidents de Treball (Delta) que possibilita la transmissió per procediment electrònic dels nous models per a la notificació d’accidents de treball.
  • Ordre ESS/1187/2015, de 15 de juny, per la qual es desenvolupa el Reial decret 625/2014, de 18 de juliol, pel qual es regulen determinats aspectes de la gestió i control dels processos per incapacitat temporal en els primers tres-cents seixanta-cinc dies de la seva durada.
  • Ordre TAS/1/2007, de 2 de gener, per la qual s’estableix el model de part de malaltia professional, dicta normes per a la seva elaboració i crea el corresponent fitxer de dades personals.

ORGANITZACIÓ DE LA SEGURETAT
Unió de Mútues té entre els seus objectius estratègics garantir la seguretat de la informació i la continuïtat del servei, analitzant el context d’exposició (intern i extern), actuant preventivament, supervisant l’activitat diària, reaccionant amb celeritat als incidents, i disposant dels recursos necessaris per a analitzar, avaluar i tractar els riscos als quals estan exposats els actius de l’organització que afecten la seguretat de la informació en totes les seves dimensions (disponibilitat, integritat, confidencialitat, traçabilitat i autenticitat). La protecció enfront de qualsevol amenaça identificada requereix la implantació d’una sèrie de mesures de seguretat que han d’establir-se d’acord amb a la legislació vigent en matèria de protecció de dades, el resultat de l’anàlisi de riscos de l’entitat i les pròpies mesures de l’Esquema Nacional de Seguretat.

Unió de Mútues considera estratègic per a l’entitat que els processos integren la seguretat de la informació com a part del seu cicle de vida. Els sistemes d’informació i els serveis han d’incloure la seguretat per defecte des de la seva creació fins a la seva retirada, incloent-se la seguretat en les decisions de desenvolupament i adquisició de serveis o productes, i en totes les operacions de l’activitat diària. La seguretat s’estableix com un procés integral i gestionat, on no hi tenen cabuda actuacions col·laterals o aïllades.

DETECCIÓ, PREVENCIÓ, RESPOSTA I RECUPERACIÓ
En Unió de Mútues s’han implementat amb caràcter preventiu totes aquelles mesures de seguretat derivades del compliment normatiu en protecció de dades, els controls de la norma de gestió ISO 27001 i les mesures contemplades en l’Esquema Nacional de Seguretat, segons la valoració dels sistemes. Addicionalment, s’implementaran totes aquelles mesures de seguretat necessàries per a donar cobertura a la detecció d’amenaces i gestió dels riscos. Aquestes mesures de seguretat es revisen i reavaluen periòdicament de conformitat amb l’article 9 de l’Esquema Nacional de Seguretat.

Per a garantir el compliment d’aquesta política, Unió de Mútues realitza, a més, una gestió del canvi en l’operativa i configuració dels sistemes, requerint autorització prèvia abans de la seva posada en explotació.

L’organització ha implementat els controls necessaris per a:

  • monitorar els sistemes que donen suport als serveis de manera que es pugui obtenir una detecció precoç dels incidents de seguretat,
  • donar resposta de manera eficaç als incidents de seguretat detectats establint protocols de comunicació amb els agents implicats
  • i aportar continuïtat als serveis dins el Pla de contingències i continuïtat de servei de l’entitat.

Unió de Mútues realitza una revisió periòdica de la correcta adequació a l’ENS per part de tercers amb la finalitat d’obtenir una avaluació independent.

DESENVOLUPAMENT DE LA POLÍTICA DE SEGURETAT DE LA INFORMACIÓ
Aquesta política de seguretat es complementa amb la Política de privacitat i protecció de dades de caràcter personal, la Política d’Unió de Mútues i els requisits de certificació de normes de gestió de l’entitat.

Aquest text es desenvoluparà per mitjà d’una normativa de seguretat que afronti aspectes específics. La normativa de seguretat estarà a la disposició de tots els membres de l’organització que necessitin conéixer-la, en particular per a aquells que utilitzin, operin o administrin els sistemes d’informació i comunicacions.

La normativa de seguretat estarà disponible en la intranet d’Unió de Mútues, accessible dins el Catàleg de documents del Sistema de Gestió.

La present política es desenvolupa a més, aplicant els següents requisits mínims:

a) Organització i implantació del procés de seguretat.
b) Anàlisi i gestió dels riscos.
c) Gestió de personal.
d) Professionalitat.
e) Autorització i control dels accessos.
f) Protecció de les instal·lacions.
g) Adquisició de productes.
h) Seguretat per defecte.
i) Integritat i actualització del sistema.
j) Protecció de la informació emmagatzemada i en trànsit.
k) Prevenció davant altres sistemes d’informació interconnectats.
l) Registre d’activitat.
m) Incidents de seguretat.
n) Continuïtat de l’activitat.
o) Millora contínua del procés de seguretat.

Aquests requisits es troben descrits en la normativa i procediments de seguretat específics per a la implementació de les mesures d’aplicació de l’ENS i en els documents d’operativa i les normes d’aplicació que es poden trobar en el Catàleg de documents del Sistema de Gestió de l’entitat. Aquesta documentació es troba disponible a través de la intranet corporativa per a tot el personal, en coherència i de conformitat amb els requisits del Reglament General de Protecció de Dades (RGPD), de la Llei orgànica de Protecció de Dades de caràcter personal i garantia dels drets digitals (LOPDGDD) i de les normes de gestió en les que l’entitat està certificada.

ORGANITZACIÓ DE LA SEGURETAT: FUNCIONS I RESPONSABILITATS
Unió de Mútues, de conformitat amb la guia CCN-STIC 801, ha establert per al govern de la seguretat els següents blocs de funció diferenciada en matèria de seguretat:

  1. La responsabilitat legal i l’especificació de les necessitats o requisits, que correspon a la Direcció de l’entitat, als responsables del tractament, de la informació i del servei, i al Comitè de Seguretat de la Informació.
  2. La supervisió, que correspon al responsable de la seguretat i al delegat de protecció de dades, en els seus respectius àmbits.
  3. L’operació del sistema d’informació, que correspon al responsable del sistema.

Responsable de la informació i del servei: Comitè de Seguretat de la Informació
L’òrgan responsable de la seguretat de la informació i del servei serà el Comitè de Seguretat de la Informació, que determinarà els requisits de la informació tractada en matèria de seguretat i sobre la base de l’establiment previ dels nivells de seguretat en cada dimensió dels sistemes. A més, com a responsable del servei, aquest comitè determinarà els requisits dels serveis prestats i els seus nivells de seguretat.

El Comitè de Seguretat de la Informació té com a objectiu realitzar una avaluació contínua de l’estat de la seguretat de la informació i l’eficàcia del sistema de gestió de la seguretat de la informació implantat en l’organització, derivat aquest del compliment de l’Esquema Nacional de Seguretat, la norma de gestió ISO 27001 i de la protecció de dades de caràcter personal segons la normativa vigent.

D’acord amb això, les responsabilitats del Comitè de Seguretat de la Informació seran, entre d’altres, les que es defineixen àmpliament en el document de seguretat associat en el sistema de gestió de l’entitat, la coordinació de la seguretat de la informació en l’organització per a, entre altres aspectes,

– racionalitzar la implantació de les diferents mesures de seguretat requerides pel sistema i
– evitar disfuncions que permetin forats de seguretat en deixar al sistema amb punts febles on poguessin ocórrer accidents o es poguessin perpetrar atacs.

El Comitè de Seguretat de la Informació està format per personal representant de:

– Estratègia i Gestió Directiva
– Gestió de la Contingència Professional
– Gestió de Recaptació i Prestació Econòmica
– Responsable de l’Administració dels Sistemes
– Responsable del sistema (SGSI)
– Gestió de Recursos Humans
– Gestió Jurídica
– Gestió de la Innovació i Millora
– Gestió d’Edificis i Instal·lacions
– Responsable de Seguretat
– Responsable de Contractació
– Responsable de Compliment i el
– Delegat de protecció de dades

Responsable de seguretat
La persona líder del Procés de Gestió de Sistemes d’Informació d’Unió de Mútues és la responsable de seguretat d’acord amb els requisits de l’Esquema Nacional de Seguretat i determinarà les decisions per a satisfer els requisits de seguretat de la informació i dels serveis. Entre les tasques principals del responsable de seguretat es troben:

– Coordinar i controlar les mesures de seguretat aplicables i definides en els procediments d’aplicació.
– Controlar directament els mecanismes que permeten el registre d’accessos, no permetent la desactivació ni la manipulació d’aquests.
– Revisar, almenys una vegada al mes, la informació de control registrada i elaborar un informe de les revisions realitzades i els problemes detectats.
– Adoptar decisions per a satisfer els requisits de seguretat de la informació i dels serveis.
– Decidir sobre l’adquisició de productes i contractació de serveis relacionats amb la seguretat.
– Donar compliment als requisits mínims de seguretat aplicables a la categoria del sistema segons l’ENS i sense perjudici del compliment del que es disposa en el Reglament General de Protecció de Dades de Caràcter Personal.
– Formalitzar, aprovar formalment i signar el compliment de les mesures de seguretat de l’Annex II de l’ENS, incloses les compensatòries i la seva justificació, en un document que es denominarà Declaració d’aplicabilitat.
– Analitzar els informes d’auditoria de l’ENS i presentar les conclusions al responsable del sistema perquè adopti les mesures correctores adequades.
– Mantenir la seguretat de la informació gestionada i dels serveis prestats pels sistemes d’informació en el seu àmbit de responsabilitat, d’acord amb el que s’estableix en la present Política de seguretat de la informació.
– Promoure la formació i conscienciació en matèria de seguretat de la informació dins el seu àmbit de responsabilitat.

Responsable del sistema
La persona líder del Subproceso de Seguretat dels Sistemes d’Informació i Serveis, del Procés Gestió de Sistemes d’Informació d’Unió de Mútues, és la responsable del sistema d’acord amb els requisits de l’Esquema Nacional de Seguretat i la Norma de Gestió ISO 27001 (responsable del Sistema de Gestió dels Sistemes d’Informació) i determinarà les decisions per a satisfer els requisits de seguretat de la informació i dels serveis.

Entre les tasques principals del responsable del sistema es troben:

– Rebre els informes d’auditoria i adoptar les mesures correctores adequades amb les conclusions aportades pel responsable de seguretat.
– En el cas dels sistemes de valoració alta, vist el dictamen d’auditoria, el responsable del sistema podrà acordar la retirada d’operació d’alguna informació, d’algun servei o del sistema íntegrament, durant el temps que estimi prudent i fins a la satisfacció de les modificacions prescrites. (Aquesta decisió ha de ser acordada amb els responsables de la informació afectada, del servei afectat i del responsable de la seguretat, abans de ser executada).
– Desenvolupar, operar i mantenir el sistema d’informació durant tot el seu cicle de vida, de les seves especificacions, instal·lació i verificació del seu correcte funcionament.

Delegat de protecció de dades
Unió de Mútues ha designat el seu delegat de protecció de dades perquè participi de manera adequada i en temps oportú en totes les qüestions relatives a la protecció de les dades de caràcter personal objecte de tractament.

Els interessats, pel que respecta a totes les qüestions relatives al tractament de les seves dades personals i a l’exercici dels seus drets a l’empara del Reglament General de Protecció de Dades i la Llei orgànica de Protecció de Dades Personals i garantia dels drets digitals, podran posar-se en contacte amb el delegat de protecció de dades d’Unió de Mútues a través del compte de correu: delegadoprotecciondatos@uniondemutuas.es.

El delegat de protecció de dades estarà obligat a mantenir el secret i la confidencialitat pel que fa a l’acompliment de les seves
funcions, de conformitat amb el Dret de la Unió o dels Estats membres. El delegat de protecció de dades d’Unió de Mútues actuarà com a punt de contacte de l’autoritat de control per a qüestions relatives al tractament de les dades de caràcter personal dels interessats, entre altres funcions establides en l’actual normativa.

Procediment de designació
Les designacions dels diferents rols de seguretat són aprovades per la Direcció Gerència d’Unió de Mútues mitjançant l’aprovació dels respectius procediments que conformen el document de seguretat, on es troben ben definides les seves responsabilitats i càrrecs, i mitjançant la signatura de la present política. Aquestes designacions consten com a rols en les diferents descripcions de lloc de treball de les persones involucrades. Qualsevol canvi serà vist i aprovat prèviament pel Comitè de Seguretat de la Informació.

GESTIÓ DE RISCOS
Tots els sistemes, serveis, persones i recursos en l’abast d’aquesta política hauran de ser objecte d’una anàlisi de riscos que es reavaluarà, almenys, una vegada a l’any o quan existeixi algun canvi que afecte la informació o als serveis, o es detecten amenaces o vulnerabilitats. El pla d’anàlisi de riscos, la metodologia formal de revisió, els criteris d’avaluació d’aquests, les directrius per al seu tractament i el procés d’acceptació del risc residual, es troben desenvolupats i disponibles en el Catàleg de documents del Sistema de Gestió de l’entitat a través de la Intranet corporativa per a tot el personal. L’anàlisi de riscos serà la base per a determinar les mesures de seguretat que s’han d’adoptar, a més dels mínims establerts per l’Esquema Nacional de Seguretat.

DADES DE CARÀCTER PERSONAL
Unió de Mútues tracta categories especials de dades personals de conformitat amb l’art. 9 del RGPD. La licitud del tractament està basada en una obligació legal (art. 6. 1.c RGPD). L’adequació i compliment de conformitat amb els requisits del RGPD queda recollida documentalment en el Procediment de protecció de dades de caràcter personal, que forma part del Sistema de Gestió de l’entitat i es troba disponible mitjançant la intranet corporativa per a coneixement de tot el personal.

Unió de Mútues posa a la disposició dels usuaris i interessats tota la informació relacionada amb els tractaments que realitza de dades de caràcter personal en la Política de privacitat i protecció de dades, disponible en la web corporativa.

OBLIGACIONS DEL PERSONAL
Tot el personal d’Unió de Mútues ha de conèixer i complir aquesta Política de seguretat de la informació, la seva normativa de desenvolupament i procediments de seguretat, sent responsabilitat del Comitè de Seguretat el disposar els mitjans necessaris perquè la informació arribi als afectats.

Les funcions i obligacions de totes les figures vistes en aquesta política es troben definides detalladament en la documentació del sistema de gestió relacionada.

FORMACIÓ I CONSCIENCIACIÓ
El personal d’Unió de Mútues estarà sotmès a formació i conscienciació periòdica en matèria de seguretat de la informació i protecció de dades, sent d’especial importància el personal de nova incorporació, que rebrà informació específica en aquesta matèria com a part del seu acolliment.

També les persones amb responsabilitat en l’ús, operació o administració de sistemes de les tecnologies de la informació i les comunicacions rebran formació per al maneig segur dels sistemes en la mesura en què la necessitin per a fer el seu treball. La formació serà obligatòria abans d’assumir una responsabilitat, tant si és la seva primera assignació, com si es tracta d’un canvi de lloc de treball o de responsabilitats en aquest.

RESOLUCIÓ DE CONFLICTES
Sobre la resolució de conflictes entre els diferents responsables prevaldrà la decisió del responsable de seguretat, que haurà d’estar justificada davant el Comitè de Seguretat de la Informació.

TERCERES PARTS
Quan Unió de Mútues presti serveis a altres organismes o gestioni informació d’altres organismes, els farà partícips d’aquesta Política de seguretat de la informació.

Quan Unió de Mútues utilitzi serveis de tercers o cedeixi informació a tercers, els farà partícips d’aquesta política de seguretat i de la normativa de seguretat que concerneixi a aquests serveis o informació. Aquesta tercera part haurà d’acceptar el quedar subjecta a les obligacions establertes en aquesta normativa, podent desenvolupar els seus propis procediments operatius per a satisfer-la. Quan algun aspecte de la política no pugui ser satisfet per una tercera part segons s’indica en els paràgrafs anteriors, es requerirà un informe del responsable de seguretat que precisi els riscos en què s’incorre i la manera de tractar-los.

APROVACIÓ I ENTRADA EN VIGOR
La política de seguretat haurà de mantenir-se actualitzada permanentment per a adequar-la al progrés dels sistemes d’informació i serveis, a l’evolució tecnològica, al desenvolupament de la societat de la informació, així com als estàndards internacionals de seguretat.

La primera aprovació i entrada en vigor del present text va ser el 13 de juliol de 2017.

El Comitè de Seguretat de la Informació d’Unió de Mútues revisarà regularment l’oportunitat, idoneïtat, completesa i precisió del que s’estableix en la política de seguretat.

El present text anul·la l’anterior aprovat i ratificat a l’abril de 2019 per la Direcció Gerència d’aquesta entitat.

 

 

Data d’última actualització: abril 2021.

 

Unió de Mútues
Mútua col·laboradora amb la Seguretat Social núm. 267