Política de Seguretat de la Informació

POLÍTICA DE SEGURETAT DE LA INFORMACIÓ D’UNIÓN DE MUTUAS

ABAST
Aquesta Política de seguretat de la informació i el seu desenvolupament, de conformitat amb els requisits mínims establits en l’Esquema Nacional de Seguretat, serà aplicable a tots els processos estratègics, operatius i de suport d’Unión de Mutuas, a tots els seus sistemes i tecnologies de la informació i de les comunicacions, i a tots els seus centres i persones treballadores. Tot això de conformitat amb la declaració d’aplicabilitat del sistema de gestió de la seguretat de la informació sobre la base d’una valoració dels sistemes de nivell alt, seguint les directrius de l’Esquema Nacional de Seguretat, instruccions tècniques de seguretat i les seues guies d’ajuda a la implantació.

MISSIÓ I OBJECTIUS D’UNIÓN DE MUTUAS
Unión de Mutuas està formada per persones que ens ocupem de la salut laboral i de la gestió del pagament de prestacions econòmiques. Unión de Mutuas, mútua col·laboradora amb la Seguretat Social n. 267, és una associació d’empreses, sense ànim de lucre ni de captació d’empreses o autònoms, que col·laborem en la gestió de la Seguretat Social en la gestió integral de l’accident de treball i malaltia professional dels treballadors protegits, amb l’objectiu de millorar la seua salut mitjançant la prevenció i l’assistència sanitària. També gestionem el control i el pagament de les prestacions econòmiques de la contingència professional i de la incapacitat temporal derivada de contingència comuna, així com les prestacions de risc durant l’embaràs i la lactància natural, la cura de menors malalts de càncer o una altra malaltia greu i el cessament d’activitat dels treballadors autònoms.

El nostre treball es realitza sobre la base dels principis de bon govern, assegurant la transparència en la nostra gestió i d’acord amb els criteris d’un model de gestió de l’excel·lència basat en l’eficiència, el compromís amb les persones, la innovació i la sostenibilitat, per a oferir el millor servei a les empreses mutualistes i persones treballadores associades o adherides a Unión de Mutuas i satisfer les expectatives legítimes de tots els nostres grups d’interés.

MARC NORMATIU
Les funcions de les mútues col·laboradores amb la Seguretat Social queden subjectes a la normativa actual, que es troba establidaàmpliament en el mapa normatiu de l’entitat. S’inclouen com a principals les següents::

  • Reial decret legislatiu 8/2015, de 30 d’octubre, pel qual s’aprova el text refós de la Llei General de la Seguretat Social.
  • Reial decret 1993/1995, de 7 de desembre, pel qual s’aprova el Reglament sobre col·laboració de les Mútues d’Accidents de Treball i Malalties Professionals de la Seguretat Social.
  • Llei 31/1995, de 8 de novembre, de Prevenció de Riscos Laborals.
  • Resolució de 4 de maig de 2015, de la Secretaria d’Estat de la Seguretat Social, per la qual s’estableix el Pla general d’activitats preventives de la Seguretat Social, a aplicar per les mútues col·laboradores amb la Seguretat Social en la planificació de les seues activitats per a l’any 2015.
  • Reial decret 625/2014, de 18 de juliol, pel qual es regulen determinats aspectes de la gestió i control dels processos per incapacitat temporal en els primers tres-cents seixanta-cinc dies de la seua duració.
  • Reial decret 3/2010, de 8 de gener, pel qual es regula l’Esquema Nacional de Seguretat en l’àmbit de l’Administració Electrònica.
  • Llei 40/2015, d’1 d’octubre, de Règim Jurídic del Sector Públic.
  • Llei 39/2015, d’1 d’octubre, del Procediment Administratiu Comú de les Administracions Públiques.
  • Reglament General de Protecció de Dades, (Reglament UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades i pel qual es deroga la Directiva 95/46/CE).
  • Llei orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals.
  • Reial decret 1541/2011, de 31 d’octubre, pel qual es desenvolupa la Llei 32/2010, de 5 d’agost, per la qual s’estableix un sistema específic de protecció per cessament d’activitat dels treballadors autònoms.
  • Llei 32/2010, de 5 d’agost, per la qual s’estableix un sistema específic de protecció per cessament d’activitat dels treballadors autònoms (BOE 06/08/2010).
  • Reial decret legislatiu 2/2015, de 23 d’octubre, pel qual s’aprova el text refós de la Llei de l’Estatut dels Treballadors.
  • Reial decret llei 14/2019, de 31 d’octubre, pel qual s’adopten mesures urgents per raons de seguretat pública en matèria d’administració digital, contractació del sector públic i telecomunicacions.
  • Llei 41/2002, de 14 de novembre, bàsica reguladora de l’autonomia del pacient i de drets i obligacions en matèria d’informació i documentació clínica.
  • Reial decret 1299/2006, de 10 de novembre pel qual s’aprova el quadre de malalties professionals en el Sistema de Seguretat Social i s’estableixen criteris per a la seua notificació i registre.
  • Resolució de 26 de novembre de 2002, que regula la utilització del Sistema de Declaració Electrònica d’Accidents de Treball (Delta) que possibilita la transmissió per procediment electrònic dels nous models per a la notificació d’accidents de treball.
  • Ordre ESS/1187/2015, de 15 de juny, per la qual es desenvolupa el Reial decret 625/2014, de 18 de juliol, pel qual es regulen determinats aspectes de la gestió i control dels processos per incapacitat temporal en els primers tres-cents seixanta-cinc dies de la seua duració.
  • Ordre TAS/1/2007, de 2 de gener, per la qual s’estableix el model de part de malaltia professional, dicta normes per a la seua elaboració i crea el corresponent fitxer de dades personals.

ORGANITZACIÓ DE LA SEGURETAT
Unión de Mutuas té entre els seus objectius estratègics garantir la seguretat de la informació i la continuïtat del servei, analitzant el context d’exposició (intern i extern), actuant preventivament, supervisant l’activitat diària, reaccionant amb celeritat als incidents, i disposant dels recursos necessaris per a analitzar, avaluar i tractar els riscos als quals estan exposats els actius de l’organització que afecten la seguretat de la informació en totes les seues dimensions (disponibilitat, integritat, confidencialitat, traçabilitat i autenticitat). La protecció enfront de qualsevol amenaça identificada requereix la implantació d’una sèrie de mesures de seguretat que han d’establir-se d’acord amb a la legislació vigent en matèria de protecció de dades, el resultat de l’anàlisi de riscos de l’entitat i les pròpies mesures de l’Esquema Nacional de Seguretat.

Unión de Mutuas considera estratègic per a l’entitat que els processos integren la seguretat de la informació com a part del seu cicle de vida. Els sistemes d’informació i els serveis han d’incloure la seguretat per defecte des de la seua creació fins a la seua retirada, incloent-se la seguretat en les decisions de esenvolupament i adquisició de serveis o productes, i en totes les operacions de l’activitat diària. La seguretat s’estableix com un procés integral i gestionat, on no hi tenen cabuda actuacions col·laterals o aïllades.

DETECCIÓ, PREVENCIÓ, RESPOSTA I RECUPERACIÓ
En Unión de Mutuas s’han implementat amb caràcter preventiu totes aquelles mesures de seguretat derivades del compliment normatiu en protecció de dades, els controls de la norma de gestió ISO 27001 i les mesures contemplades en l’Esquema Nacional de Seguretat, segons la valoració dels sistemes. Addicionalment, s’implementaran totes aquelles mesures de seguretat necessàries per a donar cobertura a la detecció d’amenaces i gestió dels riscos. Aquestes mesures de seguretat es revisen i reavaluen periòdicament de conformitat amb l’article 9 de l’Esquema Nacional de Seguretat.

Per a garantir el compliment d’aquesta política, Unión de Mutuas realitza, a més, una gestió del canvi en l’operativa i configuració dels sistemes, requerint autorització prèvia abans de la seua posada en explotació.

L’organització ha implementat els controls necessaris per a:

  • monitorar els sistemes que donen suport als serveis de manera que es puga obtindre una detecció precoç dels incidents de seguretat,
  • donar resposta de manera eficaç als incidents de seguretat detectats establint protocols de comunicació amb els agents implicats
  • i aportar continuïtat als serveis dins el Pla de contingències i continuïtat de servei de l’entitat.

Unión de Mutuas realitza una revisió periòdica de la correcta adequació a l’ENS per part de tercers amb la finalitat d’obtindre una avaluació independent.

DESENVOLUPAMENT DE LA POLÍTICA DE SEGURETAT DE LA INFORMACIÓ
Aquesta política de seguretat es complementa amb la Política de privacitat i protecció de dades de caràcter personal, la Política d’Unión de Mutuas i els requisits de certificació de normes de gestió de l’entitat.

Aquest text es desenvoluparà per mitjà d’una normativa de seguretat que afronte aspectes específics. La normativa de seguretat estarà a la disposició de tots els membres de l’organització que necessiten conéixer-la, en particular per a aquells que utilitzen, operen o administren els sistemes d’informació i comunicacions.

La normativa de seguretat estarà disponible en la intranet d’Unión de Mutuas, accessible dins el Catàleg de documents del Sistema de Gestió.

La present política es desenvolupa a més, aplicant els següents requisits mínims:

a) Organització i implantació del procés de seguretat.
b) Anàlisi i gestió dels riscos.
c) Gestió de personal.
d) Professionalitat.
e) Autorització i control dels accessos.
f) Protecció de les instal·lacions.
g) Adquisició de productes.
h) Seguretat per defecte.
i) Integritat i actualització del sistema.
j) Protecció de la informació emmagatzemada i en trànsit.
k) Prevenció davant altres sistemes d’informació interconnectats.
l) Registre d’activitat.
m) Incidents de seguretat.
n) Continuïtat de l’activitat.
o) Millora contínua del procés de seguretat.

Aquests requisits es troben descrits en la normativa i procediments de seguretat específics per a la implementació de les mesures d’aplicació de l’ENS i en els documents d’operativa i les normes d’aplicació que es poden trobar en el Catàleg de documents del Sistema de Gestió de l’entitat. Aquesta documentació es troba disponible a través de la intranet corporativa per a tot el personal, en coherència i de conformitat amb els requisits del Reglament General de Protecció de Dades (RGPD), de la Llei orgànica de Protecció de Dades de caràcter personal i garantia dels drets digitals (LOPDGDD) i de les normes de gestió en les que l’entitat està certificada.

ORGANITZACIÓ DE LA SEGURETAT: FUNCIONS I RESPONSABILITATS
Unión de Mutuas, de conformitat amb la guia CCN-STIC 801, ha establit per al govern de la seguretat els següents blocs de funció diferenciada en matèria de seguretat:

  1. La responsabilitat legal i l’especificació de les necessitats o requisits, que correspon a la Direcció de l’entitat, als responsables del tractament, de la informació i del servei, i al Comité de Seguretat de la Informació.
  2. La supervisió, que correspon al responsable de la seguretat i al delegat de protecció de dades, en els seus respectius àmbits.
  3. L’operació del sistema d’informació, que correspon al responsable del sistema.

Responsable de la informació i del servei: Comité de Seguretat de la Informació
L’òrgan responsable de la seguretat de la informació i del servei serà el Comité de Seguretat de la Informació, que determinarà els requisits de la informació tractada en matèria de seguretat i sobre la base de l’establiment previ dels nivells de seguretat en cada dimensió dels sistemes. A més, com a responsable del servei, aquest comité determinarà els requisits dels serveis prestats i els seus nivells de seguretat.

El Comité de Seguretat de la Informació té com a objectiu realitzar una avaluació contínua de l’estat de la seguretat de la informació i l’eficàcia del sistema de gestió de la seguretat de la informació implantat en l’organització, derivat aquest del compliment de l’Esquema Nacional de Seguretat, la norma de gestió ISO 27001 i de la protecció de dades de caràcter personal segons la normativa vigent.

D’acord amb això, les responsabilitats del Comité de Seguretat de la Informació seran, entre d’altres, les que es defineixen àmpliament en el document de seguretat associat en el sistema de gestió de l’entitat, la coordinació de la seguretat de la informació en l’organització per a, entre altres aspectes,

– racionalitzar la implantació de les diferents mesures de seguretat requerides pel sistema i
– evitar disfuncions que permeten forats de seguretat en deixar al sistema amb punts febles on pogueren ocórrer accidents o es pogueren perpetrar atacs.

El Comité de Seguretat de la Informació està format per personal representant de:

– Estratègia i Gestió Directiva
– Gestió de la Contingència Professional
– Gestió de Recaptació i Prestació Econòmica
– Responsable de l’Administració dels Sistemes
– Responsable del sistema (SGSI)
– Gestió de Recursos Humans
– Gestió Jurídica
– Gestió de la Innovació i Millora
– Gestió d’Edificis i Instal·lacions
– Responsable de Seguretat
– Responsable de Contractació
– Responsable de Compliment i el
– Delegat de protecció de dades

Responsable de seguretat
La persona líder del Procés de Gestió de Sistemes d’Informació d’Unión de Mutuas és la responsable de seguretat d’acord amb els requisits de l’Esquema Nacional de Seguretat i determinarà les decisions per a satisfer els requisits de seguretat de la informació i dels serveis. Entre les tasques principals del responsable de seguretat es troben:

– Coordinar i controlar les mesures de seguretat aplicables i definides en els procediments d’aplicació.
– Controlar directament els mecanismes que permeten el registre d’accessos, no permetent la desactivació ni la manipulació d’aquests.
– Revisar, almenys una vegada al mes, la informació de control registrada i elaborar un informe de les revisions realitzades i els problemes detectats.
– Adoptar decisions per a satisfer els requisits de seguretat de la informació i dels serveis.
– Decidir sobre l’adquisició de productes i contractació de serveis relacionats amb la seguretat.
– Donar compliment als requisits mínims de seguretat aplicables a la categoria del sistema segons l’ENS i sense perjudici del compliment del que es disposa en el Reglament General de Protecció de Dades de Caràcter Personal.
– Formalitzar, aprovar formalment i signar el compliment de les mesures de seguretat de l’Annex II de l’ENS, incloses les compensatòries i la seua justificació, en un document que es denominarà Declaració d’aplicabilitat.
– Analitzar els informes d’auditoria de l’ENS i presentar les conclusions al responsable del sistema perquè adopte les mesures correctores adequades.
– Mantindre la seguretat de la informació gestionada i dels serveis prestats pels sistemes d’informació en el seu àmbit de responsabilitat, d’acord amb el que s’estableix en la present Política de seguretat de la informació.
– Promoure la formació i conscienciació en matèria de seguretat de la informació dins el seu àmbit de responsabilitat.

Responsable del sistema
La persona líder del Subproceso de Seguretat dels Sistemes d’Informació i Serveis, del Procés Gestió de Sistemes d’Informació d’Unión de Mutuas, és la responsable del sistema d’acord amb els requisits de l’Esquema Nacional de Seguretat i la Norma de Gestió ISO 27001 (responsable del Sistema de Gestió dels Sistemes d’Informació) i determinarà les decisions per a satisfer els requisits de seguretat de la informació i dels serveis.

Entre les tasques principals del responsable del sistema es troben:

– Rebre els informes d’auditoria i adoptar les mesures correctores adequades amb les conclusions aportades pel responsable de seguretat.
– En el cas dels sistemes de valoració alta, vist el dictamen d’auditoria, el responsable del sistema podrà acordar la retirada d’operació d’alguna informació, d’algun servei o del sistema íntegrament, durant el temps que estime prudent i fins a la satisfacció de les modificacions prescrites. (Aquesta decisió ha de ser acordada amb els responsables de la informació afectada, del servei afectat i del responsable de la seguretat, abans de ser executada).
– Desenvolupar, operar i mantindre el sistema d’informació durant tot el seu cicle de vida, de les seues especificacions, instal·lació i verificació del seu correcte funcionament.

Delegat de protecció de dades
Unión de Mutuas ha designat el seu delegat de protecció de dades perquè participe de manera adequada i en temps oportú en totes les qüestions relatives a la protecció de les dades de caràcter personal objecte de tractament.

Els interessats, pel que respecta a totes les qüestions relatives al tractament de les seues dades personals i a l’exercici dels seus drets a l’empara del Reglament General de Protecció de Dades i la Llei orgànica de Protecció de Dades Personals i garantia dels
drets digitals, podran posar-se en contacte amb el delegat de protecció de dades d’Unión de Mutuas a través del compte de correu: delegadoprotecciondatos@uniondemutuas.es.

El delegat de protecció de dades estarà obligat a mantindre el secret i la confidencialitat pel que fa a l’acompliment de les seues funcions, de conformitat amb el Dret de la Unió o dels Estats membres. El delegat de protecció de dades d’Unión de Mutuas actuarà com a punt de contacte de l’autoritat de control per a qüestions relatives al tractament de les dades de caràcter personal dels interessats, entre altres funcions establides en l’actual normativa.

Procediment de designació
Les designacions dels diferents rols de seguretat són aprovades per la Direcció Gerència d’Unión de Mutuas mitjançant l’aprovació dels respectius procediments que conformen el document de seguretat, on es troben ben definides les seues responsabilitats i càrrecs, i mitjançant la signatura de la present política. Aquestes designacions consten com a rols en les diferents descripcions de lloc de treball de les persones involucrades. Qualsevol canvi serà vist i aprovat prèviament pel Comité de Seguretat de la Informació.

GESTIÓ DE RISCOS
Tots els sistemes, serveis, persones i recursos en l’abast d’aquesta política hauran de ser objecte d’una anàlisi de riscos que es reavaluarà, almenys, una vegada a l’any o quan existisca algun canvi que afecte la informació o als serveis, o es detecten amenaces o vulnerabilitats. El pla d’anàlisi de riscos, la metodologia formal de revisió, els criteris d’avaluació d’aquests, les directrius per al seu tractament i el procés d’acceptació del risc residual, es troben desenvolupats i disponibles en el Catàleg de documents del Sistema de Gestió de l’entitat a través de la Intranet corporativa per a tot el personal. L’anàlisi de riscos serà la base per a determinar les mesures de seguretat que s’han d’adoptar, a més dels mínims establits per l’Esquema Nacional de Seguretat.

DADES DE CARÀCTER PERSONAL
Unión de Mutuas tracta categories especials de dades personals de conformitat amb l’art. 9 del RGPD. La licitud del tractament està basada en una obligació legal (art. 6. 1.c RGPD). L’adequació i compliment de conformitat amb els requisits del RGPD queda recollida documentalment en el Procediment de protecció de dades de caràcter personal, que forma part del Sistema de Gestió de l’entitat i es troba disponible mitjançant la intranet corporativa per a coneixement de tot el personal.

Unión de Mutuas posa a la disposició dels usuaris i interessats tota la informació relacionada amb els tractaments que realitza de dades de caràcter personal en la Política de privacitat i protecció de dades, disponible en la web corporativa.

OBLIGACIONS DEL PERSONAL
Tot el personal d’Unión de Mutuas ha de conéixer i complir aquesta Política de seguretat de la informació, la seua normativa de desenvolupament i procediments de seguretat, sent responsabilitat del Comité de Seguretat el disposar els mitjans necessaris perquè la informació arribe als afectats.

Les funcions i obligacions de totes les figures vistes en aquesta política es troben definides detalladament en la documentació del sistema de gestió relacionada.

FORMACIÓ I CONSCIENCIACIÓ
El personal d’Unión de Mutuas estarà sotmès a formació i conscienciació periòdica en matèria de seguretat de la informació i protecció de dades, sent d’especial importància el personal de nova incorporació, que rebrà informació específica en aquesta matèria com a part del seu acolliment.

També les persones amb responsabilitat en l’ús, operació o administració de sistemes de les tecnologies de la informació i les comunicacions rebran formació per al maneig segur dels sistemes en la mesura en què la necessiten per a fer el seu treball. La formació serà obligatòria abans d’assumir una responsabilitat, tant si és la seua primera assignació, com si es tracta d’un canvi de lloc de treball o de responsabilitats en aquest.

RESOLUCIÓ DE CONFLICTES
Sobre la resolució de conflictes entre els diferents responsables prevaldrà la decisió del responsable de seguretat, que haurà d’estar justificada davant el Comité de Seguretat de la Informació.

TERCERES PARTS
Quan Unión de Mutuas preste serveis a altres organismes o gestione informació d’altres organismes, els farà partícips d’aquesta Política de seguretat de la informació.

Quan Unión de Mutuas utilitze serveis de tercers o cedisca informació a tercers, els farà partícips d’aquesta política de seguretat i de la normativa de seguretat que concernisca a aquests serveis o informació. Aquesta tercera part haurà d’acceptar el quedar subjecta a les obligacions establides en aquesta normativa, podent desenvolupar els seus propis procediments operatius per a satisfer-la. Quan algun aspecte de la política no puga ser satisfet per una tercera part segons s’indica en els paràgrafs anteriors, es requerirà un informe del responsable de seguretat que precise els riscos en què s’incorre i la manera de tractar-los.

APROVACIÓ I ENTRADA EN VIGOR
La política de seguretat haurà de mantindre’s actualitzada permanentment per a adequar-la al progrés dels sistemes d’informació i serveis, a l’evolució tecnològica, al desenvolupament de la societat de la informació, així com als estàndards internacionals de seguretat.

La primera aprovació i entrada en vigor del present text va ser el 13 de juliol de 2017.

El Comitè de Seguretat de la Informació d’Unión de Mutuas revisarà regularment l’oportunitat, idoneïtat, completesa i precisió del que s’estableix en la política de seguretat.

El present text anul·la l’anterior aprovat i ratificat a l’abril de 2019 per la Direcció Gerència d’aquesta entitat.

 

Data d’última actualització: abril 2021.

 

Unión de Mutuas
Mútua col·laboradora amb la Seguretat Social núm. 267