POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

1. Objetivo

FIVO AI, S.L. ha aprobado esta Política de Seguridad de la Información para definir los principios y directrices que garantizan la seguridad de la información que maneja, gestiona, trata y almacena, en términos de confidencialidad, autenticidad, trazabilidad, integridad, disponibilidad y conservación.

Su objetivo es reforzar el compromiso de FIVO AI con empleados, empresas y clientes mediante la mejora continua del servicio, el cumplimiento de la legislación aplicable, la mejora de los procesos internos y la protección de la información en todas las fases de su ciclo de vida: generación, distribución, almacenamiento, procesamiento, transporte, consulta y destrucción.

2. Política y Objetivos de Seguridad de la Información

Para garantizar un marco global de seguridad, FIVO AI adopta medidas para prevenir, detectar, reaccionar y recuperarse frente a posibles incidentes que puedan afectar a la información gestionada por la plataforma. Los objetivos de seguridad establecidos son los siguientes:

  • Confidencialidad: asegurar que la información sensible —incluidas reuniones, audios y transcripciones— solo sea accesible por personal autorizado.
  • Integridad: proteger los datos y las transcripciones contra alteraciones, modificaciones o destrucciones no autorizadas, mediante control de versiones y registro de cambios.
  • Disponibilidad: garantizar que sistemas, redes y datos estén accesibles cuando los usuarios autorizados los necesiten, con backups y plan de continuidad.
  • Cumplimiento normativo: cumplir con las regulaciones nacionales e internacionales aplicables (RGPD, ISO 27001:2022, LOPDGDD, SOC 2 Tipo II).
  • Prevención y respuesta a amenazas: madurar los procedimientos para actuar ante ataques informáticos y amenazas internas.
  • Gestión del riesgo y continuidad: minimizar los riesgos operativos mediante evaluación constante y asegurar el funcionamiento incluso ante incidentes.
  • Cultura de seguridad: fomentar buenas prácticas de protección de datos en todo el personal, con formación periódica.
  • Protección de datos personales: cumplir con el RGPD y la LOPDGDD mediante minimización, eliminación segura y control de retención de datos.
  • Transmisión segura: cifrar las comunicaciones (HTTPS, VPN cuando aplique) y emplear plataformas seguras de intercambio.
  • Control de accesos: garantizar que solo personas autorizadas accedan, mediante autenticación fuerte (MFA), gestión de identidades y revocación oportuna de accesos.
  • Protección de entornos remotos: asegurar los dispositivos de trabajo con antivirus/EDR, discos cifrados y redes seguras.
  • Gestión continua del riesgo: identificar, evaluar y tratar los riesgos de seguridad de forma continua.
  • Detección y respuesta a incidentes: registrar incidentes y aplicar procedimientos de respuesta rápidos ante accesos indebidos, filtraciones o errores.

Estos objetivos son medibles y revisables. Algunos compromisos concretos:

  • El 100 % de los accesos a sistemas críticos exigen autenticación multifactor (MFA).
  • Reducir a 0 los incidentes de fuga de información provocados por errores humanos.
  • Eliminar los datos de clientes en un plazo máximo de 90 días tras la finalización del servicio.

3. Marco regulatorio

Esta Política se enmarca en la legislación y normativa vigente sobre tratamiento de la información y seguridad. Se basa en los siguientes estándares de referencia:

  • ISO 27001:2022 — Sistemas de gestión de la seguridad de la información (requisitos).
  • ISO 27002:2022 — Código de prácticas para la gestión de la seguridad de la información.
  • ISO 42001 — Gestión de la inteligencia artificial.
  • Reglamento (UE) 2016/679 (RGPD) — Protección de las personas físicas en el tratamiento de datos personales.
  • Ley Orgánica 3/2018 (LOPDGDD) — Protección de Datos Personales y garantía de los derechos digitales.

FIVO AI alinea su Sistema de Gestión de Seguridad de la Información (SGSI) al cumplimiento de la ISO 27001:2022 y la ISO 27002:2022.

4. Organización de la Seguridad de la Información

La seguridad de los activos de información es responsabilidad de todos los departamentos de FIVO AI y de cada persona que interactúa con ellos. La Dirección designa los puestos y personas que ejercen las funciones de seguridad, en particular la figura del Responsable de Seguridad de la Información (CISO):

  • Establece los requisitos de seguridad y vela por el uso correcto y la protección de la información.
  • Puede designar a personas competentes para ejercer las funciones operativas de seguridad.
  • Adopta las decisiones necesarias para satisfacer los requisitos de seguridad y verifica que las medidas implantadas sean adecuadas.
  • Promueve revisiones periódicas, formación y concienciación dentro de la organización.

5. Principios básicos de Seguridad de la Información

FIVO AI sustenta sus actividades de seguridad en los siguientes principios fundamentales:

  • Seguridad como proceso integral: incluye los elementos humanos, materiales, técnicos, jurídicos y organizativos relacionados con los activos de información.
  • Seguridad por defecto y desde el diseño: presente en todas las fases del ciclo de vida de los sistemas de información.
  • Proporcionalidad: las medidas son equilibradas según el riesgo, la criticidad y el valor de la información y los servicios.
  • Cumplimiento legal y contractual: respeto de los requisitos legales y contractuales aplicables a la información y a los sistemas.
  • Gestión basada en riesgos: actividad continua y permanentemente actualizada que minimiza los riesgos a niveles aceptables.
  • Prevención, detección, respuesta y recuperación: medidas para reducir el impacto de las amenazas y reaccionar en tiempo y forma.
  • Líneas de defensa: múltiples capas organizativas, físicas y lógicas para que el compromiso de una capa no comprometa el sistema entero.
  • Vigilancia continua y reevaluación periódica: detección de actividades anómalas y actualización periódica de las medidas aplicadas.
  • Diferenciación de responsabilidades: separación entre el propietario del activo, el responsable de la seguridad y el responsable del sistema.
  • Concienciación y formación: todo usuario y administrador debe estar capacitado para el buen uso de los sistemas de información.
  • Secreto profesional: deber de confidencialidad incluso después de finalizar las actividades relacionadas con FIVO AI.

6. Requisitos mínimos de Seguridad de la Información

FIVO AI se compromete a cumplir con los siguientes requisitos mínimos de seguridad:

  • Organización del proceso de seguridad: identificación inequívoca del CISO y del Responsable del Sistema, con responsabilidades claras, segregación de funciones y comunicación a toda la organización.
  • Control de activos: los activos de información se inventarían y categorizan según sus características y nivel de seguridad requerido; las medidas aplicadas atienden a su categorización.
  • Análisis y gestión de riesgos: proceso continuo conforme a ISO 27001:2022, repetido al menos anualmente y siempre que cambie la información gestionada o se produzca un incidente grave.
  • Gestión del personal: todo el personal interno y externo recibe formación e información sobre sus deberes y responsabilidades en materia de seguridad de la información.
  • Profesionalidad: la seguridad de los sistemas es implantada, atendida, revisada y auditada por personal cualificado en todas las fases del ciclo de vida.
  • Autorización y control de accesos: el acceso a los activos se limita a usuarios, procesos y dispositivos debidamente autorizados; el acceso a información de clientes está segregado.
  • Adquisición de productos y servicios: se seleccionan productos y servicios con funcionalidad de seguridad certificada o que cumplan criterios de calidad preestablecidos.
  • Mínimo privilegio: los sistemas se diseñan y configuran para ofrecer únicamente las funcionalidades imprescindibles, especialmente restrictivos en administración y monitorización.
  • Integridad y actualización de los sistemas: el desarrollo y mantenimiento incorporan especificaciones de seguridad y procesos formales de gestión del cambio, configuración y actualización.
  • Protección de la información almacenada y en tránsito: se aplican medidas en equipos portátiles, dispositivos móviles, periféricos, soportes de almacenamiento y comunicaciones sobre redes abiertas.
  • Prevención frente a sistemas interconectados: se analizan las interconexiones con sistemas externos, especialmente a través de redes públicas, y se mitigan los riesgos correspondientes.
  • Registro de actividad y detección de código dañino: se registra la actividad de los usuarios y se mantienen accesos unipersonales siempre que sea posible, para investigar y gestionar situaciones ilícitas o de riesgo.
  • Gestión de incidentes y brechas de datos personales: se aplican procedimientos integrales conforme a ISO 27001:2022 y al RGPD, incluyendo notificación a CSIRT, autoridades de control y usuarios afectados cuando corresponda.
  • Continuidad de la actividad: se implantan medidas de recuperación y planes para garantizar la continuidad de las operaciones ante eventos disruptivos.
  • Auditoría y mejora continua: los sistemas de información son objeto de auditoría regular ordinaria al menos anual, y de auditorías extraordinarias ante cambios sustanciales o incidentes graves.

7. Tratamiento de Datos Personales

FIVO AI solo recoge datos personales adecuados, pertinentes y no excesivos en relación con las finalidades para las que se obtienen, y adopta las medidas técnicas y organizativas necesarias para cumplir con la normativa de protección de datos vigente (RGPD y LOPDGDD).

Como Responsable del Tratamiento, FIVO AI documenta y mantiene actualizado el Registro de Actividades del Tratamiento (RAT) conforme al artículo 30 del RGPD.

8. Obligaciones del personal

Todo el personal y aquellas personas con vinculación profesional directa o indirecta con FIVO AI deben cumplir con esta Política y con la normativa específica que la desarrolla.

El Responsable de Seguridad de la Información organiza sesiones periódicas de formación y concienciación que facilitan la comprensión de las medidas de seguridad establecidas y de la normativa específica.

El incumplimiento manifiesto, ya sea por personal interno o por colaboradores de FIVO AI, podrá acarrear el inicio de las medidas disciplinarias oportunas y, en su caso, las responsabilidades legales correspondientes.

9. Terceras Partes

Cuando FIVO AI presta servicios o maneja información de otras organizaciones, se les hace partícipes de esta Política y se establecen canales para la coordinación con sus respectivos Comités de Seguridad de la Información, así como procedimientos de actuación ante incidentes.

Cuando FIVO AI utiliza servicios de terceros o cede información a terceros, les remite la normativa interna sobre seguridad en la gestión con proveedores. La tercera parte queda sujeta a las obligaciones establecidas y puede desarrollar sus propios procedimientos para satisfacerlas.

Se garantiza que el personal de terceros está adecuadamente concienciado en materia de seguridad de la información, al menos al mismo nivel que el establecido en esta Política.

10. Desarrollo de la Política

Esta Política se complementa con el Sistema de Gestión de Seguridad de la Información (SGSI) por medio de las políticas, normativas y procedimientos establecidos al efecto, conforme a las buenas prácticas de la ISO 27001:2022. La normativa de seguridad está disponible para todos los miembros de FIVO AI que necesiten conocerla.

11. Actualización de la Política

Esta Política se mantiene actualizada en el tiempo. Se revisa de forma ordinaria con periodicidad anual y, de forma extraordinaria, cada vez que se producen variaciones en los objetivos estratégicos o en la legislación aplicable, mediante propuesta del Comité de Seguridad de la Información de FIVO AI.

12. Comunicación y difusión

Los cambios en esta Política se divulgan a todas las personas y partes interesadas, conforme a lo establecido en ISO 27001:2022 y ISO 27002:2022. Cada miembro de la organización es responsable de su lectura y conocimiento, así como de las restantes normativas que conforman el SGSI.

13. Cambios en las normativas de Seguridad

Cuando FIVO AI determina la necesidad de cambios en su SGSI, estos se llevan a cabo de manera planificada y se comunican a las partes interesadas. Los cambios que afecten a los empleados se notifican por correo electrónico desde la Dirección o el Área de IT.

14. Incumplimiento de la Política

Este documento forma parte de la normativa interna de FIVO AI, S.L. Ningún usuario debe atender a solicitudes, instrucciones u órdenes contrarias a la normativa interna ni puede ampararse en ellas como justificación de cualquier incumplimiento. Solo cabe excepción ante requerimientos justificados de autoridades administrativas, inspectoras o judiciales.

Los incumplimientos podrán ser sancionados con la suspensión del acceso a la información y a los sistemas TIC de la organización, así como con medidas disciplinarias conforme a esta Política, sin perjuicio de otras responsabilidades legales en las que el infractor pueda incurrir.