Política para la seguridad de la información

Email: legal@vc.land

Dirección: Avenida Gregorio Peces Barba

Teléfono: +(34) 916 898 120

‍
La presente política tiene como objetivo establecer el compromiso de laDirección de Automated Investment Solutions, S.L., representada por elComité de Seguridad, en torno a la seguridad de la información y la protección de activos de información necesarios para el desempeño delas funciones objeto de alcance.
Este compromiso se materializa mediante la implantación, el mantenimiento y la mejora continua de un Sistema de Gestión de laSeguridad de la Información (SGSI) en conformidad con el estándar internacional UNE-EN ISO/IEC 27001:2022.

Esta política aplica a todos los miembros de la organización, así como a todas las terceras partes identificadas en el Sistema de Gestión de laSeguridad de la Información (SGSI).

Esta Política es accesible y pública a todo el personal, así como partes interesadas pertinentes y de aplicación en nuestra organización.

La presente Política de Seguridad, será revisada y aprobada en los plazos establecidos por el Comité de Seguridad de la organización. No obstante, si tuvieran lugar cambios relevantes para la Organización, ya sean estos de tipo operativo, legal, regulatorio o contractual, se procederá a su revisión siempre que se considere necesario, asegurando así que laPolítica permanece adaptada en todo momento.

La organización se compromete a proteger todos los activos bajo su responsabilidad mediante las medidas que sean necesarias, siempre garantizando el cumplimiento de las distintas normativas y leyes aplicables. Con el objetivo de cumplir con la UNE-EN ISO/IEC27001:2022 la organización se compromete a Mantener un Sistema deGestión de la Seguridad de la Información (SGSI) que incluye los procesos, recursos, procedimientos, tecnologías y herramientas necesarias para garantizar la confidencialidad, integridad y disponibilidad de los activos de información y los activos tecnológicos que dan soporte ala misma y en concreto a los procesos incluidos en el alcance.

El cumplimiento de la presente Política de Seguridad es responsabilidad de todo el personal de la organización, así como del personal externo al mismo incluido en el alcance del Sistema de Gestión de la Seguridad dela Información. La Dirección de la organización espera que todo el personal esté familiarizado con la presente Política de Seguridad.

La Dirección de Automated Investment Solutions, S.L considera que la consecución de los objetivos se encuentra sujeta al cumplimiento de diversos requerimientos encaminados a garantizar la Seguridad de laInformación dentro de la Organización. De esta manera, se considera que la Seguridad de la Información debe ser una prioridad para la organización y para ello, la presente Política establece las siguientes directrices:

• La información de la que la organización es propietaria y/o depositaria debe ser únicamente accesible para las personas debidamente autorizadas, pertenezcan o no a la Organización
• La presente Política de Seguridad, así como el resto de documentación del SGSI (procedimientos, guías, etc.) deberá ser accesible para todos los miembros de la organización dentro del alcance del SGSI, así como el personal ajeno al mismo que se relaciona con éste a través de alguno de sus procesos
• La Organización debe cumplir con todos aquellos requerimientos legales, regulatorios y estatutarios que le sean de aplicación, así como los requerimientos contractuales
• La confidencialidad de la información debe garantizarse en todo momento
• La integridad de la información debe asegurarse a través de todos los procesos que la gestionan, procesan y almacenan
• La disponibilidad de la información debe garantizarse mediante las adecuadas medidas de respaldo y continuidad del negocio
• Todo el personal dentro del alcance del SGSI de la organización, deberá disponer de la adecuada formación y concienciación en materia de Seguridad de la Información
• Todo incidente o debilidad que pueda comprometer o haya comprometido la confidencialidad, integridad y/o disponibilidad dela información deberá ser registrado y analizado para aplicar las correspondientes medidas correctivas y/o preventivas
• Todo miembro de la organización dentro del alcance del SGSI, es responsable de implementar, mantener y mejorar la presente Política, así como de velar por el cumplimiento de la misma
• Todo miembro de la organización dentro del alcance del SGSI es responsable de garantizar la adecuada implementación, mantenimiento y mejora continua del SGSI, así como su conformidad con el estándar UNE-EN ISO/IEC 27001:2022.
• La aplicación de esta política dará lugar a la generación de documentación que hace referencia a Normativas y Procedimientos que aplican a los procesos descritos en el alcance del SGSI. Dicha documentación será distribuida por los canales adecuados y en base a la necesidad del conocimiento, a todas las partes interesadas.
• La Seguridad de la Información es controlada y monitorizada por el Comité de Seguridad a través del marco de Análisis y Gestión de Riesgos establecido dentro del SGSI. Dicho marco permite a laDirección evaluar el grado de control interno en torno a los activos de información mediante el uso de una metodología de análisis de riesgos que provea de resultados objetivos, medibles y reproducibles.
• La Dirección, asumiendo que la mitigación completa de cualquier riesgo no es alcanzable, establece que el nivel de riesgo residual asociado a cualquiera de los activos de información incluidos en el alcance del SGSI, no superará un umbral determinado. Para laDirección de Automated Investment Solutions, S.L. Dicho nivel representará el umbral de riesgo residual cuyo coste de mitigación es mayor que la pérdida incurrida en caso de materialización del mismo. En caso de que el riesgo residual asociado a cualquiera de los activos de información supere el nivel de riesgo aceptado, la Dirección de Automated Investment Solutions, S.L. evaluará las alternativas de mitigación de dicho riesgo y proporcionará los recursos necesarios para situarlo por debajo del nivel de riesgo residual aceptado.
• Es responsabilidad de todos los miembros de la organización notificar a la Dirección de cualquier evento o situación que pudiera suponer el incumplimiento de alguna de las directrices definidas por la presente Política.
• Todos los miembros de Automated Investment Solutions, S.L.deberán disponer de la formación adecuada para el desempeño de sus funciones. Asimismo, deberá asegurarse la adecuada concienciación de los miembros de Automated InvestmentSolutions, S.L. en términos de Seguridad de la Información y buenas prácticas.
• La presente Política establece la obligación y responsabilidad de todos los miembros de la organización, así como terceras partes incluidas en el alcance del SGSI, de la identificación y notificación de cualquier incidente que pudiera comprometer la seguridad delos activos de información de la misma, así como de cualquier situación que pudiera suponer una no conformidad con los procedimientos del SGSI y el estándar UNE-EN ISO/IEC27001:2022.
  

Política de seguridad de la información para las relaciones con proveedores

El objetivo principal de esta política es mitigar los riesgos posibles asociados al acceso a la información, sistemas de información o recursos de Automated Investment Solutions, S.L. por parte de proveedores de servicios, independientemente del tipo de servicio proporcionado, o de relación que le una con Automated Investment Solutions, S.L (legal, contractual o de cualquier otra índole no laboral), con el fin de proteger la confidencialidad, integridad y disponibilidad de la información deAutomated Investment Solutions, S.L y sus clientes.

Esta política aplica para todos los proveedores de la organización.
‍

Confidencialidad de la información

Toda información, documentación, programas y/o aplicaciones, métodos, organización, estrategias de negocio y actividades relacionadas conAutomated Investment Solutions, S.L o con su negocio, a las que tenga acceso los proveedores de servicios con objeto de realización del servicio serán considerados información confidencial, en función de lo cual, el acceso, intercambio y tratamiento de dicha información, se realizará siempre de acuerdo a las finalidades previstas descritas en el contrato de prestación de servicios y manteniendo el correspondiente deber de secreto durante la duración del servicio y después de que finalice la relación con Automated Investment Solutions, S.L.
‍

Propiedad Intelectual

Se garantizará el cumplimiento de las restricciones legales al uso del material protegido por la normativa de propiedad intelectual. Los proveedores de servicios únicamente podrán utilizar material autorizado por Automated Investment Solutions, S.L para el desarrollo de sus funciones.

‍

Intercambio de información

Cualquier tipo de intercambio de información que se produzca entre Automated Investment Solutions, S.L y los proveedores de servicios se entenderá que ha sido realizado dentro del marco establecido por el contrato de prestación de servicios correspondiente, de modo que dicha información no podrá ser utilizada fuera de dicho marco ni para otros fines.

Esta política fue aprobada por la Dirección representada por D. Luis Gonzalez - Blanch, en Leganés, a fecha 10/05/2023.