EMPRESA DEMO Seguridad, privacidad y compliance

Certificado oficial emitido por un organismo de certificación acreditado que acredita la conformidad del sistema de gestión de seguridad de la información (SGSI) de CONFyDENT con los requisitos de la norma ISO/IEC 27001:2022. El certificado demuestra que la organización ha superado satisfactoriamente las auditorías de certificación y mantiene controles de seguridad de la información alineados con el estándar internacional. Constituye evidencia de alto valor para clientes, socios y organismos reguladores sobre el nivel de madurez en ciberseguridad de la organización.

Documento de política de alto nivel que establece los requisitos, controles y procedimientos para garantizar la seguridad en la cadena de suministro conforme a la Directiva NIS2. Define criterios de evaluación de riesgos de terceros, controles de seguridad aplicables a proveedores y el marco de gestión de relaciones con suministradores. Sirve como referencia normativa para la selección, contratación y supervisión continua de proveedores críticos.

Política corporativa de alto nivel que establece los principios, bases legales y responsabilidades para el tratamiento de datos personales conforme al RGPD. Define los derechos de los interesados, las medidas de seguridad aplicables y los procedimientos para su cumplimiento. Sirve como documento rector en materia de privacidad y protección de datos para toda la organización.

Política corporativa de alto nivel que establece el marco de resiliencia operativa digital conforme al Reglamento DORA (UE 2022/2554). Define principios, responsabilidades y requisitos para la gestión de riesgos TIC, continuidad de negocio, respuesta ante incidentes y gestión de terceros en servicios financieros digitales. Sirve como documento rector para el cumplimiento normativo en materia de resiliencia TIC en el sector financiero europeo.

Plan integral que define los procedimientos, estrategias, roles y responsabilidades para la recuperación de sistemas, datos y operaciones críticas ante situaciones de desastre. Establece los tiempos de recuperación objetivo (RTO/RPO) y los procedimientos de activación para garantizar la continuidad operativa del negocio. Incluye protocolos de comunicación, escalado y pruebas periódicas del plan.

Plan integral que define las estrategias, procedimientos y medidas de contingencia para mantener las operaciones críticas durante interrupciones o desastres. Establece roles, responsabilidades y procesos de recuperación para garantizar la resiliencia operacional. Incluye análisis de impacto, estrategias de recuperación y protocolos de activación ante escenarios de crisis.

Documento de alto nivel aprobado por la dirección que establece los principios, objetivos y directrices corporativas para la gestión de la seguridad de la información. Define el marco de gobernanza, las responsabilidades organizacionales y los compromisos de la dirección en materia de ciberseguridad. Constituye el documento rector del Sistema de Gestión de Seguridad de la Información (SGSI) de la organización.

Política corporativa que establece los estándares y requisitos para el uso de criptografía en la organización, incluyendo algoritmos aprobados, cifrado de datos en reposo y en tránsito, y gestión del ciclo de vida de claves criptográficas. Define las responsabilidades y controles necesarios para proteger la confidencialidad, integridad y autenticidad de la información sensible mediante técnicas criptográficas.

Documento de política corporativa que establece los principios, requisitos y responsabilidades para la gestión del acceso a sistemas, aplicaciones y datos de la organización. Define los mecanismos de autenticación, autorización y gestión de privilegios de usuarios, incluyendo el ciclo de vida completo de las identidades. Sirve como marco de referencia para garantizar que el acceso a los recursos de información se concede de forma controlada, auditada y conforme a los principios de mínimo privilegio y necesidad de conocer.

Procedimiento técnico que define los procesos de gestión del ciclo de vida de identidades y accesos en la organización, incluyendo aprovisionamiento, modificación y revocación de accesos, gestión de cuentas privilegiadas y mecanismos de autenticación. Establece los controles y responsabilidades para garantizar que el acceso a sistemas y datos se otorga conforme al principio de mínimo privilegio y necesidad de conocer. Cubre tanto usuarios internos como externos, accesos remotos y gestión de credenciales.

Documento que establece el plan estructurado de formación y concienciación en ciberseguridad para todo el personal de la organización, en cumplimiento de la Directiva NIS2. Define objetivos formativos, contenidos curriculares, metodología pedagógica y cronograma de actividades, abarcando desde conceptos básicos de ciberhigiene hasta responsabilidades específicas por rol.

Documento de política que establece los requisitos, criterios de selección, evaluación y supervisión de subprocesadores que tratan datos personales en nombre de la organización. Define las obligaciones contractuales, garantías exigibles y el proceso de autorización y registro de subprocesadores, en cumplimiento del RGPD y normativa aplicable.

Contrato que regula las condiciones bajo las cuales un encargado del tratamiento procesa datos personales por cuenta del responsable, conforme al artículo 28 del GDPR. Establece las obligaciones de las partes, las medidas de seguridad técnicas y organizativas exigibles, los procedimientos ante brechas de seguridad y las condiciones para transferencias internacionales de datos. Sirve como instrumento jurídico fundamental para acreditar el cumplimiento normativo en materia de protección de datos frente a autoridades supervisoras y clientes.

Documento que establece la metodología y resultados de la evaluación de riesgos de seguridad de la información de la organización. Incluye la identificación y análisis de amenazas, vulnerabilidades y activos de información, así como las medidas de mitigación aplicables. Sirve como evidencia del proceso formal de gestión de riesgos ante múltiples marcos regulatorios y de cumplimiento.

Documento que define la metodología corporativa para la identificación, análisis y evaluación de riesgos organizacionales de seguridad de la información. Presenta los resultados del proceso de evaluación realizado, incluyendo el registro de riesgos identificados y las medidas de tratamiento, mitigación, aceptación o transferencia implementadas para reducirlos a niveles aceptables.

Procedimiento operativo que establece el ciclo completo de gestión de incidentes de seguridad de la información, incluyendo identificación, clasificación, respuesta y resolución. Define roles, responsabilidades, flujos de trabajo y tiempos de respuesta para garantizar una gestión efectiva y coordinada de incidentes de ciberseguridad. Sirve como documento de referencia para el cumplimiento de obligaciones regulatorias de notificación ante autoridades competentes.

Procedimiento que establece la metodología para identificar, catalogar y clasificar todos los activos de información de la organización según criterios de confidencialidad, integridad y disponibilidad (CIA). Define los criterios de etiquetado, los niveles de clasificación y el proceso de mantenimiento y revisión periódica del inventario de activos.