Última actualización: 18 de diciembre de 2025
1.INTRODUCCIÓN
Propósito
Esta Política de Seguridad de la Información es una guía para que los empleados de Praxas establezcan directrices y mejores prácticas para la protección de la información confidencial, sensible o propietaria frente al acceso, uso, divulgación, alteración o destrucción no autorizados. La información es un activo y debe protegerse adecuadamente.
Definición
La Seguridad de la Información son los procesos diseñados para proteger los datos mitigando los riesgos. Incluye los datos digitales, los datos físicos y la ciberseguridad.
Ámbito de aplicación
Esta Política de Seguridad de la Información se aplica a todos los empleados de Praxas, independientemente de su contrato de trabajo, cargo o ubicación. También se aplica a todos los contratistas y proveedores de servicios externos que tengan acceso a la información y a los sistemas de información de la empresa.
Praxas cumplirá todas las leyes, reglamentos y normas del sector pertinentes en materia de seguridad de la información allí donde desarrollemos nuestra actividad.
2. RESPONSABILIDAD
Praxas se asegurará de que todos los empleados reciban formación sobre sus responsabilidades y obligaciones en materia de seguridad de la información.
A efectos de esta política, y de algunas normativas regionales, Praxas es un Responsable del Tratamiento de Datos (DC) y se asegurará de que haya un Responsable de Protección de Datos (DPO) designado cuando proceda. Este cargo debe contar con los recursos adecuados, depender de los Directores y no desempeñar ninguna otra tarea que pueda dar lugar a un conflicto de intereses. También es el punto de contacto para cualquier autoridad reguladora regional y para las personas cuyos datos sean procesados por la empresa.
Gestión
Los directores, gerentes y supervisores tienen la tarea de aplicar y supervisar políticas y procedimientos que reduzcan el riesgo de violación de datos y garantizar que haya una planificación suficiente para responder a los incidentes. Debe proporcionarse a los empleados la formación adecuada, en función de sus funciones y tareas.
Los responsables de TI de CIMSense y el personal regional de apoyo informático, se encargan de mantener el software y los dispositivos actualizados con los últimos parches y actualizaciones de seguridad, de proteger las redes de accesos no autorizados a los sistemas y de supervisar la formación en TI.
Empleados
Todos los empleados están obligados a:
- Cumplir todas las políticas de Praxas y todos los procedimientos y directrices adicionales incluidos en el manual del empleado de la empresa, u otros materiales pertinentes de la empresa, en relación con el manejo de datos, el uso del correo electrónico y de Internet, la gestión de dispositivos y las redes sociales.
- Protege las contraseñas y las credenciales de acceso: crea contraseñas seguras, no las compartas nunca, no utilices la misma contraseña en varias cuentas y, si accedes a los correos electrónicos y/o documentos de la empresa en tu dispositivo móvil personal, asegúrate de que este dispositivo está suficientemente protegido. Como mínimo, esto significa asegurarte de que el dispositivo está protegido con una contraseña, un pin o un identificador biométrico de seguridad.
- Informa de los incidentes de seguridad: mantente alerta ante cualquier actividad sospechosa (correos electrónicos de phishing, infecciones de malware, inicios de sesión sospechosos) e informa inmediatamente de cualquier incidente a un responsable de TI de CIMSense o a un miembro del personal de apoyo regional de TI. Los incidentes también pueden notificarse por correo electrónico a support@cimsense.com.
- Protege los documentos físicos: los documentos físicos que contengan información sensible deben protegerse adecuadamente y eliminarse de forma segura cuando ya no se necesiten.
- Evita acciones de alto riesgo: ten precaución al acceder a redes WiFi públicas asegurándote de que tu dispositivo está protegido con un software antivirus actualizado. No descargues software de fuentes no fiables que puedan comprometer la seguridad de la información de la empresa. Piénsatelo bien antes de utilizar un medio extraíble (por ejemplo, una unidad USB) y recuerda retirarlo del dispositivo anfitrión.
3. CONTROL DE ACCESO
Praxas proporcionará a todos los empleados y demás usuarios la información que necesiten para desempeñar sus responsabilidades con eficacia y eficiencia. El acceso a la información y a los sistemas de información se concederá siguiendo los principios de mínimo privilegio y necesidad de conocer.
A nivel de Grupo, CIMSense dispone de varias formas de proteger la Información que se le pueda proporcionar a través de sus empresas, incluida Praxas. Éstas incluyen, entre otras, la Política de Control de Acceso de CIMSense.
Control de acceso físico
Los empleados de Praxas que necesiten acceder a información confidencial y sensible por su función laboral recibirán formación sobre el manejo seguro de toda la información y se les enseñarán los procedimientos que rigen cómo se utilizan, almacenan, comparten y organizan los datos dentro de la empresa.
Los datos personales y confidenciales deben guardarse bajo llave cuando no se utilicen, y no deben dejarse llaves en la cerradura de archivadores y puertas.
Control de acceso digital
Las cuentas de usuario deben crearse con contraseñas seguras, y el acceso debe revocarse al finalizar la relación laboral o el contrato.
Los usuarios no deben compartir sus credenciales de acceso con otros ni permitir que otros utilicen sus cuentas. Normalmente no se permitirán identificaciones genéricas o de grupo.
Los sistemas de información dispondrán de mecanismos de autenticación y autorización para garantizar que sólo los usuarios autorizados puedan acceder a la información, incluida la autenticación multifactor.
Los usuarios remotos estarán sujetos a la autorización de un Responsable de TI de CIMSense o de un miembro del personal de apoyo regional de TI. No se permitirá el acceso externo incontrolado a ningún dispositivo o sistema de red.
4.PROTECCIÓN DE DATOS
Todos los Territorios
Praxas tiene una Política de Privacidad propia que detalla cómo la Empresa respeta la privacidad de las personas y se compromete a proteger los datos personales.
La información confidencial, sensible o sujeta a derechos de propiedad se protegerá del acceso, uso, divulgación, alteración o destrucción no autorizados. Los datos de Praxas suelen incluir nombres o números. Algunos ejemplos son datos de empleados, nombres de productos, precios, costes, códigos fiscales, marcas de registro, códigos y fechas.
La información se clasificará en función de su sensibilidad y se aplicarán los controles adecuados para protegerla.
Se utilizará la encriptación para proteger la información sensible durante la transmisión y el almacenamiento.
Se realizarán copias de seguridad periódicas de la información digital para evitar la pérdida de datos en caso de fallo del hardware o catástrofe.Se exigirá a los terceros que alojen datos digitales, por ejemplo Servicios en la Nube, que cumplan unos requisitos y una certificación estrictos.
Unión Europea y Reino Unido
El Reglamento General de Protección de Datos (RGPD) de la UE y la Ley de Protección de Datos de 2018 del Reino Unido, que aplica la normativa del RGPD, protegen los datos personales de los ciudadanos o residentes de la UE. Como en el caso anterior, la Política de Privacidad detalla cómo la Empresa trata y protege los datos personales.
De acuerdo con la normativa GDPR, se informará a los interesados de cualquier violación de datos personales en las 72 horas siguientes al incidente.
5. SUPERVISIÓN
Se supervisarán los sistemas de información para detectar accesos, usos o divulgaciones no autorizados. Los registros se revisarán y analizarán periódicamente para detectar y responder a incidentes de seguridad.
Se realizarán periódicamente evaluaciones de riesgos de vulnerabilidad y pruebas de penetración para identificar y mitigar los posibles riesgos de seguridad.
6. INCIDENTES DE SEGURIDAD
Los incidentes pueden tener un enorme impacto en una empresa en términos de coste, productividad y reputación. Todos los incidentes de seguridad deben notificarse inmediatamente a un responsable de TI de CIMSense y al personal regional de soporte de TI, para que el incidente pueda contenerse y solucionarse lo antes posible.
Deben formularse y aplicarse planes de respuesta a incidentes para todo tipo de violaciones de la seguridad a nivel local y de Grupo. A nivel de Grupo, CIMSense tiene una Política de Respuesta a Incidentes y un Plan de Respuesta a Incidentes. Todos los planes deben probarse periódicamente para garantizar su eficacia.
7. INCUMPLIMIENTO Y MEDIDAS DISCIPLINARIAS
Las infracciones de esta política podrían acarrear graves consecuencias para CIMSense y Praxas y causar angustia personal a los individuos. Cualquier infracción será investigada a fondo y podría dar lugar a medidas disciplinarias contra el infractor.