Política de seguretat de la informació

PRINCIPIS I OBJECTIUS DE LA SEGURETAT DE LA INFORMACIÓ

Aquests principis, així com el Sistema de Gestió de Seguretat de la Informació sobre el qual se sustenta, utilitza la norma ISO27001 com a marc de referència.

Els objectius de Grup Cobega en matèria de seguretat de la informació estan alineats amb els de negoci, donant prioritat al compliment de les obligacions legals vigents i que siguin aplicables a l'activitat desenvolupada.

Es considerarà un objectiu prioritari de la seguretat de la informació el compromís amb el compliment del Reglament General de Protecció de Dades de la Unió Europea i la normativa relativa a la protecció de dades de caràcter personal vigent als països en els quals el Grup Cobega actuï.

A més de les exigències legals en matèria de seguretat, el Grup Cobega té l'obligació i el compromís de complir amb els requisits contractuals i específics de seguretat que li exigeixin els seus clients i proveïdors en relació amb la informació a la qual accedeixin en virtut de les relacions contractuals amb ells.

Daba disposarà dels elements humans, organitzatius, tecnològics i documentals necessaris per a protegir la informació de la companyia, evitant incidents que puguin posar-la en perill.

En tots els nivells del Grup Cobega existirà el compromís de complir amb els objectius fixats en matèria de seguretat de la informació i d'aplicar els controls i mesures de prevenció establertes.

Per a tots els nivells del Grup Cobega existeix l'obligació de complir amb les normes i procediments establerts, sempre enfocant-se a protegir els actius d'informació i les dades personals tractades per Daba.

La companyia adoptarà les mesures necessàries perquè el personal conegui les obligacions en matèria de seguretat que afectin el desenvolupament de les seves funcions, així com les conseqüències del seu incompliment.

Daba promourà una activitat constant de formació i conscienciació en tots els nivells en matèria de seguretat de la informació, elaborant un pla d'accions formatives, realitzant seguiment de la seva execució i avaluant els seus resultats.

L'estratègia de Daba en matèria de seguretat complirà els principis de confidencialitat, integritat, disponibilitat, autenticitat i traçabilitat de la informació:

• El principi de confidencialitat garanteix que la informació només sigui accessible per als usuaris autoritzats a accedir a ella i que no podrà ser difosa a tercers sense la corresponent autorització.
• El principi d'integritat garanteix que les dades es mantindran lliures de modificacions no autoritzades i que la informació existent no ha estat alterada per persones o processos no autoritzats.
• El principi de disponibilitat garanteix que la informació estarà accessible i utilitzable de manera constant, assegurant la continuïtat dels processos i del negoci. Aquest principi va unit al de resiliència que consisteix a assegurar la capacitat de recuperació dels sistemes i la informació després d'un incident que impedeixi l'accés temporal a aquests.
• El principi d'autenticitat garanteix que l'origen i les identitats associades a la informació són realment els que apareixen en els atributs d'aquesta. Aquest principi va unit al de no repudi, que consisteix a assegurar que un usuari no pugui negar l'autoria d'un acte en el sistema o la vinculació a una dada o conjunt de dades.
• El principi de traçabilitat garanteix la possibilitat de determinar a cada moment la identitat de les persones que accedeixen a la informació i l'activitat que desenvolupen en relació amb aquesta, així com els diferents estats i rutes que ha seguit la informació.
• S'aplicarà un principi de proporcionalitat entre els controls a aplicar i la gravetat del risc a prevenir, detectar o mitigar.

En els nous serveis i desenvolupaments s'aplicarà el principi de la seguretat des del disseny i per defecte.

Daba està compromès i orientat cap a la millora contínua, amb l'objectiu que la gestió de la seguretat sempre sigui adequada i eficaç, reavaluant periòdicament les mesures i controls de seguretat per a adaptar-les als canvis significatius del negoci, dels sistemes d'informació de la companyia i de l'evolució de la tecnologia.

Revisió 30 de maig 2023