Política de Seguridad de la Información

1. Introducción

MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. depende de los Sistemas de Información y de las Tecnologías de la Información y la Comunicación (TIC) para alcanzar sus objetivos y prestar sus servicios a sus clientes. En este sentido, mediante el Sistema de Gestión de Seguridad de la Información (SGSI), todos los sistemas son administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad de la información tratada o de los servicios prestados.

El objetivo del Sistema de Gestión de Seguridad de la Información (SGSI), por lo tanto, es garantizar la calidad de la información y la prestación continua de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con rapidez ante los incidentes.

Con la aplicación de este Sistema de Gestión de Seguridad de la Información (SGSI), los Sistemas de Información de la Organización están protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad, así como al uso previsto y al valor de la información y los servicios. Para defenderse de estas amenazas, la Organización dispone una estrategia que se adapta a los cambios en las condiciones de su entorno para garantizar la continua prestación de los servicios. Esto significa que toda la Organización se aplican, como mínino, las medidas de seguridad exigidas por la Directiva (UE) 2022/2555, la llamada Network and Information Security Directive 2 (de ahora en adelante, Directiva NIS2), basándose en las medidas de control del Esquema Nacional de Seguridad (de ahora en adelante, ENS) y de cualquier desarrollo reglamentario que concrete la transposición al ordenamiento jurídico español de dicha Directiva (UE), así como la realización de un seguimiento continuo de los niveles de prestación de servicios, el análisis de cualquier vulnerabilidad detectada, y la preparación de una respuesta efectiva a cualquier incidente para garantizar la continuidad de los servicios prestados.

En todas las áreas de la Organización, la Seguridad de la Información es una parte integral de cada una de las etapas del ciclo de vida de sus sistemas, desde su concepción hasta la retirada de servicios, pasando por decisiones de desarrollo o de adquisición y actividades de explotación. Los requisitos de seguridad y las necesidades de financiación están debidamente identificados e incluidos en la planificación, en la solicitud de ofertas y en pliegos de licitación para proyectos relacionados con las Tecnologías de la Información y la Comunicación (TIC). Todas ellas, además, están preparadas para prevenir, detectar, reaccionar y recuperarse de incidentes, de acuerdo con el Artículo 21 de la Directiva NIS2, así como lo establecido en el artículo 8 del Real Decreto que regula el ENS.

Lo que identifica MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. como organización y los rasgos característicos que la diferencian del resto de empresas quedan definidos en su Misión, Visión y Valores. Mediante todos ellos se puede explicar a las personas externas a MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. quién se es como Organización, qué se pretende realizar y conseguir, y cómo se quiere llevar a cabo.

2.1. Misión

La Misión de MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. es ayudar a sus clientes a alcanzar la excelencia operativa en sus fábricas.

Esto es lo que da sentido a su actuación, lo que define quiénes son las personas que forman parte de ella, por qué se agrupan en una organización y por qué se han propuesto actuar socialmente.

Cualquier persona externa a MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U., al leer la Misión de la Organización, puede decidir si se identifica y vale la pena comprometerse con esta finalidad. Todas las cosas que, como entidad, se realizan en ella tienen un sentido preciso, van en una dirección determinada y no se hacen por casualidad.

2.2. Visión

La visión de MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. es liderar la nueva generación de operaciones industriales, empoderando a los equipos de planta y a las fábricas digitales para operar con inteligencia y tecnología gracias a la Organización.

Esta visión constituye dónde la Organización quiere estar en unos años, qué se espera conseguir a medio plazo, dónde se contempla la entidad en un tiempo, cómo se traslada la Misión al terreno, reflejando su ideario y las metas escogidas para un futuro.

Las personas externas a MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. que actualmente se identifican con la Misión de la Organización, gracias a la Visión pueden saber por qué se trabaja de un modo concreto.

2.3. Valores

Todas las personas que forman parte de MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. comparten una misma manera de entender la Organización que se fundamenta en los siguientes valores.

2.3.1. Actitud

En MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. la actitud está siempre por encima de la aptitud: Actitud > Aptitud.

En la Organización se tiene siempre una actitud honesta, proactiva y comprometida.

El entusiasmo, la ilusión, la motivación, la transparencia y la positividad son lo que marca la diferencia.

2.3.2. Búsqueda de la excelencia

En MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. se busca la excelencia, no como un destino, sino como un camino de evolución constante, donde cada logro abre las puertas a nuevas oportunidades de crecimiento.

En la Organización se anticipan las necesidades y se crea un valor duradero que beneficia tanto a su equipo como a sus clientes.

Se es proactivo y se responde a las necesidades reales del entorno, mejorando los resultados esperados con soluciones efectivas y medibles que superen las expectativas.

2.3.3. Espíritu de equipo

En MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. se habla siempre en plural, y todo el mundo se ayuda.

El trabajo en equipo tiene lugar en todos los niveles, desde los equipos de desarrollo hasta el propio equipo directivo, pasando por todos los departamentos y áreas.

Las 5 “C” del trabajo en equipo en la Organización, son las siguientes:

• Comunicación: Diálogo entre las personas miembro del equipo basado en el respeto, la libertad y la sinceridad.

• Confianza: Seguridad en uno mismo y en el trabajo que realiza el resto del equipo.

• Compromiso: Cumplimiento voluntario de las responsabilidades individuales dentro de un equipo.

• Colaboración: Ayudar y servir de manera espontánea a las otras personas del equipo.

• Cohesión: Unión de todas las personas miembro del equipo anteponiendo a los intereses personales el éxito del grupo.

El cuerpo normativo de seguridad de MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. se articula en una estructura jerárquica de tres niveles, diseñada para garantizar la coherencia institucional de la Organización, la agilidad en la actualización técnica y el cumplimiento de los principios básicos y requisitos mínimos de la Directiva NIS 2 y el ENS.

3.1. Objetivos de la estructura documental

Los objetivos que persigue la estructura documental de la Organización son los siguientes:

• Sistemática: Establecer un marco normativo claro que cubra todos los ámbitos organizativos, técnicos y operativos.

• Accesibilidad: Asegurar que cada persona miembro de la Organización acceda a las normas y los procedimientos necesarios para el desempeño de sus funciones.

• Mantenibilidad: Facilitar la actualización independiente de los procedimientos técnicos sin necesidad de modificar las políticas de alto nivel.

• Trazabilidad: Permitir la auditoría del cumplimiento normativo a través de evidencias documentales sólida.

3.2. Niveles de documentación

La documentación de seguridad de la Organización se estructura en los siguientes niveles:

• Primer nivel: Política de Seguridad de la Información. Es el presente documento. Define la misión, los objetivos, el marco legal, los roles principales y la estrategia de seguridad. Es aprobado por la Dirección de la Organización y se revisa anualmente o ante cambios significativos.

• Segundo nivel: Normas de Seguridad. Desarrollan los principios de la Política de Seguridad de la Información. Son documentos de carácter táctico que definen qué se debe hacer y los requisitos obligatorios para dominios específicos (por ejemplo, Normas de Control de Acceso, Normas de Copias de Seguridad, Normas de Seguridad en la Cadena de Suministro, etc.).

• Tercer nivel: Procesos, Procedimientos e Instrucciones Técnicas. Son documentos operativos que detallan cómo se deben realizar tareas específicas. Incluyen manuales de configuración, guías de operación y planes de respuesta a incidentes. Son de carácter dinámico y técnico.

3.3. Directrices para su gestión

Las directrices para la gestión de la documentación de seguridad de la Organización son las siguientes:

• Aprobación: Cada nivel documental es aprobado por el órgano competente (persona Responsable de la Seguridad, Comité de Seguridad de la Información o Dirección de la Organización) según su alcance.

• Vigencia y Revisión: Toda la documentación es revisada periódicamente (mínimo cada dos años o cuando existan cambios regulatorios, como por ejemplo la transposición de la Directiva NIS2) para asegurar su vigencia.

• Confidencialidad: El acceso a la documentación de seguridad está restringido según el principio de necesidad de conocer, especialmente en lo relativo a instrucciones técnicas y configuraciones críticas.

• Control de Versiones: Todos los documentos cuentan con un control de versiones y un histórico de cambios para garantizar la integridad y el seguimiento del sistema de gestión de seguridad.

MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U., para el cumplimiento de los artículos de la Directiva NIS2 que recogen los principios básicos y los requisitos mínimos sobre las medidas a adoptar para la gestión de riesgos de ciberseguridad, y asegurar su aprobación por parte de los órganos directivos de las entidades sujetas (principalmente, los artículos 20 y 21), así como su eventual transposición al ordenamiento jurídico español, y también de los artículos del Real Decreto 311/2022, de 3 de Mayo, por el que se regula el ENS, ha implementado diversas medidas de seguridad proporcionales a la naturaleza de la información y a los servicios a proteger, teniendo en cuenta, también, la categoría de los sistemas afectados. Los principios que regirán el conjunto de medidas adoptadas son los que se especifican a continuación.

4.1. Seguridad como proceso integral y seguridad por defecto

La seguridad constituye un proceso integrado por todos los elementos técnicos, humanos, materiales y organizativos relacionados con los Sistemas de Información de la Organización. La aplicación y desarrollo de la presente Política de Seguridad de la Información en MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. está presidida por este principio, que excluye cualquier actuación fuera del ámbito de cobertura de la política.

Se presta la máxima atención a la concienciación de las personas que intervienen en el proceso y a sus responsables jerárquicos, para minimizar cualquier riesgo que pueda afectar a la seguridad de la Organización.

Los sistemas se diseñan de forma que se garantice la seguridad por defecto, de la siguiente forma:

• El sistema debe proporcionar la mínima funcionalidad requerida para que la Organización alcance sus objetivos.

• Las funciones de operación, administración y registro de actividad deben ser las mínimas necesarias, asegurándose de que solamente son accesibles por las personas, o desde emplazamientos o equipos autorizados, y en su caso podrán exigirse restricciones de horario y en puntos de acceso facultados.

• En un sistema de explotación se deben eliminar o desactivar, mediante el control de la configuración, las funciones que no sean de interés o sean innecesarias, incluso aquellas que sean inadecuadas a la finalidad que se persigue.

• El uso ordinario de un sistema debe ser sencillo y seguro, de modo que una utilización insegura requiera un acto consciente por parte de las personas usuarias.

4.2. Revaluación periódica e integridad y actualización del sistema

MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. ha implementado controles y evaluaciones regulares de la seguridad (incluyendo evaluaciones de los cambios de configuración de forma rutinaria), para conocer en todo momento el estado de la seguridad de los sistemas en relación con las especificaciones de los fabricantes, las vulnerabilidades y las actualizaciones que les afecten, reaccionando con diligencia para gestionar el riesgo a la vista del estado de la seguridad.

Antes de la entrada de nuevos elementos, sean físicos o lógicos, se requiere siempre un análisis formal.

Asimismo, periódicamente se solicitan revisiones externas con la finalidad de obtener evaluaciones independientes.

4.3. Gestión de personal y profesionalidad

Todas las personas trabajadoras de MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información, así como las normas, procedimientos o guías que la desarrollan, siendo responsabilidad de la Organización, a través del Comité de Seguridad de la Información la disposición de los medios necesarios para que la información llegue a todas las personas afectadas.

4.4. Gestión de la seguridad basada en análisis y gestión de riesgos

Todos los sistemas afectados por la presente Política de Seguridad de la Información, así como todos los tratamientos de datos personales, son objeto de un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos.

Este análisis se repite:

• Regularmente, al menos una vez al año.

• Cuando cambia la información manejada o los servicios prestados de forma significativa.

• Cuando ocurre un incidente grave de seguridad o se detecten vulnerabilidades graves.

La persona Responsable de la Seguridad es la encargada de que se realice el análisis de riesgos, así como de identificar carencias y debilidades existentes, y ponerlas en conocimiento del Comité de Seguridad de la Información.

4.5. Incidentes de seguridad, prevención, reacción y recuperación

MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. ha implementado un proceso integral de detección, reacción y recuperación frente a código nocivo mediante el desarrollo de procedimientos que cubren los mecanismos de detección, los criterios de clasificación, los procedimientos de análisis y resolución, así como las vías de comunicación a las partes interesadas y el registro de las actuaciones. Este registro se utiliza para la mejora continua de la seguridad del sistema.

Para que la información y los servicios no se vean perjudicados por incidentes de seguridad, en la Organización se han implementado las medidas de seguridad oportunas para cumplir con las previsiones del art. 21 de la Directiva NIS2, así como controles adicionales, incluidos los que se prevén en el ENS, que se hayan identificado como necesarios, a través de una evaluación de amenazas y riesgos. Estos controles, así como los roles y responsabilidades de seguridad de todo el personal, están claramente definidos y documentados.

MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. tiene previsto incorporar en sus políticas cualquier desarrollo legislativo que concrete los requisitos de dicho Art. 21, incluyendo cualquier posible desarrollo reglamentario de la normativa, los Perfiles de Cumplimiento Específico de la NIS2 que se publiquen en sede de cumplimiento del ENS, así como cualquier otro que sea relevante a los efectos de la presente Política de Seguridad de la Información.

Cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales, se establecen mecanismos de detección, análisis e informe necesarios para que lleguen a los responsables regularmente.
MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. ha establecido las siguientes medidas de reacción ante incidentes de seguridad:

• Mecanismos para responder eficazmente a cualquier incidente de seguridad.

• Un punto de contacto para las comunicaciones en lo que se refiere a incidentes detectados en otros departamentos, áreas u organismos.

• Protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias o Community Emergency Response Teams (CERT).

• Los medios y técnicas necesarias que permiten garantizar la recuperación de los servicios críticos para asegurar la disponibilidad de los servicios.

4.6. Líneas de defensa y prevención frente a otros sistemas interconectados

MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. ha implementado una estrategia de protección basada en múltiples capas, constituidas por medidas organizativas, físicas y lógicas, de tal modo que cuando una de las capas falla, el sistema implementado permite:

• Ganar tiempo para una reacción adecuada frente a los incidentes que no han podido evitar.

• Reducir la probabilidad de que el sistema sea comprometido en su conjunto.

• Minimizar el impacto final sobre el mismo.

Esta estrategia prevé la protección del perímetro, en particular para la conexión, cuando es necesario, a redes públicas.

En cualquier caso, se han analizado los riesgos derivados de la interconexión del sistema, mediante redes, con otros sistemas, controlando su punto de unión.

4.7. Función diferenciada en la organización

MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. ha organizado su seguridad comprometiendo a todas las personas miembro de la Organización mediante la designación de diferentes roles de seguridad con responsabilidades claramente diferenciadas.

4.8. Autorización y control de los accesos

MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. ha implementado mecanismos de control de acceso a los Sistemas de Información, limitando a los estrictamente necesarios y debidamente autorizados.

4.9. Protección de las instalaciones

MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. también ha implementado mecanismos de control de acceso físico, previniendo los accesos físicos no autorizados, así como daños a la información y a los recursos, mediante perímetros de seguridad, controles físicos y protecciones generales en diferentes áreas.

4.10. Adquisición de productos de seguridad y contratación de servicios de seguridad

Para la adquisición de productos y servicios, MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. tiene en cuenta que estos productos y servicios tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición, salvo en aquellos casos en que las exigencias de proporcionalidad en lo que se refiere a los riesgos asumidos no lo justifiquen, a juicio de la persona Responsable de Seguridad.

4.11. Protección de la información almacenada y en tráfico y continuidad de la actividad

MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. tiene implementados mecanismos para proteger la información almacenada o en tráfico, especialmente cuando esta se encuentra en entornos menos seguros (ordenadores portátiles, teléfonos móviles, tabletas táctiles, soportes de información, redes externas, etc.).

La Organización dispone de copias de seguridad de los sistemas y se han establecido mecanismos necesarios para garantizar la continuidad de las operaciones en caso de pérdida de medios habituales de trabajo.

Se han desarrollado procedimientos que aseguran la recuperación y conservación a largo plazo de los documentos electrónicos producidos en el ámbito de las competencias de MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U.

Del mismo modo, se han implementado mecanismos de seguridad de acuerdo con la naturaleza del soporte en el que se encuentren los documentos para garantizar que toda información relacionada en soporte no electrónico está protegida con el mismo grado de seguridad que la electrónica.

4.12. Registros de actividad

MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. ha habilitado registros de actividad de las personas usuarias, reteniendo la información necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento a la persona que actúa. Todo ello con la exclusiva finalidad de conseguir el cumplimiento del objeto del presente real decreto, con plenas garantías del derecho al honor, a la intimidad personal y familiar, la imagen de los afectados, y de acuerdo con la normativa sobre Protección de Datos de carácter personal y demás disposiciones que resulten de aplicación.

La organización de la Seguridad de la Información en MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. se establece en la forma en que se indica a continuación.

5.1. Roles o perfiles de seguridad

Para garantizar el cumplimiento y adaptación de las medidas exigidas por reglamento, se han creado los siguientes roles o perfiles de seguridad pertinentes dentro del organigrama de MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U.:

• Persona Responsable de la Seguridad

• Persona Responsable del Sistema

• Personas Responsables de la Información y del Servicio

• Persona Responsable del Contacto con las empresas Proveedoras

En el siguiente apartado se concretan los perfiles dentro de la Organización que ocupan los roles indicados.

5.2. Comité de Seguridad de la Información

MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. ha constituido un Comité de Seguridad de la Información, como órgano colegiado, que está formado por las siguientes personas miembro:

• Presidencia: General Manager

• Secretaría: People & Culture Director

• Componentes:
o Persona Responsable de la Seguridad y persona Referente en Protección de Datos: People & Culture Director
o Persona Responsable del Sistema: Information Technologies Systems Administrator
o Persona Responsable de la Información y del Servicio: Product Director
o Persona Responsable de la Información y del Servicio: Professional Services Director

La organización y funciones del Comité de Seguridad de la Información, así como las funciones de sus personas miembro, se describen en el documento de definición de roles y responsabilidades, de uso interno en la Organización.

El Comité de Seguridad de la Información de MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. ha aprobado el desarrollo de un Sistema de Gestión de Seguridad de la Información (SGSI) que se ha establecido, implementado, mantenido y mejorado de acuerdo a los estándares de seguridad. Este sistema se ha adecuado y sirve para la gestión de los controles necesarios para dar cumplimiento a las previsiones de la Directiva NIS2, así como de la integración de los controles pertinentes tal y como están descritos en el ENS.

El Sistema de Gestión de Seguridad de la Información (SGSI) está documentado y permite generar evidencias de los controles y del cumplimiento de los objetivos marcados por el Comité de Seguridad de la Información. Existe un procedimiento de gestión documental que establece las directrices para la estructuración de la documentación de seguridad del sistema, su gestión y su acceso.

Corresponde al Comité de Seguridad de la Información la revisión anual de la presente Política de Seguridad de la Información proponiendo, en caso necesario mejoras de la misma, para su aprobación por parte de la Dirección de la Organización competente en razón de la materia de MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U.

Esta Política de Seguridad de la Información se ha desarrollado y complementado con el conjunto de políticas de la Organización, documentadas en el repositorio documental que agrupa y define todos los procesos de seguridad en relación con el al Sistema de Gestión de Seguridad de la Información (SGSI) de MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U.

La presente Política de Seguridad de la Información se ha desarrollado por medio de normativa de seguridad que aborda aspectos específicos. La normativa de seguridad está a disposición de todas las personas trabajadoras de MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U., en particular para aquellas que utilizan, operan o administran sistemas de información y de comunicaciones.

Todas las personas trabajadoras de MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. afectadas por esta Política de Seguridad de la Información atienden a sesiones de concienciación en materia de seguridad, como mínimo, una vez al año. Además, se han establecido programas de concienciación continua para atender a todas las personas trabajadoras, en particular a las de nueva incorporación.

Las personas de la Organización con responsabilidad en el uso, la operación o la administración de sistemas reciben formación continua para la gestión segura de los sistemas. Dicha formación es obligatoria antes de asumir una responsabilidad, ya sea una primera asignación o cualquier cambio posterior de responsabilidades o de puesto de trabajo que implique funciones diferentes de las desarrolladas hasta el momento.

8. Tratamiento de datos de carácter personal

MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. recoge Datos de Carácter Personal cuando son adecuados, pertinentes y no excesivos, y tienen relación con el ámbito y las finalidades para los que se hayan obtenido. De igual modo, se adoptan las medidas de índole técnica y organizativa necesarias para el cumplimiento de la normativa de Protección de Datos vigente.

MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. trata los Datos de Carácter Personal, según se describe en el Registro de Actividades de Tratamiento (RAT).

MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. ha evaluado los riesgos relacionados con los Datos de Carácter Personal tratados, proponiendo un plan de actuación para la corrección de aquellos riesgos que superan el umbral autorizado. La persona Referente en Protección de Datos de Carácter Personal es la persona encargada de integrar las condiciones de los tratamientos de Datos de Carácter Personal a esta Política de Seguridad de la Información, así como en todos aquellos documentos que de ella se deriven y que afecten al Sistema de Gestión de Seguridad de la Información (SGSI).

El análisis de riesgos es reevaluado de forma periódica, contando con el asesoramiento y supervisión que realiza la persona Referente en Protección de Datos de Carácter Personal de la Organización, y, en todo caso, cuando se detecta un tratamiento de alto riesgo, debiendo realizar, en su caso, una evaluación de impacto. La implementación del plan de tratamiento del riesgo se coordina con la que sea oportuno realizar en relación al Sistema de Gestión de Seguridad de la Información (SGSI), así como con el resto de los procedimientos o normas de seguridad con las derivadas de las obligaciones en materia de Protección de Datos, especialmente en el control de las empresas proveedoras o ante la respuesta a incidentes y brechas de Datos de Carácter Personal.

9. Gestión de riesgos

Se realiza un análisis de riesgos a todos los sistemas sujetos a esta política, evaluando las amenazas y los riesgos a los que están expuestos.

Este análisis se repite:

• Regularmente, al menos una vez al año.

• Cuando se producen cambios en la información manejada.

• Cuando se producen cambios en los servicios prestados.

• Cuando ocurre un incidente grave de seguridad.

• Cuando se reportan vulnerabilidades graves.

• Cuando se producen modificaciones en el análisis de riesgos de protección de datos o en las evaluaciones de impacto.

Para la armonización de los análisis de riesgos, el Comité de Seguridad de la Información ha establecido una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. El Comité de Seguridad de la Información ha dinamizado la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas. Para ello, se han tenido en cuenta los riesgos relacionados con la Protección de Datos, contando con la participación y opinión de la persona Referente en Protección de Datos de Carácter Personal de la Organización, así como de cualquier soporte externo que se ha precisado, y se ha procedido a la coordinación de la Política de Seguridad de la Información y de otros documentos relacionados con ella y con el Registro de Actividades del Tratamiento (RAT).

La Política de Seguridad de la Información, así como todos aquellos documentos que requieren la aceptación explícita por parte de las personas trabajadoras para entender y aceptar el marco de seguridad en el que tienen que gestionar la información a la que accedan para el desarrollo de las funciones de asignadas a su puesto de trabajo, está siempre disponible a su disposición, y se ha documentado la aceptación explícita de las normativas que les afectan.

Cuando MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. presta servicios a otras entidades, sean privadas o públicas, en los que se trata información o datos de carácter personal de éstas, hace partícipe a dichas entidades de la presente Política de Seguridad de la Información.

MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. ha definido y aprueba los canales adecuados para la coordinación de la información y los procedimientos de actuación para la reacción frente a incidentes de seguridad, así como el resto de actuaciones que MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. lleve a cabo en materia de seguridad con relación a otras organizaciones.

Cuando MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U., utiliza servicios de terceros o cede información a terceros, les hace partícipes de esta Política de Seguridad de la Información y de la Normativa de Seguridad existente que corresponda a estos servicios o información. Esta tercera parte queda sujeta a las obligaciones establecidas en la citada normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecen procedimientos específicos de comunicación y resolución de incidencias. Se solicita que las personas trabajadoras de terceras empresas estén adecuadamente concienciadas en materia de seguridad, al menos al mismo nivel que el establecido en esta Política de Seguridad de la Información.

Del mismo modo, cuando algún aspecto de esta Política de Seguridad de la Información no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requiere un informe de la persona Responsable de la Seguridad en el que se precisen los riesgos en que se incurre y la forma de tratarlos. Se requiere la aprobación de este informe por parte de las personas Responsable de la Información y del Servicio antes de seguir adelante.

Cuando la entidad adquiere, desarrolla o implanta sistemas de inteligencia artificial, además de cumplir con lo establecido en la normativa vigente en la materia, se cuenta siempre con el informe de la persona Responsable de la Seguridad, que consulta a las personas Responsable de la Información y del Servicio y, cuando sea necesario, a la persona Responsable del Sistema, contando con la perspectiva de la persona Referente en Protección de Datos de Carácter Personal.

Las modificaciones de la presente política que supongan cambios o ajustes necesarios para adaptarla a nuevas circunstancias o al desarrollo de la prestación de servicios se realizarán por parte del Comité de Seguridad de la Información, que la revisará, como mínimo, una vez al año.

En caso de que los cambios supongan una modificación sustancial de los principios o responsabilidades designadas, el Comité de Seguridad de la Información propondrá los cambios que deberán ser aprobados en su propia sede.

La sustitución de la Política de Seguridad de la Información será instada por el Comité de Seguridad de la Información, de lo que se informará adecuadamente a los interesados por los mismos canales usados para su difusión.

Última actualización: 7 de abril de 2026