carVertical

Política de seguridad de la información

1. La política de seguridad de la información (en adelante, la Política) es el documento principal del sistema de gestión de la seguridad de la información (en adelante, SGSI) de cV Group UAB (en adelante, cV Group o la Empresa). Las partes relacionadas con la información de cV Group pueden consultar los documentos del SGSI y/o partes de los mismos.

2. El objetivo de esta Política es establecer la posición de la dirección de cV Group en materia de seguridad de la información y proteger toda la información verbal, escrita y electrónica que cV Group recibe, envía, crea, gestiona y utiliza frente a todas las posibles amenazas: externas, internas, intencionadas o accidentales, que puedan afectar a las actividades y la reputación de cV Group.

3. Para cumplir las tareas del SGSI, se han establecido los siguientes objetivos de seguridad de la información:

  • garantizar y gestionar la seguridad de la información, teniendo en cuenta los objetivos estratégicos de cV Group, que tienen por objeto prestar los servicios de la Empresa;
  • garantizar y gestionar el cumplimiento de los requisitos externos e internos de seguridad de la información mediante evaluaciones periódicas de conformidad y la eliminación de las no conformidades detectadas;
  • garantizar que se corrijan las violaciones de la seguridad de la información y se eliminen sus causas, y aplicar la gestión de incidentes de seguridad de la información;
  • garantizar la selección y aplicación adecuadas de medidas de seguridad y gestión de la información mediante la realización de evaluaciones de riesgos anuales y la aplicación de las medidas de seguridad de la información necesarias;
  • garantizar la eficacia de las medidas de seguridad de la información aplicadas;
  • garantizar un plan adecuado de gestión de la continuidad de las actividades, revisándolo y comprobándolo periódicamente.

4. La información es un activo estratégicamente importante para las actividades de cV Group, por lo que su pérdida, alteración ilegal, violación de su confidencialidad, integridad o accesibilidad, divulgación o interrupción de su gestión puede perturbar las actividades de cV Group. Por ello, la presente política de gestión de la seguridad de la información establece las directrices básicas que deben seguir todos los trabajadores, contratistas y otras partes relacionadas con cV Group.

5. La política de gestión de la seguridad de la información se aplica a todos los procesos operativos de cV Group relacionados con los servicios prestados e incluye la información verbal y escrita, los sistemas de información, las redes informáticas, el entorno físico, el entorno virtual, los trabajadores, las partes relacionadas, los socios, los contratistas u otras personas que trabajan para cV Group, incluidos los trabajadores que trabajan para terceros y aquellos que gestionan legalmente la información de cV Group.

6. La seguridad de la información incluye tres aspectos principales:

  • confidencialidad de la información: protección de la información frente a la divulgación no autorizada;
  • integridad de la información: protección de la información frente a cambios no autorizados o accidentales;
  • accesibilidad de la información: garantía de que la información esté disponible cuando sea necesaria para el correcto funcionamiento de cV Group.

7. El objetivo de las normas y requisitos es:

  • proteger los activos de información, incluidos los datos de los clientes obtenidos de diversas fuentes y terceros, en lo que se refiere a la confidencialidad, integridad, disponibilidad y aspectos tanto materiales (por ejemplo, ordenadores y equipos de comunicaciones, instalaciones, etc.) como inmateriales (por ejemplo, la reputación, la imagen);
  • establecer la responsabilidad por la seguridad de la información;
  • proporcionar referencias a los documentos de seguridad que conforman el sistema de gestión de la seguridad de la información.

8. Los documentos del SGSI deben revisarse al menos una vez al año.

9. El cumplimiento de los requisitos de seguridad de la información de cV Group se garantiza y gestiona mediante la planificación, implementación, evaluación y mejoras sistemáticas del SGSI de acuerdo con los requisitos de la norma ISO/IEC 27001 (y sus últimas versiones).

10. La certificación del SGSI de cV Group abarca todos los productos de tecnología de la información y los proyectos relacionados que se llevan a cabo en este grupo de empresas.

11. La gestión de la seguridad de la información de cV Group se basa en la gestión de riesgos. La evaluación de los riesgos de seguridad de la información ayuda a garantizar que las medidas de gestión de la seguridad de la información aplicadas en las actividades de cV Group alcancen los objetivos principales de cV Group en materia de seguridad de la información y de sus actividades.

12. Los riesgos de seguridad de la información de cV Group se evalúan cada año natural de acuerdo con la política de evaluación de riesgos aprobada. Al realizar la evaluación de los riesgos de seguridad de la información, se debe revisar la situación de la Empresa. 

13. Esta Política también se aplica a carVertical OÜ, que aplica los requisitos descritos en la Política a terceros.