Política de seguretat

1. OBJECTE

ILUMINACIONES XIMÉNEZ, S.A.U. (d’ara endavant Iluminaciones Ximénez) considera la informació un actiu essencial per al correcte compliment de les seves funcions. Bona part de la informació continguda en els sistemes d’informació d’entitats públiques i privades, així com els serveis que presten, constitueixen actius estratègics nacionals. La informació i els serveis estan sotmesos a amenaces i riscos provinents d’accions malintencionades o il·lícites, errors o fallades i accidents o desastres.

Amb la finalitat de garantir que els serveis disponibles per mitjans electrònics es presten en condicions de màxima seguretat, Iluminaciones Ximénez desenvolupa i aprova aquesta Política de Seguretat de la Informació, aplicant les mesures mínimes de seguretat exigides per l’Esquema Nacional de Seguretat (ENS) en relació amb:

A. Organització i implantació del procés de seguretat.

B. Anàlisi i gestió dels riscos.

C. Gestió del personal.

D. Professionalitat.

E. Autorització i control dels accessos.

F. Protecció de les instal·lacions.

G. Adquisició de productes i contractació de serveis de seguretat.

H. Mínim privilegi.

I. Integritat i actualització del sistema.

J. Protecció de la informació emmagatzemada i en trànsit.

K. Prevenció davant altres sistemes d’informació interconnectats.

L. Registre de l’activitat i detecció de codi maliciós.

M. Incidents de seguretat.

N. Continuïtat de l’activitat.

O. Millora contínua del procés de seguretat.

Les diferents àrees han de garantir que la seguretat de la informació és una part vital dels serveis prestats per Iluminaciones Ximénez i custodiar aquesta informació al llarg de tot el seu cicle de vida (recollida, transport, tractament, emmagatzematge i destrucció). Les àrees han d’estar preparades per prevenir, detectar, reaccionar i recuperar-se d’incidents, assegurant així la continuïtat del servei amb un nivell adequat de qualitat i seguretat.

Aquesta Política de Seguretat garanteix el compromís ferm de la direcció amb la seva difusió, consolidació i compliment.

2. ABAST

Aquesta Política de Seguretat s’aplica a totes les àrees, serveis i empleats, interns i externs, d’Iluminaciones Ximénez, sigui quin sigui el seu nivell jeràrquic. Igualment, s’aplica a tots els sistemes d’informació i infraestructures de comunicació utilitzades en l’exercici de les funcions de l’organització.

Amb aquesta política, l’entitat manifesta el seu compromís d’establir, implementar, mantenir i millorar contínuament un sistema de gestió de la seguretat d’acord amb els principis de l’article 5 del Reial Decret 311/2022:

• Entendre la seguretat com un procés integral.

• Gestionar la seguretat basant-se en els riscos.

• Monitorar i vigilar contínuament els esdeveniments de seguretat per garantir la prevenció, detecció, resposta i conservació.

• Establir defenses.

• Avaluar periòdicament l’estat de la seguretat.

• Realitzar una clara diferenciació de les responsabilitats.

3. MISSIÓ I OBJECTIUS

Iluminaciones Ximénez, en el seu afany de complir les funcions i competències que li han estat encomanades, posa a disposició dels usuaris els serveis necessaris per satisfer les aspiracions i interessos de l’entitat, dels seus usuaris i clients. Per reforçar la seva missió, utilitza les tecnologies apropiades i potencia la relació electrònica amb els usuaris i clients, creant la confiança necessària mitjançant un sistema integral de seguretat de la informació que abasta tota l’organització.

Aquests sistemes pretenen garantir la qualitat de la informació i la prestació continuada dels serveis, actuant preventivament, supervisant l’activitat diària i reaccionant amb rapidesa davant els incidents. S’estableixen com a objectius generals:

1. Disposar de les mesures de control necessàries per complir els requisits legals aplicables, especialment en matèria de protecció de dades personals i de prestació de serveis electrònics.

2. Garantir l’accés, integritat, confidencialitat, disponibilitat, autenticitat i traçabilitat de la informació, així com la continuïtat dels serveis.

3. Protegir els recursos d’informació i la tecnologia utilitzada contra amenaces internes o externes, deliberades o accidentals.

4. Proporcionar confiança als usuaris protegint la seva informació durant tot el seu cicle de vida.

5. Facilitar la millora contínua dels processos, procediments, productes i serveis de seguretat.

6. Garantir la continuïtat de l’activitat mitjançant projectes de contingència en serveis crítics.

7. Conscienciar, formar i motivar el personal en matèria de seguretat.

4. MARC NORMATIU

El marc normatiu que afecta les activitats d’Iluminaciones Ximénez i exigeix mesures de seguretat inclou principalment:

• Reial Decret 311/2022, de 3 de maig, pel qual es regula l’Esquema Nacional de Seguretat.

• Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals.

• Reglament (UE) 2016/679 (RGPD).

També formen part del marc les altres normes estatals i autonòmiques vinculades a la seguretat de la informació i la protecció de dades.

El manteniment d’aquest marc recau en el Responsable de Seguretat de la Informació o la persona delegada, i inclourà les guies del CCN aplicables per millorar el compliment del ENS.

5. ORGANITZACIÓ DE LA SEGURETAT

Per gestionar i coordinar proactivament la seguretat, es constitueix el COMITÈ DE SEGURETAT DE LA INFORMACIÓ.
Estarà format pels següents rols:

a. RESPONSABLE DE LA INFORMACIÓ

Determina els requisits de la informació i assumeix la responsabilitat final del seu ús i protecció.

Informa sobre l’estat de la seguretat i pot convocar reunions del Comitè.

b. RESPONSABLE DEL SERVEI

Defineix els requisits dels serveis i els seus nivells de seguretat.

Vetlla pel compliment de la normativa en la seva àrea i informa el Responsable de la Informació.

c. RESPONSABLE DE LA SEGURETAT

Determina les decisions necessàries per satisfer els requisits de seguretat i supervisa la implantació de mesures.

Les seves funcions inclouen: anàlisi de riscos, declaració d’aplicabilitat, documentació, informes, plans de formació, de continuïtat, d’actuació i millora, etc.

Ha de ser diferent del Responsable del Sistema.

d. RESPONSABLE DEL SISTEMA

Implementa la seguretat en el sistema d’informació, en supervisa l’operació diària i realitza proves de continuïtat.

Pot suspendre un servei en cas de deficiències greus, amb acord dels rols implicats.

f. SECRETARI/A DEL COMITÈ

Redacta les actes de les reunions (rol exercit pel Responsable de Seguretat).

g. DELEGAT/DA DE PROTECCIÓ DE DADES (DPD/DPO)

Vetlla pel compliment dels drets de les persones interessades.

Nomenament i funcionament

Els membres del Comitè són nomenats per la direcció i revisats cada tres anys o quan hi hagi vacants.

Els conflictes no resolts es traslladaran a la direcció.

5.1 FUNCIONS DEL COMITÈ DE SEGURETAT

• Responsabilitats derivades del tractament de dades personals.

• Informar regularment a la direcció.

• Promoure la millora contínua.

• Elaborar l’estratègia de seguretat.

• Coordinar esforços entre àrees.

• Redactar i revisar la Política de Seguretat.

• Aprovar la normativa de seguretat.

• Avaluar riscos i establir mesures.

• Definir requisits de formació.

• Monitorar riscos residuals i incidents.

• Promoure auditories.

• Prioritzar actuacions.

• Garantir la seguretat en projectes TIC.

• Resoldre conflictes entre responsables.

• Aprovar plans de millora després d’incidents.

6. DESENVOLUPAMENT DE LA POLÍTICA

El Comitè ha aprovat el desenvolupament d’un sistema de gestió alineat amb els estàndards i controls del ENS.

Aquest sistema serà documentat i disposarà d’evidències.

La documentació serà accessible al personal, proveïdors i subcontractistes segons correspongui.

7. CONSCIENCIACIÓ

Iluminaciones Ximénez establirà els mecanismes necessaris perquè tot el personal disposi d’informació, formació i conscienciació adequades en matèria de seguretat i privacitat.

Tots els membres estan obligats a conèixer i complir aquesta Política i la normativa associada.

8. GESTIÓ DEL RISC

Es realitzaran anàlisis de riscos periòdiques i sempre que hi hagi canvis significatius, seguint el que estableix l’ENS.

El Comitè analitzarà els resultats i establirà salvaguardes adequades.

9. PROTECCIÓ DE DADES PERSONALS

Només es recolliran dades adequades, pertinents i no excessives.

S’adoptaran les mesures tècniques i organitzatives previstes per la legislació i pel ENS.

10. TERCERES PARTS

Quan es prestin serveis o es manegi informació d’altres entitats, aquestes seran informades de la Política i s’establiran canals de coordinació i resposta davant incidents.

Els proveïdors hauran de complir el ENS i permetre auditories.

En cas de riscos no coberts, caldrà un informe previ a la contractació.

Els sistemes d’intel·ligència artificial hauran de ser avaluats pels responsables corresponents i pel DPO.

11. GESTIÓ D’INCIDENTS DE SEGURETAT

L’entitat disposarà d’un procediment àgil i integrat amb altres obligacions normatives (com el RGPD) per gestionar incidents i comunicar-los quan sigui necessari.

12. APROVACIÓ I REVISIÓ

Aquesta política pot ser modificada a proposta del Comitè per adaptar-se a canvis legislatius, tècnics o organitzatius.

La direcció l’aprovarà inicialment i en revisions posteriors.

La revisió es farà, com a mínim, anualment.

Puente Genil, 4 de novembre de 2025