Information Security Policy

THE COCKTAIL is aware of and assumes its commitment to information security according to the reference standards ISO 27001 and RD 311/2022 Medium category.

The management of THE COCKTAIL establishes the following principles:

  • The information is protected against unauthorized access.
  • It complies with applicable legal requirements.
  • Business requirements regarding information security and information systems are met.
  • The Security Committee assesses the information assets it has THE COCKTAIL from which the risk analysis and subsequently the risk management will be derived. Both the analysis and the risk management will be reviewed annually by the Management, which will decide whether to carry out a new risk analysis and management. The risks to be treated will be reflected in the Risk Treatment Plan.
  • Security incidents are reported and treated appropriately.
  • Procedures are established to comply with the Security Policy.
  • The Security Manager will be in charge of maintaining this policy, the management manual, the procedures and providing support in their implementation. In addition to supervising and verifying compliance with the Risk Treatment Plan that corresponds to each year.
  • Each employee is responsible for complying with this Policy and its procedures as applicable to his or her job.
  • It is the policy of THE COCKTAIL to implement, maintain and monitor the ISMS.
  • THE COCKTAIL is committed to the continuous improvement of the Management System. To do this, it is based on policies, objectives, results of internal audits, data analysis, corrective and preventive actions and review by management to facilitate continuous improvement.

These principles are assumed by the management of THE COCKTAIL, who has the necessary means and provides its employees with sufficient resources for compliance, and expresses them and makes them publicly known through this Information Security Policy.

Policy approved by The Cocktail Group Management.

In Madrid, on September 26, 2023.

Política de Seguridad de la Información ENS

1. Aprobación, revisión y entrada en vigor

Esta Política de Seguridad de la Información es efectiva desde 10 de julio de 2025, fecha en la cual el presente texto es aprobado por la Dirección de VML The Cocktail hasta que sea reemplazada por una nueva versión.

La oportunidad, idoneidad, completitud y precisión de esta política de seguridad será revisada de manera anual, en la revisión por la Dirección del sistema, de acuerdo al procedimiento “PS.02 Comité de Seguridad”.

2. Introducción

VML The Cocktail depende de los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada a los servicios prestados.

El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuidad de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.

Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad, así como realizar un seguimiento continuo de los niveles de prestación de los servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

VML The Cocktail debe cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación, deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos TIC.

VML The Cocktail debe estar preparada para prevenir, detectar, reaccionar y recuperarse de incidentes, de acuerdo al Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.

3. Alcance

Esta Política de seguridad será de obligado cumplimiento para todos los miembros de VML The Cocktail que dan soporte a las actividades de prestación de los siguientes servicios:

  • Consultoría y desarrollo de Software.
  • Análisis Digital, gestión de medios e ingeniería de datos.
  • Estudios cuantitativos y cualitativos de mercado.

4. Misión

En VML The Cocktail somos especialistas en traducir objetivos de negocio en productos y servicios digitales innovadores, atractivos y rentables. Somos una consultora nativa digital y multinacional, enfocada en diseño de productos y servicios digitales multicanal, negocio digital y tecnología web.

Nuestro enfoque: combinando el entendimiento de las necesidades de los usuarios, de los modelos de negocio de las industrias para las que trabajamos, el design thinking, la tecnología y el análisis de datos reales de uso y comportamiento de compra, nos hemos convertido en una referencia en el proceso de digitalización de nuestros clientes.

Nuestros valores:

  • Afrontamos los retos desde la honestidad: militancia pro-usuario, edge tecnológico y orientación a negocio.
  • Lideramos historias de transformación con equipos de especialistas enfocados en lo relevante: que las cosas sucedan.
  • Analizamos la relación entre marcas y personas, y la adaptamos a las realidades de cada mercado.

5. Marco Normativo

Se toma como referencia básica en materia de Seguridad de la Información la normativa siguiente:

  • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos).
  • Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza.
  • Real Decreto Legislativo 1/1996, de 12 de abril, Ley de Propiedad Intelectual.
  • Real Decreto ley 2/2018, de 13 de abril, por el que se modifica el texto refundido de la Ley de Propiedad Intelectual, aprobado por el Real Decreto Legislativo 1/1996, de 12 de abril, y por el que se incorporan al ordenamiento jurídico español la Directiva 2014/26/UE del Parlamento Europeo y del Consejo, de 26 de febrero de 2014, y la Directiva (UE) 2017/1564 del Parlamento Europeo y del Consejo, de 13 de septiembre de 2017.
  • Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI).
  • Ley 9/2014, de 9 de mayo, de Telecomunicaciones.
  • Reglamento (UE) 910/2014 del parlamento europeo y del consejo de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (Reglamento Europeo eIDAS).
  • Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad.
  • Resolución de 27 de marzo de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas de Información.
  • Resolución de 13 de abril de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Notificación de Incidentes de Seguridad.

6. Principios Básicos

Los principios básicos son las directrices fundamentales de seguridad que se han de tener siempre presentes en cualquier actividad relacionada con el uso de los activos de información. Se establecen los siguientes:

6.1 Alcance estratégico

La seguridad de la información debe contar con el compromiso y apoyo de todos los niveles de la entidad y deberá coordinarse e integrarse con el resto de las iniciativas estratégicas de forma coherente.

6.2 Seguridad como proceso integral 

La seguridad en VML The cocktail se entenderá como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con los sistemas TIC, procurando evitar cualquier actuación puntual o tratamiento coyuntural. VML The cocktail considera la seguridad de la información como parte de la operativa habitual, estando presente y aplicándose desde el diseño inicial de los sistemas TIC.

6.3 Gestión de la seguridad basada en los riesgos 

En VML The cocktail el análisis y gestión de riesgos es parte esencial del proceso de seguridad. La gestión de riesgos permitirá a VML The cocktail el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. La reducción de estos niveles se realizará mediante el despliegue de medidas de seguridad, que establecerá un equilibrio entre la naturaleza de los datos y los tratamientos, el impacto y la probabilidad de los riesgos a los que estén expuestos y la eficacia y el coste de las medidas de seguridad. Al evaluar el riesgo en relación con la seguridad de los datos, se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales.

6.4 Prevención, detección, respuesta y recuperación

6.4.1 Prevención

VML The Cocktail debe evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello implementará las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evolución de amenazas y riesgos. Estos controles, van a estar claramente definidos y documentados.

Para garantizar el cumplimiento de la política, los departamentos deben:

  • Autorizar los sistemas antes de entrar en operación.
  • Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
  • Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.
6.4.2 Detección

VML The Cocktail, establece controles de operación de sus sistemas de información con el objetivo de detectar anomalías en la prestación de los servicios y actuar en consecuencia según lo dispuesto en el artículo 10 del ENS (vigilancia continua y reevaluación periódica). Cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales (conforme a lo indicado en el artículo 9 del ENS, Existencia de líneas de defensa), se establecerán los mecanismos de detección, análisis y reporte necesarios para que lleguen a los responsables regularmente.

6.4.3 Respuesta

VML The Cocktail:

  • Establece mecanismos para responder eficazmente a los incidentes de seguridad.
  • Designa puntos de contacto para las comunicaciones con respecto a incidentes detectados en otros departamentos o en otros organismos.
  • Establece protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT).
6.4.4 Recuperación

Para garantizar la disponibilidad de los servicios, VML The Cocktail, dispone de los medios y técnicas necesarias que permiten garantizar la recuperación de los servicios más críticos.
 

6.4.5 Conservación

La información gestionada debe mantenerse accesible y utilizable durante el tiempo que sea necesario para cumplir con las obligaciones legales, administrativas o contractuales. Este principio garantiza que la información no se pierda ni se degrade, y que pueda ser recuperada en condiciones adecuadas de calidad, integridad y autenticidad. 

Se debe asegurar la continuidad operativa y la trazabilidad de las actuaciones de la organización, permitiendo responder ante auditorías, reclamaciones o revisiones.

6.5 Existencia de líneas de defensa

El sistema de información de VML The Cocktail dispondrá de una estrategia de protección constituida por diferentes capas, de forma que cuando una de las capas sea comprometida, permita desarrollar una acción adecuada frente a los incidentes que no han podido evitarse, reduciendo la probabilidad de que el sistema sea comprometido en su conjunto, minimizando el impacto final sobre el mismo.

Existirán líneas de defensa constituidas tanto por medidas organizativas, físicas y lógicas. 

6.6 Vigilancia continua y reevaluación periódica

VML The Cocktail llevará a cabo una vigilancia continua que permita la detección de actividades o comportamientos anómalos y su oportuna respuesta.

La evaluación permanente del estado de la seguridad de los activos permite a VML The Cocktail medir su evolución, detectando vulnerabilidades e identificando deficiencias de configuración.

VML The Cocktail reevaluará y actualizará periódicamente las medidas de seguridad, adecuando su eficacia a la evolución de los riesgos y los sistemas de protección, pudiendo llegar a un replanteamiento de la seguridad, si fuese necesario.

6.7 Seguridad por defecto y desde el diseño

Los sistemas deben estar diseñados y configurados para garantizar la seguridad por defecto. Los sistemas proporcionarán la funcionalidad mínima necesaria para prestar el servicio para el que fueron diseñados 

6.8 Diferenciación de responsabilidades 

VML The cocktail tendrá en cuenta la diferenciación de responsabilidades en su sistema de información, siempre que sea posible. El detalle de las atribuciones de cada responsable, los mecanismos de coordinación y la resolución de conflictos se detallarán a lo largo de la presente política de seguridad.

7. Requisitos mínimos

Esta política de seguridad de la Información complementa las políticas de seguridad de VML The Cocktail en materia de protección de datos de carácter personal.

Esta Política de Seguridad de seguridad se desarrollará aplicando los siguientes requisitos mínimos:

  • Organización e implantación del proceso de seguridad, de acuerdo al marco organizativo definido en el apartado 8 de esta Política.
  • Análisis y gestión de los riesgos, de acuerdo a lo previsto en el procedimiento PS.12 Análisis y Gestión de Riesgos.
  • Gestión de personal, de acuerdo a lo previsto en el procedimiento PS.04 Gestión de Personal.
  • Profesionalidad, de acuerdo a lo previsto en el procedimiento PS.04 Gestión de Personal.
  • Autorización y control de los accesos, de acuerdo a lo previsto en el procedimiento PS.07 Control de Accesos.
  • Protección de las instalaciones, de acuerdo a lo previsto en el procedimiento PS.08 Seguridad Física.
  • Adquisición de productos, de acuerdo a lo previsto en el procedimiento PS.06 Gestión de proveedores.
  • Seguridad por defecto, de acuerdo a lo previsto en el procedimiento PS.09 Seguridad Lógica
  • Integridad y actualización del sistema, de acuerdo a lo previsto en el procedimiento PS.09 Seguridad Lógica.
  • Protección de la información almacenada y en tránsito, de acuerdo a lo previsto en el procedimiento PS.09 Seguridad Lógica.
  • Prevención ante otros sistemas de información interconectados, de acuerdo a lo previsto en el procedimiento PS.09 Seguridad Lógica.
  • Registro de actividad, de acuerdo a lo previsto en el procedimiento PS.09 Seguridad Lógica.
  • Incidentes de seguridad, de acuerdo a lo previsto en el procedimiento PS.10 Gestión de Incidencias.
  • Continuidad de la actividad, de acuerdo a lo previsto en el procedimiento PS.10 Gestión de Incidencias.
  • Mejora continua del proceso de seguridad, de acuerdo a lo previsto en el procedimiento PS.05 Mejora continua.

8. Organización de la seguridad

La implantación de la Política de Seguridad en The Cocktail requiere que todos los miembros de la organización entiendan sus obligaciones y responsabilidades en función del puesto desempeñado. Como parte de la Política de Seguridad de la Información, cada rol específico, personalizado en usuarios concretos, debe entender las implicaciones de sus acciones y las responsabilidades que tiene atribuidas, quedando identificadas y detalladas en esta sección, y que se agrupan del modo siguiente:

  1. El Comité de Seguridad de la Información
  2. Responsables del Servicio
  3. Responsables de la Información
  4. Responsable de Seguridad de la Información
  5. Responsable del Sistema
  6. Área legal

En los siguientes apartados se especifican las funciones atribuidas a cada uno de estos roles.

8.1 Comité de seguridad de la información

El Comité de Seguridad de la Información coordina la seguridad de la información en The Cocktail. Dicho Comité está compuesto por cada una de las figuras anteriormente mencionadas.

Las funciones del Comité de Seguridad de la Información son las siguientes: 

  • Revisión y propuesta de la Política de Seguridad de la Información, para su aprobación por la Dirección.
  • Revisión y propuesta de la Normativa de Seguridad de la Información para su aprobación por la Dirección.
  • Informar regularmente del estado de la seguridad de la información a la Dirección.
  • Promover la mejora continua del sistema de gestión de la seguridad de la información.
  • Elaborar la estrategia de evolución de la organización en lo que respecta a seguridad de la información.
  • Coordinar los esfuerzos de las diferentes áreas en materia de seguridad de la información, para asegurar que los esfuerzos son consistentes, que están alineados con la estrategia decidida en la materia, evitando duplicidades.
  • Definir e impulsar la estrategia y la planificación de la seguridad de la información proponiendo la asignación de presupuesto y los recursos precisos.
  • Supervisión y control de los cambios significativos en la exposición de los activos de información a las amenazas principales, así como del desarrollo e implantación de los controles y medidas destinados a garantizar la Seguridad de dichos activos;
  • Aprobación de las iniciativas principales para mejorar la Seguridad de la Información.
  • Promover mecanismos para asegurar la concienciación, educación y formación en materia de seguridad de todo el personal. 
  • Coordinar y promover las acciones necesarias, relacionadas con el cumplimiento legal y normativo, en temas relacionados con la seguridad de la información. 
  • Resolver los conflictos de responsabilidad que puedan aparecer entre los diferentes responsables, elevando aquellos casos en los que no tenga suficiente autoridad para decidir.
8.1.1 Responsable de la Información
  • Tiene la potestad de establecer los requisitos, en materia de seguridad, de la información gestionada. Si esta información incluye datos de carácter personal, además deberán tenerse en cuenta los requisitos derivados de la legislación correspondiente sobre protección de datos. 
  • Determina los niveles de seguridad de la información, valorando las consecuencias de un impacto negativo. 
8.1.2 Responsable del Servicio
  • Tiene la potestad de establecer los requisitos, en materia de seguridad, de los servicios prestados. 
  • Determina los niveles de seguridad de la información, valorando las consecuencias de un impacto negativo.
8.1.3 Responsable de Seguridad de la Información

Responsable de la definición, coordinación, implantación y verificación de cumplimiento de los requisitos de seguridad de la información definidos de acuerdo a los objetivos estratégicos de la organización.

El Responsable de Seguridad es el Punto de Contacto (PoC).

Las funciones del Responsable de Seguridad de la Información son las siguientes: 

  • La determinación de la categoría de seguridad del sistema, con base en las valoraciones de los Responsables de la Información y del Servicio. 
  • Formalizar y aprobar la Declaración de Aplicabilidad, que incluirá las medidas seleccionadas del Anexo II del ENS, incluyendo las medidas compensatorias o complementarias de vigilancia. 
  • Analizar los informes de Auditoria que se refieran a los sistemas de su ámbito competencial, y presentación de sus conclusiones al Responsable del Sistema y, en su caso, al Comité de Seguridad de la Información. 
  • Aprobar explícitamente los cambios que impliquen un riesgo alto, con carácter previo a su implantación. 
  • Actuará como Punto o Persona de Contacto (POC), canalizando las comunicaciones relativas a la seguridad de la información y la gestión de los incidentes para el ámbito de dicho servicio con los destinatarios de los servicios 
  • Dirigir las reuniones del Comité de Seguridad, informando, proponiendo y coordinando sus actividades y decisiones. 
  • Coordinar y controlar las medidas de seguridad de la información y de protección de datos de VML The cocktail. 
  • Supervisar la implantación, mantener, controlar y verificar el cumplimiento de:
    • La estrategia de seguridad de la información que se haya definido por el Comité de Seguridad. 
    • Las normas y procedimientos contenidos en la Política de Seguridad de la Información de VML The cocktail y normativa de desarrollo. 
  • Supervisar (como responsable último) los incidentes de seguridad informática producidos en VML The cocktail.
  • Difundir en VML The cocktail las normas y procedimientos contenidos en la Política de Seguridad de la Información de VML The cocktail y normativa de desarrollo, así como las funciones y obligaciones de VML The cocktail en materia de seguridad de la información. 
  • Supervisar y colaborar en las auditorías internas o externas necesarias para verificar el grado de cumplimiento de la Política de Seguridad, normativa de desarrollo y leyes aplicables tales como el RGPD.
  • Asesorar en materia de seguridad de la información a las diferentes áreas operativas de VML The cocktail.
8.1.4 Responsable del Sistema

Es responsable último de asegurar la ejecución de medidas para asegurar los activos y servicios de los Sistemas de Información, que soportan la actividad VML The Cocktail, de acuerdo a los objetivos estratégicos de VML The Cocktail.

Las funciones del Responsable del Sistema de la Información son las siguientes: 

  • Desarrollar la forma concreta de implementar la seguridad en el sistema y de la supervisión de la operación diaria del mismo, pudiendo delegar en administradores u operadores bajo su responsabilidad. 
  • Seleccionar y establecer las funciones y obligaciones a los técnicos informáticos encargados de personificar una gestión de la seguridad de los activos de VML The cocktail, conforme a la estrategia de seguridad definida. 
  • Adoptar las medidas correctoras adecuadas derivadas de los informes de Auditoría. En el caso de los sistemas de categoría ALTA, visto el dictamen de auditoría y atendiendo a una eventual gravedad de las deficiencias encontradas, podrá suspender temporalmente el tratamiento de informaciones, la prestación de servicios o la total operación del sistema, hasta su adecuada subsanación o mitigación. 
  • Garantizar la actualización del inventario de activos de Sistemas de Información de VML The cocktail. 
  • Asegurar que existe el nivel de seguridad informática adecuado para cada uno de los activos inventariados, coordinando el correcto desarrollo, implantación, adecuación y operación de los controles y medidas destinados a garantizar el nivel de protección requerido. 
  • Garantizar que la implantación de nuevos sistemas y de los cambios en los existentes cumple con los requerimientos de seguridad establecidos en VML The cocktail. 
  • Establecer los procesos y controles de monitorización del estado de la seguridad que permitan detectar las incidencias producidas y coordinar su investigación y resolución.
  • Mantener y actualizar las directrices y políticas de seguridad de los Sistemas de Información y normativa asociada.
8.1.5 Representante del Área Legal

Será responsable de:

  • Participar en las reuniones del Comité de Seguridad en representación de la Dirección.
  • Informar a la Dirección de los acuerdos y decisiones tomadas durante las reuniones del Comité de Seguridad.

8.2 Procedimientos de designación

Los nombramientos se revisarán cada 2 años o cuando alguno de los puestos quede vacante.

El Responsable de Seguridad de la Información será nombrado por la Dirección a propuesta del Comité de Seguridad.

8.3 Resolución de conflictos

En caso de conflicto entre los diferentes responsables y/o entre diferentes servicios de VML The Cocktail, éste será resuelto por el superior jerárquico de los mismos con la mediación del Responsable de Seguridad. En defecto de lo anterior, prevalecerá la decisión del Comité de Seguridad, elevando a la Dirección aquellos casos en los que no tenga suficiente autoridad para decidir. 

En la resolución de estas controversias se tendrán siempre en cuenta las exigencias derivadas de la protección de datos de carácter personal.

9. Datos de carácter personal

VML The Cocktail trata datos de carácter personal.

Todos los sistemas de información de VML The Cocktail se ajustarán a los niveles de seguridad requeridos por la normativa vigente en materia de Protección de Datos de Carácter Personal, identificada en el apartado 5. Marco Normativo, de la presente Política de Seguridad de la Información.

Todo usuario interno o externo que, en virtud de su actividad profesional, pudiera tener acceso a datos de carácter personal, está obligado a guardar secreto sobre los mismos, deber que se mantendrá de manera indefinida, incluso más allá de la relación laboral o profesional con VML The Cocktail.

10. Concienciación y formación

El objetivo es lograr la plena conciencia en la seguridad de la información, que afecta a todos los miembros de VML The Cocktail y a todas las actividades, de acuerdo con el principio de Seguridad como proceso integral recogido en el Artículo 6 del ENS, así como la articulación de los medios necesarios para que todas las personas que intervienen en el proceso y sus responsables jerárquicos tengan una sensibilidad hacia los riesgos que se corren.

VML The Cocktail define su proceso de formación y concienciación en seguridad de la información en el procedimiento “PS.04 Gestión de Personal”.

11. Gestión de riesgos

Para todos los sistemas sujetos a esta Política de Seguridad de la Información debe realizarse periódicamente una evaluación de los a los que están expuestos. Este análisis se repetirá:

  • Regularmente, al menos una vez al año
  • Cuando cambie la información gestionada
  • Cuando cambien los servicios prestados
  • Cuando ocurra un incidente grave de seguridad
  • Cuando se reporten vulnerabilidades graves

Para la armonización de los análisis de riesgos, el Comité de Seguridad establecerá una valoración de referencia para los diferentes tipos de información gestionados y los diferentes servicios prestados. El Comité de Seguridad dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.

12. Estructuración de la documentación

Las directrices para la estructuración, gestión y acceso a la documentación de seguridad del SGSI del VML The Cocktail, se definen en el procedimiento PS.01 Control de Documentación.

Se ha establecido un marco normativo en materia de seguridad de la información estructurado en diferentes niveles, de forma que los principios y los objetivos marcados en la política de seguridad de la institución tengan un desarrollo específico:

  • Primer nivel: la presente Política de Seguridad de la Información, que debe ser aprobada por la Dirección de VML The Cocktail a propuesta del Comité de Seguridad.
  • Segundo nivel: la normativa de seguridad de la información aprobada por la Dirección de VML The Cocktail. En ella se establecerán unas normas de uso aceptable de los sistemas de información.
  • Tercer nivel: los procedimientos de seguridad de la información, en los que se detallará la manera correcta de realizar determinados procesos de modo que se proteja en todo momento la seguridad y la información. Estos procedimientos han de ser aprobados por el Comité de Seguridad.
  • Cuarto nivel: estándares de seguridad, instrucciones técnicas, buenas prácticas, recomendaciones, guías, cursos de formación, presentaciones, etc. Estos documentos han de ser aprobados por el Comité de Seguridad.

Los documentos que integran el SGSI se encuentran, en soporte digital, a disposición de todo el personal al que le sea necesario para el desempeño de las funciones relacionadas con su puesto de trabajo. Estará disponible para su consulta, sin posibilidad de modificación.

13. Calificación de la información

Para calificar la información de VML The Cocktail, atenderá a lo establecido legalmente por las leyes y tratados internacionales de los que España es miembro y su normativa de aplicación cuando se trate de materias clasificadas. 

Tanto el responsable de cada información manejada por el sistema como los criterios de calificación de la información, que determinarán el nivel de seguridad requerido, se establecen en el procedimiento PS.15 Clasificación de la información.

14. Obligaciones del personal

Todos y cada uno de los usuarios de los sistemas de información de VML The Cocktail son responsables de la seguridad de los activos de información mediante un uso correcto de los mismos, siempre de acuerdo con sus atribuciones profesionales y académicas.

Todos los miembros de VML The Cocktail tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad, siendo responsabilidad del Comité de Seguridad disponer los medios necesarios para que la información llegue a los afectados.

Los miembros de VML The Cocktail recibirán formación en materia de seguridad de la información al menos una vez al año. Se establecerá un programa de concienciación continua para atender a todos los miembros de VML The Cocktail, en particular a los de nueva incorporación.

Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.

15. Terceras partes, prestadores de servicios y proveedores de soluciones

Cuando VML The Cocktail preste servicios a otras entidades o maneje información de otras entidades, se les hará partícipes de esta Política de Seguridad de la Información, sin perjuicio de respetar las obligaciones de la normativa de protección de datos si actúa como encargado del tratamiento en la prestación de los citados servicios, y se establecerán canales para reporte y coordinación de los respectivos Comités de Seguridad y procedimientos de actuación para la reacción ante incidentes de seguridad. Además, el Responsable de Seguridad (o persona en quien delegue) será el Punto de Contacto (POC).

Cuando VML The Cocktail utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que atañe a dichos servicios o información, sin perjuicio del cumplimiento de otras obligaciones en materia de protección de datos. En la contratación de prestadores de servicios o adquisición de productos se tendrá en cuenta la obligación del adjudicatario de cumplir con el ENS.

Dichas terceras partes quedarán sujetas a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla, de modo que VML The Cocktail pueda supervisarlos o solicitar evidencias del cumplimiento de estos, incluso auditorías de segunda o tercera parte. Se establecerán procedimientos específicos de reporte y resolución de incidencias que deberán ser canalizadas por el POC de los terceros implicados y, además, cuando se afecte a datos personales por el Responsable de Protección de Datos. Los terceros garantizarán que su personal está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política o el que específicamente se pueda exigir en el contrato.

Cuando algún aspecto de la Política no pueda ser satisfecho por un tercero según se requiere en los párrafos anteriores, el Responsable de Seguridad emitirá un informe que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes del inicio de la contratación o, en su caso, de la adjudicación. El informe se trasladará al representante de la entidad que deberá autorizar la continuación con la tramitación de contratación del tercero, asumiendo los riesgos detectados.

Cuando la entidad adquiera, desarrolle o implante un sistema de Inteligencia Artificial, además de cumplir con lo establecido en la normativa vigente en la materia, deberá contar con el informe del Responsable de la Seguridad, que consultará al Responsable de la Información y del Servicio y, cuando sea necesario, al del Sistema, debiendo también el Responsable de Protección de Datos emitir su parecer.

16. Gestión de incidentes de seguridad

VML The cocktail dispondrá de un procedimiento para la gestión ágil de los eventos e incidentes de seguridad que supongan una amenaza para la información y los servicios. Este procedimiento se integrará con otros relacionados con los incidentes de seguridad de otras normas sectoriales como la de protección de datos personales u otra que afecte al organismo para coordinar la respuesta desde los diferentes enfoques y comunicar a los diferentes organismos de control sin dilaciones indebidas y, cuando sea preciso, a las Fuerzas y Cuerpos de Seguridad el Estado o los juzgados

16.1 Incumplimiento

El incumplimiento de la presente Política de Seguridad de la Información podrá acarrear el inicio de las medidas disciplinarias que procedan, sin perjuicio de las responsabilidades legales correspondientes.

17. Terceras partes

Las empresas y organizaciones externas que, con ocasión de su colaboración con VML The cocktail para la prestación de un servicio, accedan o gestionen activos de información de VML The cocktail o de sus usuarios, directa o indirectamente (en sistemas propios o ajenos), comparten la responsabilidad de mantener la seguridad de los sistemas y activos de VML The cocktail, por lo que deberán asumir las siguientes obligaciones: 

  • No difundir ninguna información relativa a los servicios proporcionados a VML The cocktail sin autorización expresa para ello.
  • Informar y difundir a su personal las obligaciones establecidas en esta Política. 
  • Aplicar las medidas estipuladas por RGPD en el tratamiento de los datos personales responsabilidad de VML The cocktail que trate por razón de la prestación del servicio. 
  • Aplicar los procedimientos para la gestión de seguridad relacionados con los servicios proporcionados a VML The cocktail. Especialmente se deben aplicar los procedimientos relacionados con la gestión de usuarios, tales como notificaciones de altas y bajas, identificación de los usuarios, gestión de contraseñas, etc., en el sentido descrito en la presente política y normativa reguladora que sea de aplicación. 
  •  Notificar cualquier incidencia o sospecha de amenaza a la seguridad de algún sistema o activo de VML The cocktail a través de los mecanismos que se determinen, colaborando en la resolución de las mismas relacionados con los sistemas, servicios o personal de la propia entidad. 
  • Implantar medidas en sus propios sistemas y redes para prevenir la difusión de virus y/o código malicioso a los sistemas de VML The cocktail. Específicamente, cualquier equipo conectado a la red corporativa de VML The cocktail debe disponer de un antivirus actualizado preferiblemente de forma automática.  
  • Implantar medidas en sus propios sistemas y redes para prevenir el acceso no autorizado a los sistemas de VML The cocktail desde otras redes. Entre otros, se deben aplicar las actualizaciones de seguridad en sus sistemas y se debe mantener un sistema cortafuegos para proteger las conexiones desde Internet y otras redes no confiables.