Agendar demo
Iniciar sessió

Política de seguretat

1. APROVACIÓ I ENTRADA EN VIGOR

La present Política de Seguretat de la Informació ha estat aprovada per Llorenç Solé, Gerent de WeTown, el dia 02/04/2025, de conformitat amb el que estableix l’article 12 del Reial decret 311/2022.

Aquesta política serà revisada anualment o sempre que es produeixin canvis significatius en els serveis, l’estructura o la normativa aplicable.

2. INTRODUCCIÓ

Aquesta política estableix les directrius generals de seguretat de la informació a WeTown, en el marc de l’Esquema Nacional de Seguretat (ENS), aplicant els principis del Reial decret 311/2022, del Reglament General de Protecció de Dades (RGPD) i la resta de normativa vigent.

2.1. PREVENCIÓ

WeTown, a través dels seus responsables i departaments, ha d’evitar o, si escau, minimitzar al màxim els impactes que es puguin derivar d’incidents de seguretat que afectin la confidencialitat, integritat, disponibilitat, autenticitat o traçabilitat de la informació i els serveis.

Amb aquest objectiu, s’implanten les mesures mínimes exigides per l’Esquema Nacional de Seguretat (ENS), així com controls addicionals identificats mitjançant l’anàlisi de riscos i amenaces, d’acord amb el principi de proporcionalitat i millora contínua.

Per garantir el compliment d’aquesta política, s’estableixen les accions estructurals següents:

Autorització formal dels sistemes TIC abans de la seva posada en producció.
Avaluacions de seguretat periòdiques, inclosa la revisió de canvis rutinaris de configuració.
Sol·licitud d’auditories i revisions independents per part de tercers, amb periodicitat planificada, com a part del cicle de millora.

Els controls establerts, juntament amb els rols i responsabilitats de seguretat, estaran definits i documentats d’acord amb la normativa interna i seran comunicats a tot el personal implicat.

2.2. DETECCIÓ

La capacitat de detecció primerenca d’incidents és essencial per preservar els nivells de servei i reduir l’impacte dels esdeveniments de seguretat.

WeTown implementarà mecanismes de monitoratge continu sobre els seus sistemes i serveis per identificar de manera proactiva comportaments anòmals, degradacions de rendiment o desviacions respecte dels paràmetres prèviament establerts com a normals.

S’estableixen les mesures següents:

Monitoratge sistemàtic dels sistemes i serveis en producció.
Registre i anàlisi d’esdeveniments rellevants, accessibles als responsables de seguretat.
Definició de llindars d’alerta i mecanismes de notificació immediata davant d’anomalies.

La informació recopilada serà tractada amb criteris d’integritat i traçabilitat, facilitant la correlació d’esdeveniments, la detecció primerenca de patrons i el suport als processos de resposta.

2.3. RESPOSTA

Amb l’objectiu d’actuar amb rapidesa davant d’incidents de seguretat, es desenvoluparan i implantaran protocols específics per a la seva gestió eficient i coordinada.

Els departaments han de:

Establir procediments formals de resposta davant d’incidents, integrats en el Sistema de Gestió de Seguretat de la Informació.
Designar punts de contacte responsables de coordinar internament la resposta i canalitzar la comunicació amb altres departaments, organitzacions o autoritats.
Establir canals d’intercanvi d’informació amb organismes externs (CERT/CSIRT), com l’INCIBE-CERT o el CCN-CERT, garantint la bidireccionalitat, la traçabilitat i la confidencialitat.

Tot incident serà registrat, categoritzat i tractat d’acord amb el seu nivell de criticitat, activant-se els nivells d’escalat i comunicació previstos.

2.4. RECUPERACIÓ

WeTown garantirà la disponibilitat dels serveis crítics mitjançant el desenvolupament de plans de continuïtat tecnològica, integrats en el seu pla general de continuïtat de negoci.

Aquests plans inclouran:

Identificació d’actius i processos crítics.
Definició d’estratègies de còpia de seguretat i recuperació davant de desastres (backup/restore, replicació, tolerància a fallades, etc.).
Procediments d’activació dels plans, incloent-hi responsables, mitjans i temps de recuperació acceptables (RTO/RPO).
Proves regulars dels mecanismes definits, amb seguiment dels resultats i incorporació de millores.

La recuperació dels serveis haurà de minimitzar l’impacte sobre els usuaris i garantir el restabliment de la normalitat operativa en el menor temps possible.

3. ABAST

Aquesta política s’aplica a tots els sistemes d’informació, recursos tecnològics, processos, empleats, col·laboradors i tercers de WeTown relacionats amb la gestió i tractament de la informació, en qualsevol format, que formi part del Sistema d’Informació subjecte a l’ENS.

 

4. MISSIÓ DE L’ORGANITZACIÓ [org.1.1]

WeTown té com a missió oferir solucions tecnològiques centrades en la participació i comunicació ciutadana i la transformació digital segura de comunitats i ajuntaments, assegurant en tot moment la protecció de la informació i els serveis prestats.

5. MARC NORMATIU [org.1.2]

Les activitats de WeTown es desenvolupen d’acord amb el marc normatiu següent:

Reial decret 311/2022 (ENS)
RGPD (UE 2016/679)
Llei orgànica 3/2018 (LOPDGDD)
Llei 39/2015 i Llei 40/2015

WeTown disposa d’un procediment intern per identificar, registrar i actualitzar tota la normativa aplicable en matèria de seguretat i protecció de dades.

 

6. ORGANITZACIÓ DE LA SEGURETAT

6.1. COMITÈS: FUNCIONS I RESPONSABILITATS

D’acord amb la guia CCN-STIC 402, WeTown ha constituït un Comitè de Seguretat de la Informació com a òrgan col·legiat encarregat de coordinar, impulsar i supervisar les activitats de seguretat dins del Sistema de Gestió de Seguretat de la Informació.

El Comitè de Seguretat TIC està format per:

Llorenç Solé Borràs, Responsable del Servei (CEO)
Daniel Fargas Alcántara, Responsable de la Informació i del Sistema (CTO)
Antonio Martínez Cívico, Responsable de Seguretat (Enginyer de Programari)

El Secretari del Comitè de Seguretat TIC serà Antonio Martínez Cívico, que tindrà com a funcions:

Preparar les convocatòries i actes de les reunions.
Coordinar l’execució de les accions acordades pel comitè.
Mantenir actualitzat el registre d’acords i incidències.

El Comitè de Seguretat TIC depèn directament de la Direcció General de WeTown, representada pel CEO.

Les funcions del Comitè de Seguretat de la Informació inclouen:

Revisar i proposar l’aprovació o modificació de la Política de Seguretat de la Informació.
Supervisar la implantació de mesures tècniques i organitzatives de seguretat.
Avaluar periòdicament els riscos i el seu tractament.
Promoure activitats de conscienciació i formació en seguretat.
Proposar recursos i pressupostos necessaris per a la millora contínua.
Avaluar incidents rellevants i impulsar accions correctores.

6.2. ROLS: FUNCIONS I RESPONSABILITATS

Segons la guia CCN-STIC 801, s’han designat formalment els rols següents:

Responsable del Servei (RSERV):

Llorenç Solé Borràs (CEO)

Determina els requisits de seguretat aplicables als serveis prestats i accepta els nivells de risc residual associats a aquests serveis.

Responsable de la Informació (RINFO):

Daniel Fargas Alcántara (CTO)

Determina els requisits de seguretat de la informació tractada, estableix els nivells de seguretat i col·labora en la classificació dels actius.

Responsable de Seguretat de la Informació (RSEG):

Antonio Martínez Cívico

Defineix, coordina i supervisa el compliment de les mesures de seguretat. Actua com a punt de contacte davant del CCN-CERT o autoritats competents. Assessora la resta de rols i participa activament en el Comitè de Seguretat.

Responsable del Sistema (RSIS):

Daniel Fargas Alcántara

Implementa les mesures de seguretat en el sistema, en monitoritza l’estat, aplica pegats i configura els controls tècnics de seguretat. Pot delegar en administradors tècnics sota la seva supervisió.

Nota: En cas d’evolució de l’estructura, es podran designar Responsables Delegats de Seguretat que assumiran funcions específiques en coordinació amb el RSEG.

6.3. PROCEDIMENTS DE DESIGNACIÓ

El Responsable de Seguretat de la Informació (RSEG) serà nomenat per la Direcció General de WeTown, a proposta del Comitè de Seguretat TIC. El nomenament serà vàlid per dos anys, i podrà renovar-se o revocar-se per motius justificats o canvis organitzatius.

El Responsable del Sistema (RSIS) serà designat per l’àrea responsable del servei TIC corresponent, en compliment del que estableix la Llei 11/2007 (actualment derogada, però integrada a la Llei 39/2015), i se n’haurà de documentar formalment la designació, funcions i responsabilitat.

Tots els responsables han de signar un document d’acceptació del càrrec i de les seves obligacions, que es conservarà a l’expedient de Seguretat de la Informació.

6.4. POLÍTICA DE SEGURETAT DE LA INFORMACIÓ

La revisió anual d’aquesta Política de Seguretat de la Informació és responsabilitat del Comitè de Seguretat TIC. Aquesta revisió inclourà:

Verificació de l’adequació a canvis tecnològics, legals i organitzatius.
Avaluació dels resultats d’auditories, anàlisis de riscos i incidents de seguretat.
Actualització de les responsabilitats o mesures quan sigui procedent.

La versió actualitzada serà sotmesa a l’aprovació de la Direcció General de WeTown i difosa a tots els empleats i tercers implicats en el tractament d’informació o la prestació de serveis tecnològics.

 

7. DADES DE CARÀCTER PERSONAL

WeTown tracta dades de caràcter personal en el desenvolupament de les seves activitats, tant pròpies com de tercers (usuaris, clients, col·laboradors i empleats), per la qual cosa es compromet a complir estrictament les obligacions legals en matèria de protecció de dades personals.

L’organització disposa d’un Document de Seguretat, d’accés restringit al personal autoritzat, en el qual s’identifiquen els tractaments realitzats, els responsables assignats, les categories de dades tractades i les mesures de seguretat aplicades en funció de la seva naturalesa, criticitat i finalitat.

Aquest document recull:

Els fitxers i tractaments realitzats per WeTown, inclosos els efectuats per encàrrec de tercers.
Les responsabilitats assignades en relació amb aquests tractaments.
Les mesures tècniques i organitzatives implementades per garantir els drets i llibertats de les persones interessades.

Tots els sistemes d’informació on es realitzin tractaments de dades personals estan classificats i protegits d’acord amb els nivells de seguretat establerts pel Reglament (UE) 2016/679 i la LOPDGDD, i alineats amb les exigències de l’Esquema Nacional de Seguretat (ENS).

WeTown aplica el principi de responsabilitat proactiva, que implica:

La identificació i documentació de la base jurídica per a cada tractament.
L’aplicació d’anàlisis de riscos sobre els tractaments i, si escau, avaluacions d’impacte en protecció de dades.
La designació d’un punt de contacte de seguretat i, si és necessari, d’un Delegat de Protecció de Dades (DPD).
El manteniment actualitzat del Registre d’Activitats de Tractament (RAT) d’acord amb l’article 30 del RGPD.
La notificació, en cas d’incidents, a l’Agència Espanyola de Protecció de Dades (AEPD) i a les persones afectades, si escau, dins els terminis establerts per la llei.

Tots els usuaris dels sistemes TIC de WeTown reben formació específica en protecció de dades com a part del programa de conscienciació i sensibilització en seguretat.

 

8. GESTIÓ DE RISCOS

Tots els sistemes d’informació subjectes a l’àmbit d’aplicació d’aquesta Política s’han de sotmetre a un procés sistemàtic d’anàlisi i gestió de riscos, amb l’objectiu d’identificar, valorar i tractar les amenaces que puguin afectar la seguretat de la informació i els serveis.

L’anàlisi de riscos avaluarà la probabilitat d’ocurrència d’incidents i l’impacte potencial sobre la confidencialitat, integritat, disponibilitat, traçabilitat i autenticitat dels actius afectats.

L’anàlisi es repetirà obligatòriament en els casos següents:

Almenys una vegada a l’any, com a part del cicle de millora contínua del sistema de gestió.
Quan es modifiqui la informació gestionada o les seves categories.
Quan s’introdueixin canvis en els serveis prestats o en la seva criticitat.
Quan es produeixi un incident de seguretat greu.
Quan es detectin o es comuniquin vulnerabilitats significatives.

Per garantir la coherència i comparabilitat de les anàlisis realitzades, el Comitè de Seguretat TIC establirà valors de referència i criteris normalitzats que permetin harmonitzar la valoració de riscos per als diferents tipus d’actius, serveis i tractaments.

Aquest comitè serà responsable de:

Validar la metodologia emprada per a les anàlisis (per exemple, MAGERIT).
Impulsar la utilització d’eines de suport a l’avaluació de riscos adequades a la mida i complexitat de l’organització.
Assegurar que l’anàlisi considera tant les amenaces internes com les externes, així com aspectes tecnològics, humans i organitzatius.
Promoure la planificació d’inversions horitzontals que mitiguen riscos comuns a diversos sistemes o serveis.
Dinamitzar la disponibilitat de recursos tècnics i humans necessaris per a la gestió eficaç dels riscos.

Els resultats de les anàlisis de riscos formaran part de la documentació de seguretat del sistema i s’utilitzaran com a base per a:

Definir mesures addicionals a les exigides per l’ENS.
Elaborar plans de tractament de riscos.
Acceptar, transferir, mitigar o evitar riscos residuals, d’acord amb la política de seguretat.

 

9. DESENVOLUPAMENT DE LA POLÍTICA DE SEGURETAT DE LA INFORMACIÓ

La present Política de Seguretat de la Informació constitueix el marc general sobre el qual s’articula tot el Sistema de Gestió de Seguretat de la Informació (SGSI) de WeTown, i es complementa amb altres polítiques i normatives específiques en matèries afins, que estableixen directrius operatives i tècniques més detallades.

Entre les polítiques actualment vigents que complementen aquesta PSI es troben:

Política de Protecció de Dades Personals
Política de Continuïtat de Negoci i Recuperació davant Desastres
Política de Control d’Accessos i Gestió d’Usuaris
Política de Gestió d’Incidents de Seguretat
Política de Classificació i Tractament de la Informació
Política d’Ús Acceptable dels Recursos TIC
Política de Contractació i Relacions amb Tercers

Desenvolupament normatiu

Aquesta Política es desenvoluparà mitjançant una normativa interna de seguretat que inclourà:

Procediments operatius.
Normes tècniques.
Instruccions per a usuaris.
Guies de bones pràctiques.

Aquesta normativa abordarà aspectes concrets de l’ENS com la gestió d’actius, el control d’accessos, la gestió de còpies de seguretat, les comunicacions segures, la gestió de canvis, etc., d’acord amb les mesures de l’Annex II del Reial decret 311/2022.

Disponibilitat de la normativa

Tota la normativa de desenvolupament serà posada a disposició dels membres de l’organització que ho requereixin, especialment:

Personal tècnic que gestioni o administri sistemes d’informació.
Usuaris amb accés a serveis o informació sensible.
Col·laboradors i proveïdors amb responsabilitats contractuals en matèria de seguretat.

La normativa es trobarà en format digital, al lloc web de WeTown accessible des d’internet: Enllaçar URL

Tot document de desenvolupament de la política estarà sotmès a control de versions i serà aprovat formalment pel Comitè de Seguretat TIC abans de la seva entrada en vigor.

 

10. OBLIGACIONS DEL PERSONAL

Tots els membres de WeTown, independentment del seu nivell jeràrquic o funció, tenen l’obligació de conèixer, respectar i aplicar el que estableix aquesta Política de Seguretat de la Informació, així com la normativa de seguretat complementària desenvolupada a partir d’aquesta.

És responsabilitat del Comitè de Seguretat TIC garantir que tota la informació relacionada amb les polítiques, normatives, procediments i instruccions tècniques arribi adequadament a les persones afectades, i que aquestes disposin dels coneixements necessaris per complir amb els seus deures.

Conscienciació i sensibilització

Amb la finalitat de fomentar una cultura organitzativa de seguretat, WeTown estableix un programa anual de conscienciació en matèria de seguretat TIC, obligatori per a tots els empleats, que cobrirà temes com:

Bones pràctiques en l’ús dels sistemes.
Riscos comuns i la seva prevenció.
Gestió segura de la informació.
Responsabilitats individuals segons l’ENS.

A més, s’implementarà un programa continu de sensibilització, orientat a mantenir actualitzats els empleats davant noves amenaces, canvis normatius o millores tecnològiques.

Aquest programa contemplarà sessions específiques per a:

Personal de nova incorporació.
Usuaris amb accés a dades especialment protegides o sistemes crítics.
Equips tècnics i administratius amb funcions sensibles.

Formació tècnica específica

Les persones que tinguin responsabilitats tècniques en l’ús, administració o explotació de sistemes TIC hauran de rebre formació específica en matèria de seguretat, adequada a les funcions que exerceixen.

Aquesta formació:

Serà obligatòria abans d’assumir el càrrec o responsabilitat, ja sigui en un nou lloc o per reassignació de funcions.
S’ajustarà a la criticitat dels sistemes gestionats i al perfil de risc dels processos afectats.
Inclourà continguts adaptats a l’ENS, a la normativa de protecció de dades i als procediments interns de WeTown.

Tots els cursos, tallers o sessions formatives impartits seran registrats documentalment pel Comitè de Seguretat TIC, que també en supervisarà el contingut i la qualitat.

11. TERCERES PARTS

Quan WeTown presti serveis o gestioni informació en nom d’altres organismes, ja siguin entitats públiques o privades, es garantirà que aquests organismes coneguin aquesta Política de Seguretat de la Informació, així com la normativa específica que resulti aplicable.

En aquests casos:

Es facilitarà còpia de la PSI i dels annexos rellevants als representants designats pels organismes afectats.
S’establiran canals de comunicació i coordinació entre comitès de seguretat, si escau, o almenys entre els responsables de seguretat d’ambdues parts.
Es definiran procediments conjunts de notificació, anàlisi i resposta davant incidents que puguin impactar els serveis o dades compartides.

Quan WeTown contracti serveis, solucions tecnològiques o suport tècnic de tercers, o cedeixi informació a proveïdors externs, s’aplicaran estrictament les mesures següents:

Obligacions contractuals de seguretat:

S’inclouran clàusules específiques als contractes i acords de nivell de servei (SLA) que reflecteixin els requisits de seguretat establerts per aquesta política, l’ENS i la normativa de protecció de dades personals.

Adopció d’aquesta política i normativa associada:

Es farà lliurament formal a la tercera part de la Política de Seguretat i de qualsevol normativa addicional rellevant per al servei contractat o les dades compartides.

Responsabilitat del proveïdor:

El proveïdor serà responsable de desenvolupar i aplicar els seus propis procediments operatius de seguretat, sempre que garanteixin un nivell de protecció igual o superior al exigit per WeTown.

Notificació i tractament d’incidents:

S’establiran canals específics per a la notificació immediata d’incidents de seguretat, així com procediments documentats per a la seva anàlisi, resposta i resolució.

Formació i conscienciació del personal extern:

S’exigirà que el personal de tercers rebi formació adequada en seguretat i, en particular, en les normes aplicables als serveis prestats a WeTown. Aquest personal haurà estat informat de les seves obligacions i dels riscos associats.

Tractament d’excepcions

En cas que una tercera part no pugui complir algun aspecte d’aquesta política, el Responsable de Seguretat haurà d’emetre un informe de riscos que:

Identifiqui clarament els aspectes no complerts.
Avaluï els riscos residuals i el seu impacte.
Proposi mesures compensatòries o alternatives.

Aquest informe haurà de ser validat i aprovat pel Responsable de la Informació i el Responsable del Servei afectats, abans de formalitzar el contracte, continuar amb la cessió de dades o permetre l’accés als sistemes d’informació.

Aprovat per: Llorenç Solé