POLÍTICA RD POST COMUNICACIÓ CERTIFICADA, S.L.
RD POST COMUNICACIÓ CERTIFICADA, S.L. és una empresa especialitzada en els serveis professionals en matèria de gestió, distribució digitalització i arxiu de documents de tipus oficial i comercial. Des de la seva constitució, l’objectiu d’RD POST COMUNICACIÓ CERTIFICADA S.L. és prestar un servei personalitzat per a cada client complint els requisits establerts, de manera que obtinguin la màxima satisfacció amb els nostres serveis i es garanteixi la màxima privacitat i seguretat de la informació de la nostra empresa i dels nostres clients. Així mateix, som una empresa compromesa amb la protecció mediambiental, la prevenció de la contaminació i la reducció de residus íntegrament, posant com a meta aconseguir un entorn de treball més segur, minimitzant o evitant els riscos durant la vida laboral dels nostres treballadors. Per això, la Direcció es compromet a protegir el medi ambient, incloent-hi la prevenció de la contaminació i, proporcionar unes condicions de treball segures i saludables per a prevenir els danys i la deterioració de la salut.
Aquest objectiu de satisfacció dels nostres clients i confidencialitat de la informació és la pedra angular de la nostra política de qualitat, entenent la satisfacció com el compliment dels compromisos contractuals de la forma més eficient possible, alhora que es procura complir amb les expectatives no contractuals derivades de les necessitats descobertes en l’execució del servei i relacionades amb aquest, que el propi client ens comunica. Mitjançant l’aplicació d’un sistema de Gestió, basat en els requisits de les normes UNE-EN-ISO 9001, UNE-EN-ISO 14001, UNE-EN-ISO 27001, UNE-EN-ISO 45001, UNE-EN-ISO 39001, ENI (Esquema Nacional d’Interoperabilitat) i ENS (Esquema Nacional de Seguretat), es persegueix aconseguir una millora contínua en la qualitat dels serveis i l’acompliment ambiental de les activitats de la nostra organització, així com un compromís continu de millora tècnica dels nostres sistemes, actius i processos, i el dels nostres proveïdors, per a procurar una contínua adaptació a les necessitats tecnològiques dels nostres clients. Dins de l’àmbit ambiental, la Direcció es compromet a protegir el medi ambient, incloent-hi la prevenció de la contaminació.
- Per a això, RD POST COMUNICACIÓ CERTIFICADA S.L. considera la base d’aquesta Política com a pilars bàsics de l’organització per a aconseguir la millora contínua de l’eficàcia d’aquest sistema de Gestió, les següents directrius, que serviran de base a l’establiment dels nostres objectius anuals:
- Assegurar la satisfacció dels seus clients basant-se en un tracte sempre correcte i en un esforç continu en la prestació del servei sobre la base dels seus requisits i als nostres compromisos d’actualització i millora dels cursos que impartim.
- Complir amb els requisits dels clients i dels seus grups d’interès, així com amb els requisits legals i reglamentaris que afectin la realització i prestació dels serveis prestats.
- Complir amb els requisits legals que li són aplicable, així com amb aquells requisits que l’organització subscrigui avaluant contínuament aquest compliment, en totes les seves àrees d’activitat.
- Avaluar de manera conscienciosa els riscos de l’Empresa, analitzant els possibles riscos de tots i cadascun dels processos de l’organització i dels actius d’informació, preveient i evitant d’aquesta manera desviacions, prenent les oportunes decisions per a minimitzar possibles no conformitats.
- Consulta i participació activa dels treballadors, sent una part interessada fonamental per a aconseguir la millora quant a Seguretat i Salut en el Treball.
- Compliment de totes les normes legals vigents al país sobre Prevenció de Riscos Laborals.
- Avaluar de manera periòdica l’estat de salut dels nostres empleats amb la finalitat d’identificar i controlar els riscos de salut relacionats amb el treball.
- Proporcionar condicions de treball segures i saludables per a la prevenció de lesions i deterioració de la salut relacionats amb el treball.
- Eliminar els perills i reduir els riscos, treballant per a eliminar els perills als quals estan exposats els empleats i, reduint el risc a valors mínims d’aquells que no es puguin eliminar per complet. L’elecció dels equips i dels mètodes de treball i de producció, s’efectuaran de manera que es redueixin els efectes negatius per a la salut i s’atenuï el treball monòton i repetitiu, tenint-se en compte en tot moment l’evolució de la tècnica.
- Les mesures de protecció col·lectiva seran prioritàries als sistemes de protecció individual.
- Respondre de manera ràpida, efectiva i acurada a les emergències o accidents que siguin producte de les nostres operacions.
- Consecució del major nivell de benestar físic i mental de tots els treballadors, mitjançant activitats de promoció i prevenció, buscant reduir els accidents de treball i malalties professionals.
- Establir processos operacionals que salvaguardin a les persones, la propietat i el medi ambient.
- Millorar de manera contínua la qualitat en la prestació dels nostres serveis i el nostre comportament enfront dels impactes ambientals que genera la nostra activitat, així com en la forma en què tractem la informació dels nostres clients mitjançant l’establiment d’objectius i metes per a aconseguir-lo.
- Millorar contínuament els processos i serveis com a instrument fonamental per a l’increment de l’eficàcia, eficiència, competitivitat i fidelització del client.
- Millorar permanentment la competitivitat dels nostres serveis, fent participi als nostres clients en tot moment dels mateixos i, adaptant contínuament els nostres serveis a les seves necessitats, intentant col·laborar mitjançant els nostres serveis a unes correctes polítiques de gestió també entre els nostres clients.
- Vetllar per una contínua i permanent actualització dels nostres recursos, tant tecnològics com, sobretot, del nostre personal, fomentant polítiques d’informació i formació contínua professional que els permetin avançar en els seus coneixements al ritme que el fa el nostre sector, fomentant la consciència de la Qualitat, a fi d’incrementar la competència dels empleats.
- Establir i revisar regularment els Objectius, concordes amb els compromisos que s’assumeixen en aquesta declaració, enfortint el compromís i participació de tot el personal en el desenvolupament i consecució dels Objectius.
- Garantir la millora contínua, mantenint el Sistema de manera eficaç i efectiu per a constatar el compromís amb els clients, buscant per a això una millor organització interna del treball. i en la forma en què tractem la informació dels nostres clients.
- Fomentar la sensibilització ambiental del nostre personal, clients, comercials, proveïdors, col·laboradors, mitjançant l’establiment de pràctiques ambientals, formant i informant per a aconseguir la disminució de les despeses energètiques i la gestió correcta dels residus ambientals, tot això encaminat cap a la millora ambiental.
- Establir les activitats de promoció i prevenció d’accidents en via pública per a disminuir la probabilitat d’ocurrència d’accidents que puguin afectar la integritat física, mental i social dels treballadors, contractistes, la comunitat en general i el medi ambient.
- Establir estratègies de conscienciació als nostres treballadors a través de capacitacions d’orientació a la prevenció d’accidents de trànsit i respecte pels senyals de trànsit vehicular que permetin l’adopció de conductes proactives.
Aconseguir que la seguretat de la informació i el respecte a les dades personals siguin una constant:
- Preservant la confidencialitat de la informació i evitant la seva divulgació i l’accés per persones no autoritzades.
- Mantenint la integritat de la informació procurant la seva exactitud i evitant la seva deterioració.
- Assegurant la disponibilitat de la informació en tots els suports i sempre que sigui necessària.
La Direcció, per part seva, valora especialment i estableix com a criteri principal per a l’estimació dels seus riscos la valoració de la disponibilitat i confidencialitat de la seva informació i encara més la dels seus clients.
Aquesta Política serà revisada per a la seva contínua adequació anualment per la direcció, així com els objectius i metes de l’empresa. La Política serà comunicada a tot el personal de l’organització trobant-se a la disposició del públic sota sol·licitud de qualsevol part interessada.
ABAST
En el cas de la norma ISO 9001, 14001 i 39001 aquesta política s’aplica a la GESTIÓ INTEGRAL DEL PROCÉS POSTAL. RECOLLIDA, ADMISSIÓ, CLASSIFICACIÓ, TRACTAMENT, TRANSPORT, DISTRIBUCIÓ I LLIURAMENT A DOMICILIS DELS ENVIAMENTS DE CARTES ORDINÀRIES, CARTES CERTIFICADES, NOTIFICACIONS
ADMINISTRATIVES I ALTRES SERVEIS POSTALS. Quant a la norma ISO 27001 i Esquema Nacional de Seguretat aquesta política aplica aLS SISTEMES D’INFORMACIÓ QUE DONEN SUPORT A LA GESTIÓ INTEGRAL I BACKOFFICE DEL PROCÉS POSTAL. RECOLLIDA, ADMISSIÓ, CLASSIFICACIÓ, TRACTAMENT, TRANSPORT, DISTRIBUCIÓ I LLIURAMENT A DOMICILIS DELS ENVIAMENTS DE CARTES, ORDINÀRIES, CARTES CERTIFICADES, NOTIFICACIONS ADMINISTRATIVES I ALTRES
SERVEIS POSTALS.
Pel que fa a la norma ISO 27001 i Esquema Nacional de Seguretat, aquesta política aplica als SISTEMES D’INFORMACIÓ QUE DONEN SUPORT A LA GESTIÓ INTEGRAL I BACKOFFICE DEL PROCÉS POSTAL. RECOLLIDA, ADMISSIÓ, CLASSIFICACIÓ, TRACTAMENT, TRANSPORT, DISTRIBUCIÓ I LLIURAMENT A DOMICILIS DELS ENVIAMENTS DE CARTES, ORDINÀRIES, CARTES CERTIFICADES, NOTIFICACIONS ADMINISTRATIVES I ALTRES SERVEIS POSTALS.
L’abast de cara a l’Esquema Nacional d’Interoperabilitat inclou PRINCIPIS I DIRECTRIUS D’INTEROPERABILITAT A L’INTERCANVI I CONSERVACIÓ DE LA INFORMACIÓ DE GESTIÓ QUE DONEN SUPORT A LA PLATAFORMA DE CONTROL I GESTIÓ PER A L’ASSISTÈNCIA DEL REPARTIMENT EN MOBILITAT I BACKOFFICE , CARTES CERTIFICADES, NOTIFICACIONS ADMINISTRATIVES I ALTRES SERVEIS POSTALS).
MISSIÓ
La missió d’RD POST és prestar serveis relacionats amb la gestió, distribució, digitalització i arxiu de documents d’organismes oficials, empreses privades i altres institucions i col·lectius. L’empresa té com a objectiu proveir solucions aptes perquè els seus clients disposin d’uns productes i serveis eficaços i d’alta qualitat, oferint-se també com el soci ideal per a fer front a l’execució del cicle total d’un projecte. En definitiva, proporcionar serveis professionals amb la màxima qualitat possible, per la qual cosa exigeix als seus empleats que prenguin totes les mesures necessàries parar garantir la integritat de la informació de la companyia i els seus sistemes de comunicacions, seguint els procediments i guies implantats en el seu SGSI.
Aquesta política aplica a l’ús dels sistemes d’informació i de comunicacions de l’empresa, així com a les dades i la informació que s’emmagatzemin o originin d’aquests sistemes.
MARC NORMATIU
RD POST s’esforça a complir amb tota la legislació aplicable (detallada en el procediment 16 del SGSI) a la seva activitat, ja sigui de caràcter general (Codi de Comerç, Codi Civil, etc.) o especifico, en referència amb:
- ISO 9001:2015, Sistemes de Gestió de la Qualitat.
- ISO 14001:2015, Sistemes de Gestió Ambiental.
- ISO 27001:2013, Sistemes de Gestió de Seguretat de la Informació.
- ISO 39001:2013, Sistemes de Gestió de la Seguretat Viària.
- ISO 45001:2018, Sistemes de Gestió de Salut i Seguretat en el Treball.
- Reial decret 311/2022, de 3 de maig, pel qual es regula l’Esquema Nacional de Seguretat.
- Reial decret 4/2010, de 8 de gener, pel qual es regula l’Esquema Nacional d’Interoperabilitat en l’àmbit de l’Administració Electrònica.
ORGANITZACIÓ DE LA SEGURETAT
4.1. COMITÈS: FUNCIONS I RESPONSABILITATS
El Comitè de Qualitat i Seguretat estarà format per la Direcció, el responsable de Seguretat i el responsable de Qualitat, i, si n’hi hagués, el DPO (Data Protect Officer).
La composició del Comitè de Seguretat de la Informació d’RD POST COMUNICACIÓ CERTIFICADA és el següent:
- Responsable de la Informació.
- Responsable del Servei.
- Responsable del Sistema.
- Responsable de Seguretat.
- Delegat de Protecció de Dades.
Dins d’aquesta estructura, el secretari del Comitè de Qualitat i Seguretat tindrà com a funcions la preparació de les reunions, la difusió dels seus resultats i el seguiment dels acords aconseguits. El Comitè de Qualitat i Seguretat reportarà al Comitè de Direcció. El Comitè de Qualitat i Seguretat, pel que fa al SGSI d’RD POST COMUNICACIÓ CERTIFICADA i al compliment del que es disposa en el ENS, tindrà les següents funcions:
- Atendre les inquietuds de la Direcció de l’entitat i dels diferents departaments.
- Informar regularment de l’estat de la Seguretat de la Informació a la Direcció.
- Promoure la millora contínua del Sistema de Gestió de la Seguretat de la Informació.
- Elaborar l’estratègia d’evolució de l’organització en la qual respecta a Seguretat de la Informació.
- Coordinar els esforços de les diferents àrees en matèria de Seguretat de la Informació, evitant duplicitats.
- Elaborar (i revisar regularment) la Política de Seguretat de la Informació per a la seva aprovació per la Direcció.
- Aprovar la normativa de Seguretat de la Informació.
- Elaborar i aprovar els requisits de formació i qualificació d’administradors, operadors, notificadors i usuaris, des del punt de vista de Seguretat de la Informació.
- Monitorar els principals riscos residuals assumits per l’organització i recomanar possibles actuacions.
- Monitorar l’acompliment dels processos de gestió d’incidents de seguretat i recomanar possibles actuacions respecte d’ells. En particular, vetllar per la gestió d’incidents de seguretat.
- Promoure la realització de les auditories periòdiques que permetin verificar el compliment de les obligacions de l’organisme en matèria de seguretat.
- Aprovar plans de millora de la Seguretat de la Informació de l’organització. En particular, vetllarà per la coordinació de diferents plans que puguin realitzar-se en diferents àrees.
- Prioritzar les actuacions en matèria de seguretat quan els recursos siguin limitats.
- Vetllar perquè la Seguretat de la Informació es tingui en compte en tots els projectes TIC des de la seva especificació inicial fins a la seva posada en operació. En particular, haurà de vetllar per la creació i utilització de serveis horitzontals que redueixin les duplicitats i donin suport al funcionament homogeni de tots els sistemes TIC.
- Resoldre els conflictes de responsabilitat que puguin aparèixer entre els diferents responsables i/o entre diferents àrees de l’organització, elevant aquells casos en els quals no tingui suficient autoritat per a decidir.
4.2. ROLS: FUNCIONS I RESPONSABILITATS
Les funcions del responsable de Seguretat de la Informació són les següents:
- Mantenir el nivell adequat de seguretat de la informació manejada i dels serveis prestats pels sistemes.
- Realitzar o promoure les auditories periòdiques a les quals obliga la norma ISO 27001 i el ENS per a verificar el compliment dels requisits d’aquest.
- Gestionar o promoure la formació i conscienciació en matèria de seguretat TIC.
- Comprovar que les mesures de seguretat existent són les adequades per a les necessitats de l’entitat, amb la col·laboració del Coordinador del CCA.
- Revisar, completar i aprovar tota la documentació relacionada amb la seguretat del sistema, amb l’auxili de la resta del Comitè de Qualitat i Seguretat.
- L’especificació de requisits de seguretat correspon als responsables de la informació i dels serveis, juntament amb el responsable del registre d’activitats si hi hagués dades de caràcter personal. L’operació correspon als responsables dels sistemes, mentre que la supervisió correspon al responsable de la seguretat i al tècnic de seguretat.
La descripció concreta de totes les responsabilitats pot consultar-se en el document: PS01_SEGURETAT DE LA INFORMACIÓ.
Per part seva, el personal de l’empresa té identificades i comunicades les seves responsabilitats en relació amb la seguretat de la informació entre les quals es destaquen:
- Comunicar les incidències de seguretat mitjançant els canals establerts.
- Aplicar els mecanismes establerts per a l’intercanvi d’informació entre el personal, clients i proveïdors.
Qualsevol assignació de tasques i responsabilitats de seguretat de la informació serà aprovada pel Comitè de Seguretat.
DADES DE CARÀCTER PERSONAL
RD POST COMUNICACIÓ CERTIFICADA S.L., en el tractament de les dades personals, compleix amb els principis i obligacions de la normativa vigent, entre una altra el Reglament 679/2016, del Parlament Europeu i del Consell, de 27 d’abril de 2016, relatiu a la Protecció de les Persones Físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades i pel qual es deroga la Directiva 95/46/CE (Reglament General de Protecció de Dades -RGPD-) i la Llei orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia de drets digitals, respectant, en tot cas, el dret fonamental a la protecció de dades personals, la intimitat i la resta dels drets fonamentals reconeguts tant en la legislació i tractats internacionals com en la Constitució vigent.
RD POST, tracta dades de caràcter personal, per la qual cosa manté un “registre d’activitats del tractament”, al qual tindran accés només les persones autoritzades, en el qual es recullen les dades afectades i els responsables del tractament. Tots els sistemes d’informació d’RD POST s’ajustaran als nivells de seguretat requerits per la normativa per a la naturalesa i finalitat de les dades de caràcter personal recollits en l’esmentat Registre.
OBLIGACIONS DEL PERSONAL
Tots els treballadors d’RD POST COMUNICACIÓ CERTIFICADA S.L. tenen l’obligació de conèixer aquesta Política de Seguretat de la Informació, que és d’obligat compliment dins de l’abast identificat, sent responsabilitat del Comitè de Qualitat i Seguretat disposar els mitjans necessaris perquè la informació arribi als afectats.
S’establirà un programa de conscienciació contínua per a atendre a tots els membres d’RD POST, en particular als de nova incorporació.
Les persones amb responsabilitat en l’ús, operació o administració de sistemes TIC dins de l’abast rebran formació per al maneig segur dels sistemes en la mesura en què la necessitin per a fer el seu treball. La formació serà obligatòria abans d’assumir una responsabilitat, tant si és la seva primera assignació o, si, per contra, es tracta d’un canvi de lloc de treball o de responsabilitats en aquest.
DESENVOLUPAMENT DE LA POLÍTICA DE SEGURETAT DE LA INFORMACIÓ
El compliment dels objectius marcats en aquesta Política de Seguretat es duu a terme mitjançant el desenvolupament de documentació que componen les normes i procediments de seguretat associats al compliment de l’Esquema Nacional de Seguretat. Per a rD POST COMUNICACIÓ CERTIFICADA S.L., s’ha definit una norma per a la gestió de la documentació que estableix les directrius de l’organització, gestió i accés.
TERCERES PARTS
Les terceres parts relacionades amb RD POST COMUNICACIÓ CERTIFICADA S.L., dins de l’abast, signen amb l’empresa un acord que protegeix la informació intercanviada.
Quan RD POST COMUNICACIÓ CERTIFICADA S.L. utilitzi serveis de tercers o cedeixi informació a tercers, se’ls farà partícips d’aquesta Política de Seguretat. Aquesta tercera part, quedarà subjecta a les obligacions establertes en aquesta Política, podent desenvolupar els seus propis procediments operatius per a satisfer-la.
Quan algun aspecte de la Política no pugui ser satisfet per una tercera part segons es requereix en els paràgrafs anteriors, es requerirà un informe del responsable de Seguretat que precisi els riscos en què s’incorre i la manera de tractar-los.
Es requerirà l’aprovació d’aquest informe pels responsables de la informació i els serveis afectats abans de seguir endavant.
Aquesta Política serà revisada per a la seva contínua adequació anualment per la direcció, així com els objectius i metes de l’empresa, i comunicada a tot el personal de l’organització trobant-se a la disposició del públic sota sol·licitud de qualsevol part interessada.
A Barcelona a 23 de juliol del 2024