POLÍTICA RD POST COMUNICACIÓN CERTIFICADA, S.L.
RD POST COMUNICACIÓN CERTIFICADA, S.L. es una empresa especializada en los servicios profesionales en materia de gestión, distribución digitalización y archivo de documentos de tipo oficial y comercial. Desde su constitución, el objetivo de RD POST COMUNICACIÓN CERTIFICADA S.L. es prestar un servicio personalizado para cada cliente cumpliendo los requisitos establecidos, de forma que obtengan la máxima satisfacción con nuestros servicios y se garantice la máxima privacidad y seguridad de la información de nuestra empresa y de nuestros clientes. Así mismo, somos una empresa comprometida con la protección medioambiental, la prevención de la contaminación y la reducción de residuos en su totalidad, poniendo como meta conseguir un entorno de trabajo más seguro, minimizando o evitando los riesgos durante la vida laboral de nuestros trabajadores. Por ello, la Dirección se compromete a proteger el medioambiente, incluyendo la prevención de la contaminación y, proporcionar unas condiciones de trabajo seguras y saludables para prevenir los daños y el deterioro de la salud.
Dicho objetivo de satisfacción de nuestros clientes y confidencialidad de la información es la piedra angular de nuestra política de calidad, entendiendo la satisfacción como el cumplimiento de los compromisos contractuales de la forma más eficiente posible, a la vez que se procura cumplir con las expectativas no contractuales derivadas de las necesidades descubiertas en la ejecución del servicio y relacionadas con el mismo, que el propio cliente nos comunica. Mediante la aplicación de un sistema de Gestión, basado en los requisitos de las normas UNE-EN-ISO 9001, UNE-EN-ISO 14001, UNE-EN-ISO 27001, UNE-EN-ISO 45001, UNE-EN-ISO 39001, ENI (Esquema Nacional de Interoperabilidad) y ENS (Esquema Nacional de Seguridad), se persigue lograr una mejora continua en la calidad de los servicios y el desempeño ambiental de las actividades de nuestra organización, así como un compromiso continuo de mejora técnica de nuestros sistemas, activos y procesos, y el de nuestros proveedores, para procurar una continua adaptación a las necesidades tecnológicas de nuestros clientes. Dentro del ámbito ambiental, la Dirección se compromete a proteger el medioambiente, incluyendo la prevención de la contaminación.
Para ello, RD POST COMUNICACIÓN CERTIFICADA S.L. considera la base de esta Política como pilares básicos de la organización para alcanzar la mejora continua de la eficacia de dicho sistema de Gestión, las siguientes directrices, que servirán de base al establecimiento de nuestros objetivos anuales:
▪ Asegurar la satisfacción de sus clientes basándose en un trato siempre correcto y en un esfuerzo continuo en la prestación del servicio en base a sus requisitos y a nuestros compromisos de actualización y mejora de los cursos que impartimos.
▪ Cumplir con los requisitos de los clientes y de sus grupos de interés, así como con los requisitos legales y reglamentarios que afecten a la realización y prestación de los servicios prestados.
▪ Cumplir con los requisitos legales que le son de aplicación, así como con aquellos requisitos que la organización suscriba evaluando continuamente dicho cumplimiento, en todas sus áreas de actividad.
▪ Evaluar de forma concienzuda los riesgos de la Empresa, analizando los posibles riesgos de todos y cada uno de los procesos de la organización y de los activos de información, previendo y evitando de esta manera desviaciones, tomando las oportunas decisiones para minimizar posibles no conformidades.
▪ Consulta y participación activa de los trabajadores, siendo una parte interesada fundamental para conseguir la mejora en cuanto a Seguridad y Salud en el Trabajo.
▪ Cumplimiento de todas las normas legales vigentes en el país sobre Prevención de Riesgos Laborales.
▪ Evaluar de manera periódica el estado de salud de nuestros empleados con la finalidad de identificar y controlar los riesgos de salud relacionados con el trabajo.
▪ Proporcionar condiciones de trabajo seguras y saludables para la prevención de lesiones y deterioro de la salud relacionados con el trabajo.
▪ Eliminar los peligros y reducir los riesgos, trabajando para eliminar los peligros a los que están expuestos los empleados y, reduciendo el riesgo a valores mínimos de aquellos que no se puedan eliminar por completo. La elección de los equipos y de los métodos de trabajo y de producción, se efectuarán de manera que se reduzcan los efectos negativos para la salud y se atenúe el trabajo monótono y repetitivo, teniéndose en cuenta en todo momento la evolución de la técnica.
▪ Las medidas de protección colectiva serán prioritarias a los sistemas de protección individual.
▪ Responder de manera pronta, efectiva y cuidadosa a las emergencias o accidentes que sean producto de nuestras operaciones.
▪ Consecución del mayor nivel de bienestar físico y mental de todos los trabajadores, mediante actividades de promoción y prevención, buscando reducir los accidentes de trabajo y enfermedades profesionales.
▪ Establecer procesos operacionales que salvaguarden a las personas, la propiedad y el medioambiente.
▪ Mejorar de forma continua la calidad en la prestación de nuestros servicios y nuestro comportamiento frente a los impactos ambientales que genera nuestra actividad, así como en la forma en que tratamos la información de nuestros clientes mediante el establecimiento de objetivos y metas para conseguirlo.
▪ Mejorar continuamente los procesos y servicios como instrumento fundamental para el incremento de la eficacia, eficiencia, competitividad y fidelización del cliente.
▪ Mejorar permanentemente la competitividad de nuestros servicios, haciendo participe a nuestros clientes en todo momento de los mismos y, adaptando continuamente nuestros servicios a sus necesidades, intentando colaborar mediante nuestros servicios a unas correctas políticas de gestión también entre nuestros clientes.
▪ Velar por una continua y permanente actualización de nuestros recursos, tanto tecnológicos como, sobre todo, de nuestro personal, fomentando políticas de información y formación continua profesional que les permitan avanzar en sus conocimientos al ritmo que lo hace nuestro sector, fomentando la conciencia de la Calidad, a fin de incrementar la competencia de los empleados.
▪ Establecer y revisar regularmente los Objetivos, acordes con los compromisos que se asumen en esta declaración, fortaleciendo el compromiso y participación de todo el personal en el desarrollo y consecución de los Objetivos.
▪ Garantizar la mejora continua, manteniendo el Sistema de forma eficaz y efectivo para constatar el compromiso con los clientes, buscando para ello una mejor organización interna del trabajo y en la forma en que tratamos la información de nuestros clientes.
▪ Fomentar la sensibilización ambiental de nuestro personal, clientes, comerciales, proveedores, colaboradores, mediante el establecimiento de prácticas ambientales, formando e informando para conseguir la disminución de los gastos energéticos y la gestión correcta de los residuos ambientales, todo ello encaminado hacia la mejora ambiental.
▪ Establecer las actividades de promoción y prevención de accidentes en vía pública para disminuir la probabilidad de ocurrencia de accidentes que puedan afectar a la integridad física, mental y social de los trabajadores, contratistas, la comunidad en general y el medioambiente.
▪ Establecer estrategias de concienciación a nuestros trabajadores a través de capacitaciones de orientación a la prevención de accidentes de tráfico y respeto por las señales de tráfico vehicular que permitan la adopción de conductas proactivas.
- Lograr que la seguridad de la información y el respeto a los datos personales sean una constante:
- Preservando la confidencialidad de la información y evitando su divulgación y el acceso por personas no autorizadas.
- Manteniendo la integridad de la información procurando su exactitud y evitando su deterioro.
- Asegurando la disponibilidad de la información en todos los soportes y siempre que sea necesaria.
▪ La Dirección, por su parte, valora especialmente y establece como criterio principal para la estimación de sus riesgos la valoración de la disponibilidad y confidencialidad de su información y aún más la de sus clientes.
Esta Política será revisada para su continua adecuación anualmente por la dirección, así como los objetivos y metas de la empresa. La Política será comunicada a todo el personal de la organización encontrándose a disposición del público bajo solicitud de cualquier parte interesada.
ALCANCE
En el caso de la norma ISO 9001, 1400, 39001 y 45001 esta política se aplica a la GESTIÓN INTEGRAL DEL PROCESO POSTAL. RECOGIDA, ADMISIÓN, CLASIFICACIÓN, TRATAMIENTO, TRANSPORTE, DISTRIBUCIÓN Y ENTREGA A DOMICILIOS DE LOS ENVÍOS DE CARTAS ORDINARIAS, CARTAS CERTIFICADAS, NOTIFICACIONES
ADMINISTRATIVAS Y OTROS SERVICIOS POSTALES. En cuanto a la norma ISO 27001 y Esquema Nacional de Seguridad esta política aplica a LOS SISTEMAS DE INFORMACIÓN QUE DAN SOPORTE A LA GESTIÓN INTEGRAL Y BACKOFFICE DEL PROCESO POSTAL. RECOGIDA, ADMISIÓN, CLASIFICACIÓN, TRATAMIENTO, TRANSPORTE, DISTRIBUCIÓN Y ENTREGA A DOMICILIOS DE LOS ENVÍOS DE CARTAS, ORDINARIAS, CARTAS CERTIFICADAS, NOTIFICACIONES ADMINISTRATIVAS Y OTROS
SERVICIOS POSTALES.
En cuanto a la norma ISO 27001 y Esquema Nacional de Seguridad esta política aplica a LOS SISTEMAS DE INFORMACIÓN QUE DAN SOPORTE A LA GESTIÓN INTEGRAL Y BACKOFFICE DEL PROCESO POSTAL. RECOGIDA, ADMISIÓN, CLASIFICACIÓN, TRATAMIENTO, TRANSPORTE, DISTRIBUCIÓN Y ENTREGA A DOMICILIOS DE LOS ENVÍOS DE CARTAS, ORDINARIAS, CARTAS CERTIFICADAS, NOTIFICACIONES ADMINISTRATIVAS Y OTROS SERVICIOS POSTALES.
El alcance de cara al Esquema Nacional de Interoperabilidad incluye PRINCIPIOS Y DIRECTRICES DE INTEROPERABILIDAD EN EL INTERCAMBIO Y CONSERVACIÓN DE LA INFORMACIÓN DE GESTIÓN QUE DAN SOPORTE A LA PLATAFORMA DE CONTROL Y GESTIÓN PARA LA ASISTENCIA DEL REPARTO EN MOVILIDAD Y BACKOFFICE DEL PRODUCTO POSTAL (CARTAS ORDINARIAS, CARTAS CERTIFICADAS, NOTIFICACIONES ADMINISTRATIVAS Y OTROS SERVICIOS POSTALES).
MISIÓN
La misión de RD POST es prestar servicios relacionados con la gestión, distribución, digitalización y archivo de documentos de organismos oficiales, empresas privadas y otras instituciones y colectivos. La empresa tiene como objetivo proveer soluciones aptas para que sus clientes dispongan de unos productos y servicios eficaces y de alta calidad, ofreciéndose también como el socio ideal para hacer frente a la ejecución del ciclo total de un proyecto. En definitiva, proporcionar servicios profesionales con la máxima calidad posible, por lo que exige a sus empleados que tomen todas las medidas necesarias parar garantizar la integridad de la información de la compañía y sus sistemas de comunicaciones, siguiendo los procedimientos y guías implantados en su SGSI.
Esta política aplica al uso de los sistemas de información y de comunicaciones de la empresa, así como a los datos y la información que se almacenen u originen de estos sistemas.
MARCO NORMATIVO
RD POST se esfuerza en cumplir con toda la legislación aplicable (detallada en el procedimiento 16 del SGSI) a su actividad, ya sea de carácter general (Código de Comercio, Código Civil, etc.) o especifico, en referencia con:
▪ ISO 9001:2015, Sistemas de Gestión de la Calidad.
▪ ISO 14001:2015, Sistemas de Gestión Ambiental.
▪ ISO 27001:2013, Sistemas de Gestión de Seguridad de la Información.
▪ ISO 39001:2013, Sistemas de Gestión de la Seguridad Vial.
▪ ISO 45001:2018, Sistemas de Gestión de Salud y Seguridad en el Trabajo.
▪ Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
▪ Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica.
ORGANIZACIÓN DE LA SEGURIDAD
4.1. COMITÉS: FUNCIONES Y RESPONSABILIDADES
El Comité de Calidad y Seguridad estará formado por la Dirección, el responsable de Seguridad y el responsable de Calidad, y, si lo hubiere, el DPO (Data Protect Officer).
La composición del Comité de Seguridad de la Información de RD POST COMUNICACIÓN CERTIFICADA es el siguiente:
▪ Responsable de la Información.
▪ Responsable del Servicio.
▪ Responsable del Sistema.
▪ Responsable de Seguridad.
▪ Delegado de Protección de Datos.
Dentro de esta estructura, el secretario del Comité de Calidad y Seguridad tendrá como funciones la preparación de las reuniones, la difusión de sus resultados y el seguimiento de los acuerdos alcanzados. El Comité de Calidad y Seguridad reportará al Comité de Dirección. El Comité de Calidad y Seguridad, por lo que se refiere al SGSI de RD POST COMUNICACIÓN CERTIFICADA y al cumplimiento de lo dispuesto en el ENS, tendrá las siguientes funciones:
▪ Atender a las inquietudes de la Dirección de la entidad y de los diferentes departamentos.
▪ Informar regularmente del estado de la Seguridad de la Información a la Dirección.
▪ Promover la mejora continua del Sistema de Gestión de la Seguridad de la Información.
▪ Elaborar la estrategia de evolución de la organización en la que respecta a Seguridad de la Información.
▪ Coordinar los esfuerzos de las diferentes áreas en materia de Seguridad de la Información, evitando duplicidades.
▪ Elaborar (y revisar regularmente) la Política de Seguridad de la Información para su aprobación por la Dirección.
▪ Aprobar la normativa de Seguridad de la Información.
▪ Elaborar y aprobar los requisitos de formación y calificación de administradores, operadores, notificadores y usuarios, desde el punto de vista de Seguridad de la Información.
▪ Monitorizar los principales riesgos residuales asumidos por la organización y recomendar posibles actuaciones.
▪ Monitorizar el desempeño de los procesos de gestión de incidentes de seguridad y recomendar posibles actuaciones respecto de ellos. En particular, velar por la gestión de incidentes de seguridad.
▪ Promover la realización de las auditorías periódicas que permitan verificar el cumplimiento de las obligaciones del organismo en materia de seguridad.
▪ Aprobar planes de mejora de la Seguridad de la Información de la organización. En particular, velará por la coordinación de distintos planes que puedan realizarse en diferentes áreas.
▪ Priorizar las actuaciones en materia de seguridad cuando los recursos sean limitados.
▪ Velar porque la Seguridad de la Información se tenga en cuenta en todos los proyectos TIC desde su especificación inicial hasta su puesta en operación. En particular, deberá velar por la creación y utilización de servicios horizontales que reduzcan las duplicidades y apoyen el funcionamiento homogéneo de todos los sistemas TIC.
▪ Resolver los conflictos de responsabilidad que puedan aparecer entre los diferentes responsables y/o entre diferentes áreas de la organización, elevando aquellos casos en los que no tenga suficiente autoridad para decidir.
4.2. ROLES: FUNCIONES Y RESPONSABILIDADES
Las funciones del responsable de Seguridad de la Información son las siguientes:
- Mantener el nivel adecuado de seguridad de la información manejada y de los servicios prestados por los sistemas.
- Realizar o promover las auditorías periódicas a las que obliga la norma ISO 27001 y el ENS para verificar el cumplimiento de los requisitos de este.
- Gestionar o promover la formación y concienciación en materia de seguridad TIC.
- Comprobar que las medidas de seguridad existente son las adecuadas para las necesidades de la entidad, con la colaboración del Coordinador del CCA.
- Revisar, completar y aprobar toda la documentación relacionada con la seguridad del sistema, con el auxilio del resto del Comité de Calidad y Seguridad.
- La especificación de requisitos de seguridad corresponde a los responsables de la información y de los servicios, junto con el responsable del registro de actividades si hubiera datos de carácter personal. La operación corresponde a los responsables de los sistemas, mientras que la supervisión corresponde al responsable de la seguridad y al técnico de seguridad.
La descripción concreta de todas las responsabilidades puede consultarse en el documento: PS01_SEGURIDAD DE LA INFORMACIÓN.
Por su parte, el personal de la empresa tiene identificadas y comunicadas sus responsabilidades con relación a la seguridad de la información entre las que se destacan:
▪ Comunicar las incidencias de seguridad mediante los canales establecidos.
▪ Aplicar los mecanismos establecidos para el intercambio de información entre el personal, clientes y proveedores.
Cualquier asignación de tareas y responsabilidades de seguridad de la información será aprobada por el Comité de Seguridad.
DATOS DE CARÁCTER PERSONAL
RD POST COMUNICACIÓN CERTIFICADA S.L., en el tratamiento de los datos personales, cumple con los principios y obligaciones de la normativa vigente, entre otra el Reglamento 679/2016, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la Protección de las Personas Físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos -RGPD-) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de derechos digitales, respetando, en todo caso, el derecho fundamental a la protección de datos personales, la intimidad y el resto de los derechos fundamentales reconocidos tanto en la legislación y tratados internacionales como en la Constitución vigente.
RD POST, trata datos de carácter personal, por lo que mantiene un “registro de actividades del tratamiento”, al que tendrán acceso sólo las personas autorizadas, en el que se recogen los datos afectados y los responsables del tratamiento. Todos los sistemas de información de RD POST se ajustarán a los niveles de seguridad requeridos por la normativa para la naturaleza y finalidad de los datos de carácter personal recogidos en el mencionado Registro.
OBLIGACIONES DEL PERSONAL
Todos los trabajadores de RD POST COMUNICACIÓN CERTIFICADA S.L. tienen la obligación de conocer esta Política de Seguridad de la Información, que es de obligado cumplimiento dentro del alcance identificado, siendo responsabilidad del Comité de Calidad y Seguridad disponer los medios necesarios para que la información llegue a los afectados.
Se establecerá un programa de concienciación continua para atender a todos los miembros de RD POST, en particular a los de nueva incorporación.
Las personas con responsabilidad en el uso, operación o administración de sistemas TIC dentro del alcance recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o, si, por el contrario, se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.
DESARROLLO DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
El cumplimiento de los objetivos marcados en esta Política de Seguridad se lleva a cabo mediante el desarrollo de documentación que componen las normas y procedimientos de seguridad asociados al cumplimiento del Esquema Nacional de Seguridad. Para RD POST COMUNICACIÓN CERTIFICADA S.L., se ha definido una norma para la gestión de la documentación que establece las directrices de la organización, gestión y acceso.
TERCERAS PARTES
Las terceras partes relacionadas con RD POST COMUNICACIÓN CERTIFICADA S.L., dentro del alcance, firman con la empresa un acuerdo que protege la información intercambiada.
Cuando RD POST COMUNICACIÓN CERTIFICADA S.L. utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad. Dicha tercera parte, quedará sujeta a las obligaciones establecidas en dicha Política, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla.
Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos.
Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.
Esta Política será revisada para su continua adecuación anualmente por la dirección, así como los objetivos y metas de la empresa, y comunicada a todo el personal de la organización encontrándose a disposición del público bajo solicitud de cualquier parte interesada.
En Barcelona a 23 de julio de 2024