Política de Seguridad de la Información

Propósito

La presente política constituye el documento marco del Sistema de Gestión de la Seguridad de la Información (SGSI) de Abadesa Export Center S.L. (Xpandex). A través de ella, la Alta Dirección formaliza su compromiso con la protección de los activos informativos que soportan la prestación de servicios de marketing y comunicación digital. La organización reconoce que la información sobre clientes, los contenidos creativos, las credenciales de acceso y las métricas poseen un valor crítico. Abadesa Export Center se compromete a preservar su confidencialidad, integridad y disponibilidad mediante un enfoque basado en el riesgo y en la responsabilidad compartida. El documento establece el marco jurídico y normativo, define roles y funciones, y cumple con el artículo 12 del Real Decreto 311/2022.

Campo de aplicación

Esta política aplica a todas las actividades, procesos y activos de información de Abadesa Export Center S.L. vinculados a la prestación de servicios integrados de marketing y comunicación online: desarrollo de páginas web, gestión de campañas en redes sociales, servicios de paid media y diseño de estrategias. Incluye la totalidad de los sistemas de información en uso —plataformas en la nube, dispositivos endpoint y redes—, operando en un modelo de trabajo remoto. Es de cumplimiento obligatorio para todo el personal de la empresa, colaboradores externos, proveedores y cualquier tercera parte que acceda a la información o a los sistemas corporativos.

Referencias normativas

• ISO/IEC 27001:2022 — Sistemas de gestión de la seguridad de la información.
• Real Decreto 311/2022 — Esquema Nacional de Seguridad (ENS).
• Reglamento (UE) 2016/679 — Reglamento General de Protección de Datos (RGPD).
• Ley Orgánica 3/2018 — Protección de Datos Personales y garantía de los derechos digitales.

Términos y definiciones

Seguridad de la información

Preservación de la confidencialidad, la integridad y la disponibilidad de la información.

Riesgo

Efecto de la incertidumbre sobre los objetivos, expresado generalmente como la combinación de la probabilidad de un evento y sus consecuencias.

Evento de seguridad de la información

Ocurrencia identificada en un sistema, servicio o red que indica una posible brecha de la política de seguridad.

Incidente de seguridad de la información

Uno o más eventos de seguridad de la información no deseados o inesperados que tienen una probabilidad significativa de comprometer las operaciones del negocio.

Vulnerabilidad

Debilidad de un activo o control que puede ser explotada por una o más amenazas.

Activo de información

Conocimiento o datos que tienen valor para la organización.

Sistema de Gestión de la Seguridad de la Información (SGSI)

Parte del sistema de gestión global, basada en un enfoque de riesgo del negocio.

Roles y responsabilidades

Director General

Aprueba la política, asigna los recursos necesarios para el SGSI y ostenta las designaciones formales de Responsable del SGSI (RSGSI) y Responsable de Seguridad ENS (RSE).

Director de Tecnología

Define y supervisa la estrategia técnica de seguridad, coordina la implantación de controles y autoriza los cambios en la infraestructura tecnológica.

Directora Administrativa

Vela por el cumplimiento de las obligaciones en protección de datos personales y la adecuación de los acuerdos contractuales con terceros.

Director de Ventas

Garantiza la incorporación de requisitos de seguridad en las relaciones comerciales y promueve el cumplimiento de las normas de uso aceptable.

Encargado de Bases de Datos

Asegura la disponibilidad, integridad y protección de las bases de datos mediante los controles de acceso y respaldo definidos en el SGSI.

Encargada de Marketing

Aplica las directrices de clasificación y protección en la gestión de plataformas de publicidad, redes sociales y contenidos de clientes.

Oficial Informático

Ejecuta las medidas técnicas de seguridad en sistemas y dispositivos, monitoriza los registros y notifica las anomalías.

Auxiliar Administrativo

Cumple las normas de uso aceptable y escritorio limpio, y comunica los eventos de seguridad observados.

Objetivos de seguridad de la información

Abadesa Export Center adopta objetivos coherentes con su misión, derivados del análisis del contexto organizativo y de la evaluación de riesgos. Los fines estratégicos incluyen:

• Proteger la confidencialidad de los datos de clientes, empleados y socios, asegurando que la información se comparte exclusivamente con personas autorizadas y conforme a su nivel de clasificación.
• Garantizar la integridad de los activos informativos, previniendo modificaciones no autorizadas que puedan afectar a la calidad de los servicios prestados.
• Mantener la disponibilidad de los sistemas críticos —Odoo, GoHighLevel, Hostinger— para asegurar la continuidad operativa y la prestación ininterrumpida de servicios.
• Gestionar los riesgos de forma proactiva, identificando, evaluando y tratando las amenazas conforme a la metodología definida en el procedimiento de gestión de riesgos.
• Fomentar una cultura de seguridad donde todo el personal comprenda su responsabilidad individual y notifique con prontitud los eventos de seguridad observados.
• Cumplir los requisitos legales, reglamentarios y contractuales, incluyendo el Reglamento (UE) 2016/679 y el Real Decreto 311/2022.
• Mejorar continuamente la eficacia del SGSI, incorporando las lecciones aprendidas de auditorías internas, revisiones por la dirección y análisis de incidentes.

El Director General evalúa el grado de consecución de estos objetivos al menos anualmente durante la revisión por la dirección.

Datos de contacto

• Correo electrónico: info@xpandex.es
• Teléfono: (+34) 676 58 12 37