1. INTRODUCCIÓN

A través del presente documento, QUANTRUE, SL (en adelante, «la empresa») informa a su personal (en adelante, «los usuarios») de las normas obligatorias que afectan al uso de los recursos y componentes del sistema de información, tanto automatizados como no automatizados (en papel), así como a los datos personales y la información almacenados y tratados en dichos sistemas.

Todos los usuarios del sistema de información de la empresa están obligados a leer y aceptar las normas establecidas en el presente documento y a comprometerse a cumplirlas.

Funciones y obligaciones del personal

Las funciones y obligaciones de cada usuario o perfil de usuario con acceso a datos personales y sistemas de información se definirán y documentarán claramente en el sistema.

2. DEFINICIONES

• Archivos temporales: archivos de trabajo creados por usuarios o procesos que son necesarios para el procesamiento ocasional o como paso intermedio durante el procesamiento.
• Incidente: cualquier anomalía que afecte o pueda afectar a la seguridad de los datos.
• Responsable del Sistema de Gestión de Seguridad de la Información (SGSI), en adelante Responsable del Sistema: persona a la que se le ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables.
• Sistema de información: conjunto de archivos, procesos, programas, soportes y, en su caso, equipos utilizados para el tratamiento de datos personales.
• Sistema de procesamiento: forma en que se organiza o utiliza un sistema de información. Según el sistema de procesamiento, los sistemas de información pueden ser automatizados, no automatizados o parcialmente automatizados.

3. CONFIDENCIALIDAD DE LA INFORMACIÓN

Los contratos firmados entre la empresa y sus clientes incluyen cláusulas relativas a la confidencialidad de la información. Los empleados y proveedores de la empresa que sean usuarios de los sistemas de información de la empresa deben conocer estas cláusulas, y es responsabilidad de la empresa cliente informarles al respecto. Además de las cláusulas específicas de cada contrato, todos los usuarios deben cumplir con el Compromiso de Confidencialidad que la empresa tiene con sus clientes. Los usuarios tienen el deber de proteger la información a la que acceden como resultado de las tareas asignadas por la empresa.

Una vez finalizada la relación contractual con la empresa, los usuarios se comprometen a no utilizar la información o los conocimientos obtenidos durante la relación contractual en beneficio propio o de terceros. Además, toda la información perteneciente a la empresa o a sus clientes deberá ser devuelta o destruida.

4. NOTIFICACIÓN DE INCIDENTES DE SEGURIDAD E INCIDENTES RELACIONADOS CON DATOS PERSONALES

Los empleados deben notificar por correo electrónico cualquier incidente de seguridad o incidente relacionado con datos personales, comunicándolo directamente y de inmediato al responsable del sistema para su correcta gestión.

5. NORMAS DE USO DE LOS IDENTIFICADORES DE USUARIO Y CONTRASEÑAS

Cada usuario es el único responsable de mantener la confidencialidad de sus identificadores de usuario y contraseñas, por lo que está prohibido compartirlos con terceros. En caso de incumplimiento de esta prohibición, el usuario será el único responsable de las acciones realizadas por quienes los utilicen sin autorización.

Está prohibido cambiar las contraseñas asignadas a cada usuario para el desempeño de sus funciones dentro de la Organización (estaciones de trabajo, dispositivos móviles, etc.), y estas solo pueden ser modificadas por el Responsable del Sistema.

6. NORMAS DE USO DEL EQUIPO INFORMÁTICO

• Los ordenadores de las estaciones de trabajo deben permanecer bloqueados siempre que se dejen desatendidos por cualquier motivo para evitar que terceros accedan a los recursos y aplicaciones autorizados para el usuario legítimo (bloqueo automático).
• Está prohibido modificar la configuración del equipo informático y conectar dispositivos externos (dispositivos móviles, módems, memorias USB, etc.) sin la autorización previa del Responsable del Sistema.
• Queda prohibido el uso de medios de almacenamiento de información distintos a los instalados y configurados por la empresa para tales fines (como CDs, DVDs, memorias USB o cualquier otro tipo).
• Está prohibido cambiar la contraseña de acceso en estaciones de trabajo y/o portátiles sin la autorización y conocimiento previo del Responsable del Sistema.
• En los ordenadores portátiles, se deberán tomar todas las precauciones para evitar su pérdida o robo, y si esto ocurre, deberá notificarse inmediatamente al Responsable del Sistema para adoptar las medidas de seguridad oportunas.
• Si un usuario prevé no utilizar su portátil durante un período prolongado, deberá depositarlo en las instalaciones de la empresa.
• El uso de equipos de prueba, si es necesario, requiere comunicación y autorización previa del Responsable del Sistema.

7. INSTALACIÓN DE APLICACIONES Y ALMACENAMIENTO DE CONTENIDOS

• Está prohibido usar aplicaciones o almacenar contenidos no relacionados con las actividades de la empresa. El uso de software sin la debida autorización puede conllevar diversas responsabilidades e incluso responsabilidad legal o penal.
• Los programas de software destinados a ser instalados o instalados efectivamente en los equipos informáticos, así como los contenidos almacenados en ellos, son propiedad de la empresa u otros legítimos titulares terceros que han cedido la propiedad o licencias de uso a la empresa. Solo el personal designado por el Responsable del Sistema puede instalar y configurar, o autorizar la instalación y configuración de, aplicaciones y software aprobados y autorizados por la empresa.
• Todos los equipos informáticos de la empresa cuentan con el programa antivirus corporativo instalado, que no puede ser modificado ni desactivado. Sin embargo, los usuarios deben actuar con la máxima diligencia al ejecutar archivos procedentes de fuentes desconocidas. En caso de duda, deben abstenerse de ejecutar el archivo o programa y contactar directamente con el Responsable del Sistema.

8. SEGURIDAD FÍSICA Y POLÍTICA DE ESCRITORIO LIMPIO

El acceso físico a las instalaciones de la empresa está restringido al personal externo, salvo autorización previa de la Dirección, siempre respetando los controles de acceso y seguridad establecidos.

Al finalizar la jornada laboral, los ordenadores deben apagarse. Si deben permanecer encendidos, la pantalla debe quedar bloqueada. Además, los usuarios deben asegurar que los materiales y documentación utilizados en sus funciones estén debidamente almacenados.

Los documentos a desechar deben destruirse en la trituradora de papel disponible en la sede de la empresa.

9. NORMAS PARA EL USO DE DISPOSITIVOS MÓVILES

• Los recursos móviles proporcionados o autorizados por la empresa son aquellos dispositivos entregados por la empresa bajo el control de las políticas establecidas de seguridad de la información. Los usuarios están obligados en todo momento a usar estos recursos de manera razonable y adecuada.
• Está prohibido conectar cualquier tipo de dispositivo móvil de almacenamiento personal a los ordenadores y servidores de la empresa.
• Los recursos móviles puestos a disposición de los usuarios están sujetos a:
  • La autoridad de la empresa para gestionar o administrar las líneas móviles según necesidades laborales.
  • La titularidad por parte de la empresa de los números asignados a los recursos móviles.
  • La política de prefijado de llamadas salientes para comunicaciones con terceros preseleccionados (clientes y/o proveedores).
• Los usuarios que dispongan de un recurso móvil de la empresa serán custodios y responsables de su uso seguro y custodia desde el momento de su recepción, asegurando:
  • Que su uso sea principalmente para fines laborales.
  • Que el uso personal ocasional sea razonable, racional y moderado, dentro del marco establecido por la normativa vigente y este documento, sin interferir en la productividad para la realización de tareas diarias y responsabilidades asignadas.
  • Comunicación inmediata a la empresa en caso de pérdida o robo del dispositivo. Fuera del horario laboral, los usuarios deben contactar directamente con el operador de telecomunicaciones correspondiente para restringir la línea de forma inmediata y notificarlo a la empresa lo antes posible.
• Los usuarios son total y exclusivamente responsables de todo el contenido de los mensajes enviados a través de sus teléfonos móviles, así como de los datos proporcionados a terceros.
• Los usuarios de recursos móviles habilitados para acceso a Internet y correo electrónico están sujetos a las normas generales de acceso y uso de estos servicios en la empresa.
• Para los servicios de mensajería móvil (SMS/MMS/PUSH) o cualquier tipo de mensajería instantánea, queda prohibido:
  • Crear, almacenar o intercambiar contenidos que violen las leyes de derechos de autor y propiedad intelectual.

10. NORMAS DE USO DEL CORREO ELECTRÓNICO

• El servicio de correo electrónico debe usarse siempre para actividades relacionadas con la función desempeñada en la empresa, de acuerdo con la normativa vigente y las reglas de este documento, considerando que los usuarios que lo usan actúan en su nombre propio y en nombre y representación de la empresa.
• Está prohibido modificar la configuración fija del cliente de correo implementada por el Responsable del Sistema.
• Si un usuario recibe un correo electrónico dirigido a otra persona, debe notificar al remitente y luego eliminarlo. Esto aplica solo a remitentes considerados fiables.
• Está prohibido enviar mensajes a múltiples destinatarios en lista abierta (campo Para:) salvo que sea necesario por razones organizativas y de gestión del trabajo.
• Si un usuario recibe contenido inapropiado en su correo, debe informar a su supervisor o comunicarlo directamente al Responsable del Sistema.
• Está prohibido intercambiar secretos comerciales u otra información confidencial de la empresa fuera de los casos expresamente autorizados por el puesto y desarrollo laboral.
• No se puede usar el correo para enviar o responder cadenas de mensajes. Tampoco para fines comerciales o lucrativos en beneficio del usuario.
• Está expresamente prohibido interceptar, acceder o usar sin autorización los buzones, mensajes o direcciones de correo de otros usuarios.
• Si un usuario va a ausentarse de su puesto por vacaciones, permisos, excedencias, días voluntarios u otro motivo, debe notificar al Responsable del Sistema para generar la respuesta automática adecuada y posible redirección del correo a otro usuario por razones organizativas.
• Está prohibido configurar en el cliente de correo el acceso a cuentas personales no corporativas.
• Los usuarios deben eliminar todos los correos cuya conservación a lo largo del tiempo no sea absolutamente necesaria. Esta norma aplica tanto a correos recibidos como enviados.
• Para evitar cualquier sospecha de entrada de virus informáticos u otra amenaza, los usuarios deben cumplir con las siguientes normas e informar inmediatamente al Responsable del Sistema:
  • Nunca ejecutar un archivo ejecutable adjunto a un correo electrónico.
  • Nunca abrir correos electrónicos de fuentes desconocidas.
• Está prohibido suscribirse a listas de correo, revistas, periódicos, blogs, chats, publicaciones, grupos de noticias o servicios similares. Solo se permitirán suscripciones si están directamente relacionadas con las actividades de la empresa y con autorización previa del Responsable del Sistema.

11. NORMAS DE USO DE INTERNET

• Está prohibido modificar la configuración fija del navegador de Internet implementada por el Responsable del Sistema. Esto incluye direcciones IP y DNS, cuya configuración no podrá alterarse bajo ninguna circunstancia salvo solicitud justificada.
• Está prohibido usar servicios y contenidos de Internet contrarios a las condiciones generales de uso que rigen cada sitio web.
• Está prohibido usar Internet como medio para cometer actos ilegales o contrarios a la legislación vigente, moral, buenas costumbres y orden público.
• El acceso y uso de Internet no podrá usarse para fines comerciales o lucrativos en beneficio del usuario.
• Los servicios de Internet solo podrán usarse para fines personales cuando dicho uso garantice el cumplimiento de la normativa vigente, siga las reglas establecidas en este documento y las siguientes:
  •