|
Empresa: |
Omnimarket (Integrador de Ecommerce, S.L.) |
|
Título del Documento: |
Programa de Seguridad de la Información |
|
Versión: |
1.0 |
|
Fecha de Efectividad: |
4 de Septiembre de 2025 |
|
Propietario del Documento: |
Director de Tecnología (CTO) |
1.0 Introducción y Propósito
Este documento establece el Programa de Seguridad de la Información (PSI) para Omnimarket. Su propósito es definir el marco de gobernanza, las políticas, los controles y los procedimientos necesarios para proteger los activos de información de la empresa, de nuestros clientes y de los usuarios finales.
La seguridad es un pilar fundamental de nuestra propuesta de valor. Este programa asegura que Omnimarket opera con los más altos estándares de protección de datos, garantizando la confianza y la continuidad del negocio para las tiendas online que dependen de nuestra plataforma.
2.0 Misión y Objetivos del Programa
Misión: Proteger la confidencialidad, integridad y disponibilidad de toda la información procesada y gestionada por la plataforma Omnimarket, fomentando una cultura de seguridad en toda la organización.
Objetivos Estratégicos:
Proteger los Datos del Cliente: Asegurar que la información de las tiendas online (productos, ventas, APIs) y los datos de sus compradores estén protegidos contra accesos no autorizados, fugas o alteraciones.
Garantizar la Continuidad del Servicio: Minimizar el riesgo de interrupciones en la plataforma para que nuestros clientes puedan operar sus negocios sin contratiempos.
Cumplir con la Normativa: Asegurar el cumplimiento de todas las leyes y regulaciones de protección de datos aplicables, como el RGPD.
Construir Confianza: Posicionar la seguridad como una ventaja competitiva clave que diferencia a Omnimarket en el mercado.
3.0 Gobernanza y Clasificación de la Información
3.1. Política General de Seguridad:
Omnimarket adopta una Política General de Seguridad que sirve como guía para todas las iniciativas de seguridad. Dicha política es de obligado cumplimiento para todos los empleados, contratistas y terceros con acceso a los sistemas de la empresa.
3.2. Roles y Responsabilidades:
Dirección Ejecutiva: Proporciona el respaldo y los recursos necesarios para la ejecución exitosa del PSI.
Director de Tecnología (CTO): Es el máximo responsable de la implementación, supervisión y mantenimiento de este programa.
Equipo de DevSecOps: Integra la seguridad en el ciclo de vida de desarrollo de software, gestiona la seguridad de la infraestructura y responde a las alertas de seguridad.
Empleados: Son responsables de comprender y aplicar las políticas de seguridad en sus actividades diarias.
3.3. Clasificación de la Información:
Se establece un esquema de clasificación para aplicar los controles de seguridad adecuados según la sensibilidad de los datos:
Nivel 3 (Confidencial): Datos de identificación personal (PII) de compradores, credenciales de API de clientes, informes financieros. Requiere los controles más estrictos de cifrado y acceso.
Nivel 2 (Uso Interno): Código fuente, documentación interna, planes estratégicos. El acceso está restringido al personal autorizado.
Nivel 1 (Público): Material de marketing, contenido del sitio web público. No requiere controles de confidencialidad.
4.0 Gestión de Riesgos
Se llevará a cabo un análisis de riesgos de forma anual, o siempre que ocurra un cambio significativo en la plataforma o el entorno de amenazas. Los riesgos identificados prioritarios para Omnimarket incluyen:
Brechas de datos a través de ataques a la aplicación web o a las bases de datos.
Vulnerabilidades en APIs de terceros.
Interrupciones del servicio por fallos de infraestructura o ataques de denegación de servicio (DDoS).
Amenazas internas por error humano o acción maliciosa.
5.0 Controles de Seguridad
Se implementarán los siguientes controles como mínimo:
Seguridad de la Aplicación: Se aplicarán las mejores prácticas del OWASP Top 10 en todo el ciclo de desarrollo. Se realizarán revisiones de código y pruebas de penetración periódicas.
Cifrado de Datos: Todos los datos se cifrarán en tránsito (TLS 1.2+) y en reposo (AES-256), especialmente los datos clasificados como Confidenciales.
Gestión de Acceso: Se implementará el principio de mínimo privilegio mediante un control de acceso basado en roles (RBAC). Se exigirá autenticación multifactor (MFA) para el acceso a todos los sistemas críticos.
Seguridad de la Infraestructura: Se utilizarán firewalls de aplicaciones web (WAF), segmentación de redes y configuraciones seguras en nuestros proveedores de servicios en la nube.
Formación y Concienciación: Se impartirá formación obligatoria anual sobre seguridad a todo el personal, con simulacros de phishing periódicos.
6.0 Gestión de Incidentes de Seguridad
Omnimarket mantendrá un Plan de Respuesta a Incidentes que detalla los procedimientos para la detección, contención, erradicación y recuperación ante un incidente de seguridad. Este plan incluye un protocolo de comunicación claro y transparente para notificar a nuestros clientes en caso de que sus datos se vean afectados, cumpliendo con los plazos que exige la normativa.
7.0 Continuidad del Negocio y Recuperación ante Desastres (BCP/DRP)
Para garantizar la máxima disponibilidad de la plataforma, se implementará la siguiente estrategia:
Copias de Seguridad: Se realizarán copias de seguridad diarias, automatizadas e inmutables de todos los datos críticos.
Pruebas de Recuperación: Se ejecutarán pruebas de restauración trimestrales para verificar la integridad de las copias de seguridad.
Alta Disponibilidad: La arquitectura de la plataforma estará diseñada para ser resiliente, utilizando múltiples zonas de disponibilidad en la nube para mitigar el riesgo de fallos en un único centro de datos.
8.0 Cumplimiento Normativo
El programa de seguridad asegurará el cumplimiento continuo con las regulaciones de protección de datos más relevantes, incluyendo el Reglamento General de Protección de Datos (RGPD) de la Unión Europea y otras leyes de privacidad aplicables según la geografía de nuestros clientes. Se realizarán auditorías periódicas para verificar el cumplimiento.
9.0 Revisión y Mejora Continua
Este programa será revisado anualmente, o tras un incidente de seguridad significativo, para asegurar su relevancia y eficacia. La seguridad es un proceso en constante evolución, y Omnimarket se compromete a la mejora continua de su postura de seguridad.
Aprobación:
Nombre: Hannibal Rodriguez
Cargo: CEO
Fecha: 4 de Septiembre de 2025