Skip to main content

Política de Seguridad de la Información

1. Política

SINCROLAB S.L. tiene una gran cantidad de información sensible en la que se basa su rendimiento, sostenibilidad, seguridad y capacidad para mantener y desarrollar sus actividades y resultados.

Este conjunto de Activos de Información cubre:

  • Información sobre preventa, producción y gestión, necesaria para el funcionamiento de las distintas unidades organizacionales,
  • Patrimonio intelectual, compuesto por toda la información que se atesora en el conjunto con el conocimiento y el know-how de la organización,
  • Información sobre sus clientes, usuarios y/o los terceros con los que está en contacto, cuya alteración o divulgación podría dañar su imagen de marca, la de sus clientes o de los terceros interesados, o incluso llevar a acciones legales,
  • Información sensible de los usuarios, afectada por las leyes de privacidad europeas y nacionales.
  • Información sobre su personal, como registros administrativos, cuya divulgación constituiría una violación de la privacidad.

El propósito de este documento es presentar la Política de Seguridad de los Sistemas de Información de SINCROLAB para proteger los activos de la información de una amplia gama de amenazas (fraude, espionaje, accidentes, errores humanos, etc.), con el fin de establecer la confianza de nuestros clientes, cumplir con los marcos legales y reglamentarios y con los objetivos de SINCROLAB en seguridad de la información.

Esta política es la piedra angular del programa global de seguridad de la información de SINCROLAB, dirigido a la protección de los activos de información incluidos dentro del alcance del Sistema de Gestión de Seguridad de la Información (en adelante, SGSI).

Este documento proporciona el marco para la seguridad de la información. Garantiza: disponibilidad, autenticidad, integridad, confidencialidad y trazabilidad de la información en la organización.

La alta dirección de SINCROLAB se compromete a poner en marcha los medios y acciones necesarias para implementar esta política.

La política está accesible para cualquier empleado de SINCROLAB a través de Google Drive (TODO: poner enlace a la política validada) y a través de la Dirección de Seguridad para cualquier parte interesada que lo solicite.

2. Alcance

Esta política es un documento aplicable a todas las Áreas y a todo el personal de SINCROLAB.

La estructuración de la organización de roles / funciones de seguridad, se define a nivel corporativo y a nivel operativo, desarrollado en el modelo organizativo.

Organigrama de Sincrolab (F-550-003 Organization Chart)

El perímetro funcional de esta política cubre todos los activos de información de SINCROLAB, es decir, todos los medios para crear, adquirir, procesar, almacenar, distribuir o destruir Información:

  • Información: Cualquier dato almacenado en formato electrónico o en papel perteneciente a SINCROLAB, empleados, proveedores o de sus usuarios o clientes,

  • Materiales: todos los elementos físicos que soportan procesos (portátil, servidor, impresora, soporte extraíble, lector, armario de almacenamiento, etc.),

  • Software: Todos los programas o ejecutables que contribuyen a las operaciones (sistema operativo, software de supervisión, suite ofimática, ejecutables, etc.),

  • Red: todos los dispositivos de comunicación utilizados en la interconexión de diferentes ordenadores o elementos remotos de un sistema de información (Router, cortafuegos, línea de comunicaciones dedicadas, red telefónica, red IP, etc.),

  • Personal: todos los involucrados en el sistema de información (personal de SINCROLAB, subcontratistas, colaboradores, etc.),

  • Ubicaciones: todos los emplazamientos de SINCROLAB y los requisitos físicos para el funcionamiento de estos sitios (edificio, oficinas, sala dedicada, CPDs, clouds, etc.),

  • Estructura de la organización: todos los elementos que forman parte de la organización y su funcionamiento (Modelo organizativo, procesos internos y de negocio, etc.).

Del mismo modo, el alcance del Sistema de Gestión de Seguridad de la Información establecido, documentado, implantado y mantenido por SINCROLAB aplica a los sistemas de información que dan soporte a los procesos indicados en el Mapa de Procesos de la Organización, de acuerdo con la Declaración de Aplicabilidad en vigor.

3. Objetivo

Esta política tiene como objetivo principal asegurar la disponibilidad, integridad, confidencialidad, autenticidad, trazabilidad, uso previsto y valor de la información y los servicios, junto con la tecnología y los activos de información de SINCROLAB.

Los objetivos generales que SINCROLAB ha establecido son:

  • Proporcionar la confianza a los clientes y usuarios protegiendo su información durante todo su ciclo de vida.

  • Facilitar la mejora continua de los procesos de seguridad, procedimientos, productos y servicios.

  • Cumplir los requisitos legales de negocio y otros requisitos de clientes (explícitos e implícitos) relacionados con la seguridad de la información.

  • Garantizar la Continuidad del Negocio estableciendo proyectos de contingencia en los servicios críticos manteniendo en todo momento la seguridad.

  • Garantizar que se provean los recursos necesarios para garantizar la seguridad, así́ como asignar funciones y responsabilidades a todo el personal de SINCROLAB.

  • Concienciar, formar y motivar al personal de SINCROLAB sobre la importancia del desarrollo e implantación del Sistema de Gestión de la Seguridad de la Información para poder cumplir con los objetivos estratégicos de negocio y su implicación para su correcta consecución.

4. Compromiso de la Dirección

Esta política expone los compromisos adquiridos por la alta dirección en materia de Seguridad de la Información. En concreto, LOGRAR UN ALTO NIVEL DE SEGURIDAD PARA NUESTROS SERVICIOS, CLIENTES Y USUARIOS, para ello:

  • Garantizamos la seguridad de los activos de nuestros clientes: el patrimonio informacional que nos confían nuestros clientes debe ser protegido contra toda alteración, perdida, daño, divulgación o acceso no autorizado.

  • Aseguramos un alto nivel de seguridad en los servicios y/o proyectos que evolucionan el servicio a nuestros clientes.

  • Afianzamos la conformidad del Sistema de Información con objeto de minimizar los riesgos para nuestros clientes y para la propia Organización.

  • Fomentamos una cultura de seguridad de la información de toda la organización.

  • Gestionamos los incidentes de seguridad con objeto de limitar los impactos para SINCROLAB, nuestros clientes y usuarios.

5. Marco Legal

El marco legal y regulatorio en el que desarrollamos nuestras actividades en materia de Seguridad de la Información es:

  • Reglamento (UE) 2016/679 Del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

  • Real Decreto Legislativo 1/1996, de 12 de abril, Ley de Propiedad Intelectual.

  • Real Decreto-ley 2/2018, de 13 de abril, por el que se modifica el texto refundido de la Ley de Propiedad Intelectual.

  • Norma Internacional ISO 27001:2022 Seguridad de la información, ciberseguridad y protección de la privacidad. Sistemas de gestión de la seguridad de la información. Requisitos.

6. Principios y Directrices

SINCROLAB depende de los sistemas TIC (Tecnologías de Información y Comunicación) para alcanzar sus objetivos empresariales. Estos sistemas deben ser explotados y administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad, confidencialidad o trazabilidad de la información tratada o a los servicios prestados.

El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.

6.1 Misión y Objetivos

Sincrolab es una plataforma de entrenamiento basada en Inteligencia Artificial, dirigida a la recuperación y el desarrollo de las capacidades cognitivas, ayudando a nuestros usuarios a mejorar la concentración y el enfoque de la atención.

Para llevar a cabo nuestra misión de forma segura, en Sincrolab desarrollamos, al menos, los siguientes objetivos de Seguridad de la Información:

  • Utilización de recursos TIC corporativos, tales como el correo electrónico, el acceso a Internet, el equipamiento informático y de comunicaciones.

  • Gestión de activos de información inventariados, categorizados y asociados a un responsable.

  • Mecanismos necesarios para que cualquier persona que acceda, o pueda acceder a los activos de información, conozca sus responsabilidades y de este modo se reduzca el riesgo derivado de un uso indebido de dichos activos.

  • Seguridad física, de forma que los activos de información serán emplazados en áreas seguras, protegidos por controles de acceso físicos adecuados a su nivel de criticidad. Los sistemas y los activos de información que contienen dichas áreas estarán suficientemente protegidos frente a amenazas físicas o ambientales.

  • Seguridad en la gestión de comunicaciones y operaciones, de manera que la información que se transmita a través de redes de comunicaciones deberá ser adecuadamente protegida, teniendo en cuenta su nivel de sensibilidad y de criticidad, mediante mecanismos que garanticen su seguridad.

  • Control de acceso, limitando el acceso a los activos de información por parte de usuarios, procesos y sistemas de información mediante la implantación de los mecanismos de identificación, autenticación y autorización acordes a la criticidad de cada activo.

  • Adquisición, desarrollo y mantenimiento de los sistemas de información contemplando los aspectos de seguridad de la información en todas las fases del ciclo de vida de dichos sistemas.

  • Gestión de los incidentes de seguridad implantando mecanismos apropiados para la correcta identificación, registro y resolución de los incidentes de seguridad.

  • Gestión de la continuidad implantando mecanismos apropiados para asegurar la disponibilidad de los sistemas de información y manteniendo la continuidad de sus procesos de negocio en caso de crisis.

6.2 Prevención

Para defenderse de las amenazas, las distintas Áreas y Departamento de SINCROLAB deben aplicar las medidas mínimas de seguridad exigidas por la norma internacional ISO 27001:2022, así como cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema.

Los requisitos de seguridad, niveles de servicio y sus necesidades de financiación deben ser identificados e incluidos en la planificación, en las ofertas, y en pliegos de licitación para proyectos de TIC.

Los departamentos deben estar preparados para prevenir, detectar, reaccionar y recuperarse de incidentes, de acuerdo con los controles 5.24 al 5.29 de la norma ISO 27001:2022.

Para garantizar el cumplimiento de la política, los departamentos deben:

  • Autorizar los sistemas antes de entrar en operación.

  • Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.

6.3 Detección

Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una simple desaceleración hasta su detención, los servicios deben monitorizar la operación de manera continuada para detectar anomalías en la prestación de los servicios y actuar en consecuencia según lo establecido en los controles 8.15 Registro de eventos y 8.16 Seguimiento de actividades de la norma ISO 27001:2022.

Se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales.

6.4 Respuesta

SINCROLAB, todas sus Áreas y Departamentos deben:

  • Establecer mecanismos para responder eficazmente a los incidentes de seguridad.

  • Designar punto de contacto para las comunicaciones con respecto a incidentes detectados en otros departamentos; o en otros organismos.

  • Establecer protocolos para el intercambio de información relacionada con el incidente.

6.5 Recuperación

Para garantizar la disponibilidad de los servicios críticos, las Áreas y Departamentos de SINCROLAB deben desarrollar planes de continuidad de los sistemas TIC como parte de su plan general de continuidad de negocio y actividades de recuperación.

7. Organización de la Seguridad

La implantación de esta Política de Seguridad en SINCROLAB requiere que todos los miembros de la Organización entiendan sus obligaciones y responsabilidades en función del puesto desempeñado.

Como parte de esta Política, los principales roles quedan identificados y detallados del modo siguiente: Responsable de Seguridad, Responsable de la Información, Responsable del Servicio y Responsable de Sistemas.

El Comité́ de Seguridad será el órgano encargado de aprobar la política y será́ el responsable de la autorización de sus modificaciones, así́ como de toda la información documentada del SGSI de la entidad. Sus integrantes son los roles integrados en la unidad organizacional “General Management” según A-550-001-Organization Chart V1.0:

  • Chief Financial Officer (CFO)
  • Chief Scientific Officer (CSO)
  • Chief Data Officer (CDO)
  • Chief Technology Officer (CTO)
  • Vice President Of Growth
  • Quality Manager, Técnico Responsable , Vigilance Manager & PRRC
  • Responsable de Seguridad (CISO)
  • Responsable de la Información (CIO)

El Responsable de Seguridad (Chief Information Security Officer - CISO) será quien tome las decisiones adecuadas para satisfacer los requisitos de seguridad de la información y de los servicios. Dispondrá de las siguientes funciones:

  • Supervisar el cumplimiento de la presente Política, de sus normas y procedimientos derivados.

  • Asesorar en materia de seguridad a los integrantes Comité de Seguridad que así lo requieran.

El Responsable de la Información (Chief Information Officer - CIO), será́ el encargado de notificar la presente política a todo el personal de SINCROLAB y de los cambios que en ella se produzcan, así́ como de coordinar las acciones de implantación, mantenimiento y mejora del SGSI/ENS de la organización, y de sus auditorias, junto con el Responsable de Sistemas.

El Chief Technology Officer (CTO), que se encargará de gestionar los requisitos técnicos de seguridad de los sistemas de información.

El Responsable del Servicio, se encargará de gestionar los requisitos de seguridad de las actividades de su área para la prestación de los servicios.

Todo el personal de SINCROLAB, tanto interno como externo, será́ responsable de cumplir con la presente Política de Seguridad de la Información dentro de su área de trabajo, así́ como de aplicar los controles y medidas de seguridad documentados en el SGSI de SINCROLAB en sus actividades laborales.

8. Nombramientos y Resolución de Conflictos

La coordinación se lleva a cabo en el seno del Comité́ de Dirección de SINCROLAB, que podrá́ delegar en el Comité́ de Seguridad.

Los nombramientos los establece la alta Dirección de SINCROLAB y se revisan cada 2 años o cuando un puesto queda vacante. Los nombramientos están documentados en A-550-001-Organization Chart V1.0.

Las diferencias de criterios que pudiesen derivar en un conflicto se tratarán en el seno del Comité́ de Seguridad y prevalecerá́ en todo caso el criterio del Comité́ de Dirección.

9. Difusión, Actualización y Revisión de la Política

Será misión del Comité de Seguridad la revisión anual de esta Política de Seguridad de la Información y la propuesta de revisión o mantenimiento de la misma al CEO de la Organización.

La Política será aprobada por el CEO de SINCROLAB y será difundida por el CIO para que la conozcan todas las partes afectadas.

Esta Política se desarrollará por medio de normativa de seguridad que afronte aspectos específicos. La normativa de seguridad estará a disposición de todos los miembros de la organización que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones.

10. Estructura de la Documentación

Será el Responsable de Seguridad (CISO) la persona encargada de la custodia y divulgación de la versión aprobada de la documentación generada.

La documentación sobre la que se soporta esta política estará compuesta por un conjunto de Normas, guías y procedimientos que ayudarán a los usuarios en el desarrollo de sus tareas.

Esta documentación estará accesible internamente en https://sgsi.sincrolab.es, aplicando los privilegios de lectura y escritura correspondientes.

11. Datos de Carácter Personal

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y la legislación española en vigor, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales, define las condiciones en las que el tratamiento de datos personales se puede hacer. Otorga a las personas afectadas por el tratamiento el derecho a acceder y corregir los datos registrados en su cuenta.

SINCROLAB ha designado el rol Delegado de protección de Datos (DPD) cuya misión es garantizar el cumplimiento de dichas disposiciones.

Antes de realizar cualquier tratamiento, es obligatorio que el responsable/encargado del tratamiento consulte con el DPD.

SINCROLAB solo recogerá datos de carácter personal cuando sean adecuados, pertinentes y no excesivos, y estos se encuentren en relación con el ámbito y las finalidades para los que se hayan obtenido. De igual modo, adoptará las medidas de índole técnica y organizativa necesarias para el cumplimiento de la normativa de Protección de Datos. Estas medidas estarán recogidas en las políticas, normativas y procedimientos que emanan de la presente política de seguridad.

12. Gestión de Riesgos

Todos los Activos de Información sujetos a esta Política deberán ser objeto un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:

  • Regularmente, al menos una vez al año.
  • Cuando cambie la información manejada.
  • Cuando cambien los servicios prestados.
  • Cuando ocurra un incidente grave de seguridad.
  • Cuando se reporten vulnerabilidades graves.

Para la armonización de los análisis de riesgos, el Comité de Seguridad establecerá una valoración de referencia para los diferentes tipos de información que son manejados y los diferentes servicios prestados.

El Comité de Seguridad dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.

La gestión de riesgos quedará documentada en un Plan de análisis y gestión de riesgos.

13. Incumplimientos

SINCROLAB podrá tomar las medidas adecuadas contra toda aquella persona que contravenga la presente Política de Seguridad y que derive en una amenaza para el negocio y/o mantenimiento de la actividad o en una violación de las normativas legales y/o acuerdos contractuales a los que SINCROLAB estuviese obligado.

El nivel y grado de las medidas dependerá́ de la naturaleza, intencionalidad y alcance de lo contravenido.

Tanto en el caso de relaciones laborales como de otra naturaleza, SINCROLAB se reserva el derecho de emprender acciones legales, independientemente de la rescisión de la relación contractual, en función del daño causado a la empresa.

14. Terceras Partes

Cuando SINCROLAB utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política y de la Normativa de Seguridad que ataña a dichos servicios o información.

Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Si fuera necesario, se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política.

Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.

15. Formación y Concienciación

Con carácter anual se realizará una acción de formación y concienciación en materia de seguridad. El objetivo de la acción formativa y de concienciación es doble:

  • Mantener informado al personal más directamente relacionado con el manejo de información y los sistemas que la tratan sobre los procedimientos existentes de seguridad, riesgos, medidas de protección, planes de protección, etc.

  • Concienciar al personal, en general, de la importancia de la seguridad y de los procedimientos básicos de manejo e intercambio de información.

16. Teletrabajo

La presente política y sus procedimientos, normas y disposiciones asociadas serán de aplicación, y por lo tanto de obligado cumplimiento, para todo el personal SINCROLAB que se encuentre en la modalidad de Teletrabajo.

17. Investigación de Antecedentes

La comprobación de antecedentes de todos los candidatos al puesto se debe llevar a cabo de acuerdo con las leyes, normas y códigos éticos que sean de aplicación y debe ser proporcionales a las necesidades del negocio y la clasificación de la información a la que se accede y los riesgos percibidos.

18. Responsabilidades de Gestión

La dirección debe exigir a los empleados y contratistas, que apliquen la seguridad de la información de acuerdo con las políticas y procedimientos establecidos en la Organización.

19. Aprobación y Entrada en Vigor

La presente Política de Seguridad de la Información será́ aprobada por la Alta Dirección mediante firma y será́ difundida a las partes interesadas de SINCROLAB.

Así́ mismo, la Dirección dotará de los recursos necesarios para la aplicación efectiva de esta política, y para su buen desarrollo, tanto en las actividades de implantación como en su posterior mantenimiento y mejora de todo el SGSI de SINCROLAB.

En SINCROLAB, a 26 de septiembre de 2025.

Representando a la Alta Dirección: