Medidas técnicas y organizativas

21 Dic 2023

Medidas técnicas y organizativas

Estas medidas técnicas y organizativas se aplican a todas las oficinas corporativas de CitNOW Group y a sus instalaciones de investigación y desarrollo.

Acerca de CitNOW Group

CitNOW Group se creó con el fin de utilizar la innovación para ayudar a las empresas minoristas y fabricantes a ofrecer a sus clientes una experiencia excepcional. Para ello, desea transformar la forma en que se comunica el mundo del automóvil.

CitNOW Group ofrece diversos servicios para las distintas etapas del recorrido del cliente. Descubra cada uno de ellos en nuestra página Brands & Solutions

CitNOW Group está formado por CitNOW, CitNOW Imaging, CitNOW Triage y Appraise, Dealerdesk, Dealerweb, Quik, REALtime Communications (RTC) y Web1on1 (t/a CitNOW Conversations). El alcance de la empresa es global y tenemos presencia en 82 países, donde disponemos de más de 19 500 instalaciones y numerosas asociaciones con empresas complementarias del sector de la automoción.

Finalidad y alcance

CitNOW Group trata los datos de clientes y consumidores en nombre de nuestros clientes del sector de la automoción. Por tanto, CitNOW Group respeta la privacidad y el valor de estos datos, así como la confianza que nuestros clientes depositan en nosotros.

A continuación, se detallan las medidas técnicas y organizativas que utilizamos para asegurar la protección y la seguridad de los datos. El objetivo es garantizar la confidencialidad, la integridad y la disponibilidad de la información que tratamos. Para obtener información más detallada sobre las instalaciones del centro de datos, haga clic en los enlaces que figuran al final del documento.

Enfoque

Nos comprometemos a:

Utilizar todas las medidas de seguridad que sean razonables, adecuadas, prácticas y eficaces para proteger nuestros procesos y activos importantes con el fin de conseguir nuestros objetivos en materia de seguridad.
Cumplir todos los requisitos de la norma ISO 27001:2022 dentro de nuestro sistema de gestión de seguridad de la información.
Utilizar la norma ISO 27002 como marco de referencia de nuestro enfoque de la gestión de la seguridad.
Revisar continuamente la forma en que utilizamos las medidas de seguridad para mejorar el modo en que protegemos nuestro negocio.
Proteger y gestionar nuestros activos de información para poder cumplir nuestras responsabilidades contractuales, legislativas y de privacidad.
Utilizar todas las medidas que sean razonables, adecuadas, prácticas y eficaces para transferir información a Terceros que requieran acceso a dicha información.
Garantizar el cumplimiento del Reglamento General de Protección de Datos (RGPD), el Reglamento General de Protección de Datos del Reino Unido (RGPD del Reino Unido) y el Reglamento General de Protección de Datos de la UE (RGPD de la UE) a través de nuestros representantes del RGPD dentro de la empresa, así como de nuestro Delegado de protección de datos (DPO) externo independiente.
Utilizar el marco y las directrices de TISAX para cumplir los requisitos de seguridad de la información de los consumidores y legales en las políticas de CitNOW Group.

Políticas de seguridad de la información
1. CitNOW Group ha definido un conjunto de políticas de seguridad de la información que han sido aprobadas por el Consejo de Administración y que establecen el enfoque de la organización para gestionar sus objetivos en materia de seguridad de la información.
2. Las políticas de seguridad de la información se han implantado para abordar los requisitos derivados de la estrategia de la empresa, las normativas, la legislación, los contratos y el entorno actual y previsto de amenazas a la seguridad de la información. Estas políticas también son un requisito de nuestras acreditaciones ISO 27001, Cyber Essentials Plus y TISAX (cuando corresponde, según cada entidad). Las siguientes políticas se aplican a todo el personal:
  - Política de control de acceso
  - Política de uso aceptable
  - Política de gestión de cambios
  - Política de clasificación de la información
  - Política de gestión de incidentes de seguridad de la información
  - Política de transferencia de información
  - Política de dispositivos móviles y teletrabajo
  - Política de seguridad física
  - Política de escritorio y pantalla limpios
  - Sistema de gestión de contraseñas
  - Política de criptografía
  - Políticas de personal, que incluyen la incorporación, selección y salida del personal
  - Política de uso del navegador de Internet
3. Además de las políticas anteriores, podrían existir otras políticas obligatorias en función del puesto de trabajo del empleado.
4. Se lleva a cabo una revisión de todas las políticas de seguridad de la información de CitNOW Group al menos una vez al año o siempre que se produzcan cambios significativos que puedan afectar a una política, independientemente de la naturaleza de dicho cambio (por ejemplo, cambios en el negocio, cambios en la legislación o cambios tecnológicos).
Gestión de riesgos
1. CitNOW Group cuenta con un enfoque integral y pragmático para identificar, analizar y tratar los riesgos, así como para supervisarlos y revisarlos de manera continua. Este enfoque se detalla en nuestro documento «Metodología de evaluación y tratamiento de riesgos». En él, se abordan los riesgos derivados de problemas internos y externos, ya sean amenazas u oportunidades, y se describe el enfoque que se adopta ante los riesgos derivados de la legislación aplicable.
2. También se dispone de un Registro de riesgos actualizado, que se utiliza para mapear y tratar los riesgos identificados a partir de su identificación y análisis. Se utiliza, además, para documentar las actividades y demostrar su relación con los controles y políticas elegidos por la organización para abordar las amenazas y oportunidades de riesgos.
Organización
1. Funciones y responsabilidades: CitNOW Group ha identificado las funciones y responsabilidades clave en el área de la seguridad de la información y la protección de datos. Estas funciones específicas se asignan y comunican con el fin de que la seguridad de la información no solo se gestione de forma eficaz, sino para poder comunicar a la alta dirección el funcionamiento del sistema de gestión de la seguridad.
  1. Director de Operaciones de Seguridad y Riesgos: dirige y gestiona el comité ISO para garantizar el mantenimiento del sistema de gestión de seguridad de la información y la acreditación ISO. También es responsable de la seguridad de la información dentro de la organización, así como de la gestión de riesgos.
  2. Gerente de Cumplimiento Normativo y Protección de Datos del Grupo: dirige el equipo de cumplimiento del grupo y es responsable de los aspectos legales, contractuales y de protección de datos del sistema de gestión de seguridad de la información. Es responsable de las prácticas del RGPD tanto en nuestras oficinas del Reino Unido como en las de la Unión Europea.
  3. Comité ISO: se encarga de la gestión diaria y el mantenimiento del sistema de gestión de seguridad de la información. Realiza la implementación de políticas y procedimientos, y garantiza su cumplimiento por parte del personal. Gestiona las medidas correctivas y mejoras, además de los riesgos y tratamientos.
  4. Auditores internos: son personas que han realizado el curso de auditor interno recomendado ISO 27001 y, como tales, son responsables de llevar a cabo todas las auditorías internas, de acuerdo con el programa de auditoría.
  5. Consejo de Administración responsable del sistema de gestión de seguridad de la información y el RGPD: punto de contacto del comité ISO y el Consejo de Administración de CitNOW Group. Es responsable de firmar las nuevas políticas y procedimientos de la ISO y de garantizar que trabajamos para alcanzar nuestros KPI. También es responsable de aprobar la Aceptación de riesgos según nuestra Metodología de riesgos.
  6. Responsable de protección de datos: es responsable de garantizar que CitNOW Group cumpla todos los aspectos de la legislación del RGPD, tanto del Reino Unido como de la UE.
  7. Representante de la UE: nuestro representante designado de la UE en lo que respecta al RGPD de la UE. Sirve de enlace con las autoridades supervisoras de la UE en relación con el RGPD de la UE y con los Interesados con sede en la UE.
  8. Defensores del RGPD: son el contacto diario en materia del RGPD dentro de la empresa. Garantizan el mantenimiento de las políticas vigentes (por ejemplo, el documento “Artículo 30: Registros de tratamiento”, el registro de infracciones, etc.). También son responsables del mantenimiento del Aviso de privacidad y de garantizar el cumplimiento diario de nuestras responsabilidades con los Interesados y los clientes.
2. Separación de obligaciones: la separación de obligaciones sirve para garantizar que no se asignen responsabilidades contradictorias a la misma persona y evitar que una sola persona pueda acceder, modificar o utilizar activos sin autorización o sin ser detectada.
3. Inteligencia sobre amenazas: para conocer las posibles amenazas y vulnerabilidades que pueden afectar a la seguridad de la información, recopilamos y analizamos información sobre amenazas procedente de fuentes fiables. Esto nos permite conocer las amenazas que pueden afectarnos y tomar las medidas adecuadas cuando es necesario. Cualquier información sobre amenazas que pueda afectar a la organización se indica en el Registro de riesgos y sigue nuestro método de tratamiento de riesgos.
4. Seguridad de la información en la gestión de proyectos: los departamentos de Productos del grupo utilizan un flujo de trabajo que hace necesaria la participación del departamento de Cumplimiento Normativo en las primeras fases del proyecto, además de la realización de evaluaciones de riesgos. En caso de que algún proyecto afecte a la privacidad de nuestros clientes, empleados o consumidores, se seguirán nuestros procedimientos de Evaluación del impacto en la protección de datos. Si un proyecto involucra a un tercero, también se seguirá el Procedimiento de seguridad para proveedores.
5. Inventario de información y otros activos: contamos con un sistema de seguimiento de activos de información y otro de activos físicos, con el que se controlan nuestros activos a lo largo de todo su ciclo de vida. El propietario del activo es responsable de la gestión adecuada de dicho activo durante todo su ciclo de vida y de protegerlo de acuerdo con la Clasificación de la información. Todos los activos de información de CitNOW Group deben devolverse a CitNOW Group al término de la relación laboral o del contrato con terceros.
6. Uso aceptable de la información y otros activos asociados: CitNOW Group cuenta con una Política de uso aceptable en la que se describen las normas del uso de los sistemas y activos de información de la empresa. Esta política hace hincapié en el uso responsable con fines comerciales, prohíbe las actividades no autorizadas y garantiza la seguridad de los datos. Los empleados deben seguir las directrices relativas a las actualizaciones de software, el uso de Internet, la comunicación por correo electrónico y la notificación de incidentes.
7. Gestión de activos: siempre que es posible, CitNOW Group evita crear activos de información en papel e intenta producir únicamente información digital. La información digital está protegida contra el acceso no autorizado mediante medidas que incluyen Controles de acceso.
8. Clasificación y etiquetado de la información: CitNOW Group tiene tres niveles de confidencialidad que están definidos en la «Matriz de clasificación de la información» (Confidencial, Pública e Interna). Toda la documentación debe estar claramente marcada con la etiqueta de confidencialidad adecuada y la información clasificada como «Confidencial» debe ir acompañada de una Lista de personas autorizadas.
9. Transferencia de información: CitNOW Group dispone de una política de transferencia de información que garantiza que todas las transferencias de información o datos que se realicen dentro de CitNOW Group, ya sean internas, externas o a terceros, cumplan los requisitos mínimos de seguridad. En esta política se describen las funciones y responsabilidades, los métodos para garantizar la seguridad de las transferencias y las directrices para el tratamiento de diversos formatos de información, incluidos el correo electrónico, la mensajería instantánea y los dispositivos de memoria externos. La política se aplica a todos los empleados y terceros, y hace hincapié en la importancia del cumplimiento y la clasificación adecuada de la información.
10. Control de acceso: CitNOW Group dispone de una política de Control de acceso en la que se definen las normas para acceder a los sistemas, equipos, instalaciones e información en función de las necesidades de la empresa y de seguridad. El acceso se rige por los principios de «denegación por defecto» y «necesidad de conocer». El Control de acceso basado en roles (RBAC) sigue el principio del «privilegio mínimo» y los derechos de acceso se revisan anualmente. El departamento de TI controla el acceso a la red y solo lo concede cuando es necesario.
11. Responsabilidades del usuario y gestión de contraseñas: todos los usuarios de cualquier sistema de CitNOW Group deben tener un ID de usuario único y deberán autenticarse mediante una contraseña. Las contraseñas deben mantenerse confidenciales y no deben distribuirse a través de ningún canal (ya sea de forma oral, escrita, electrónica, etc.) ni guardarse en el sistema de información, excepto en un almacén (o cámara) de contraseñas seguro aprobado. Los usuarios deben seguir las prácticas de seguridad recomendadas al seleccionar y utilizar las contraseñas y deben cumplir las obligaciones que se indican en la política de contraseñas.
12. Gestión del acceso de los usuarios: la implementación técnica de la asignación o eliminación de los Derechos de acceso básico de los empleados de CitNOW Group corre a cargo del departamento de TI y del Departamento de RR. HH. De la implementación técnica de la asignación o eliminación de los derechos de acceso se encargan los Propietarios del sistema. Siempre que es posible y práctico, se realiza una separación de las obligaciones y una separación de las cuentas con privilegios de las cuentas sin privilegios. Los derechos de acceso se supervisan y revisan periódicamente, al menos una vez al año.
13. Seguridad de la información en las relaciones con los proveedores: CitNOW Group dispone de una Política de seguridad de los proveedores. El objetivo de esta política es garantizar que el intercambio de información con terceros se realice de tal manera que se pueda obtener el máximo valor de estas relaciones protegiendo los activos de información de CitNOW Group contra cualquier uso indebido. Todos los terceros que tienen acceso a datos o información han firmado un Acuerdo de confidencialidad y no divulgación vigente y actualizado. Este acuerdo se incluye en el contrato o en el acuerdo de servicio, dependiendo del tipo de proveedor. También existe un procedimiento interno para terceros que garantiza que todos los empleados sigan los pasos correctos al considerar a un nuevo proveedor y que el equipo de Cumplimiento participe en el proceso para asegurarse de que se hayan realizado todas las comprobaciones.
14. La seguridad de los proveedores: siempre que es posible, trabajamos con proveedores que ya cumplen la mayoría de nuestros requisitos de seguridad de la información para los servicios que nos prestan y que tienen un buen historial en lo que se refiere al tratamiento responsable de las cuestiones relacionadas con la seguridad de la información. Seleccionamos servicios líderes y de confianza, conocidos por su solidez, fiabilidad y seguridad, y, siempre que es posible, buscamos proveedores que ya hayan obtenido la certificación ISO 27001 o una equivalente.
15. Supervisión, revisión y gestión de cambios de los proveedores: todos los proveedores de CitNOW Group se someten a una exhaustiva revisión de seguridad antes de contratar sus servicios. Este proceso de revisión es continuo. En él, los proveedores críticos se evalúan una vez al año y los que no son críticos se revisan al final de su contrato o antes de la fecha de renovación de este. A la hora de gestionar los cambios en los servicios de los proveedores, tenemos en cuenta varios factores para garantizar los mejores resultados. Como práctica recomendada, nuestro objetivo es investigar y evaluar a tres proveedores potenciales antes de realizar la selección final. Estos son algunos de los factores más importantes:
  - La naturaleza del cambio;
  - El tipo de proveedor afectado y la importancia de la información, los sistemas y los procesos empresariales, así como la reevaluación de los riesgos;
  - La profundidad de la relación; y
  - Nuestra capacidad para influir o controlar el cambio en el proveedor.
16. Gestión de incidentes de seguridad de la información: los procedimientos de respuesta a incidentes se han establecido de antemano para garantizar que se siga un enfoque estructurado durante los incidentes. En ellos, se describen las funciones y responsabilidades del personal a la hora de notificar y responder a estos incidentes para crear una estrategia de gestión coherente. La primera tarea consiste en evaluar el incidente y decidir las medidas que se deben tomar para minimizar el riesgo para la disponibilidad, integridad o confidencialidad (CIA) de la información, evitar nuevos incidentes, minimizar las interrupciones e identificar a las personas a las que se debe informar, ya sea el personal interno, los clientes, los proveedores y los organismos reguladores, teniendo en cuenta los requisitos del RGPD y la Ley de Protección de Datos de 2018. Una vez evaluado, una persona designada se comunicará con las partes pertinentes para resolver el problema. El tiempo de respuesta varía según la clasificación del incidente y su gravedad. Si el incidente afecta a los clientes, se notificará a estos de acuerdo con las obligaciones legales y contractuales, dentro de los límites legalmente exigibles, tras una investigación exhaustiva.
17. Seguridad de la información durante las interrupciones: CitNOW Group ha identificado varios escenarios que podrían afectar al negocio y ha documentado las medidas para mitigar dichos problemas como parte del Plan de continuidad del negocio. Este plan está diseñado para ayudar a que las operaciones se reanuden con prontitud en caso de que se produzca un incidente disruptivo. Las pruebas y el mantenimiento del Plan de continuidad del negocio de CitNOW Group sirven para garantizar que este se ajuste a nuestros objetivos de seguridad de la información, basándose en lo siguiente:
  - Las pruebas de partes específicas del plan y su impacto en la seguridad de la información se llevan a cabo con una frecuencia que está relacionada con la probabilidad del riesgo y el impacto que se determine en la evaluación de riesgos.
  - Las auditorías del Plan de continuidad del negocio se planifican periódicamente de acuerdo con el programa de auditoría.
  - Los equipos de cumplimiento y TI revisan el plan para garantizar que sea válido, y cualquier cambio beneficioso que se identifique se presenta al Consejo de Administración.
  - Al menos una vez al año se lleva a cabo un simulacro completo de continuidad del negocio para garantizar que sigue formando parte de un enfoque integrado de la empresa y que sigue teniendo capacidad para cumplir sus objetivos.
18. Legislación aplicable: la legislación, la normativa y los requisitos contractuales aplicables que afectan a CitNOW Group se identifican, documentan, supervisan y revisan como parte del curso normal de las actividades de la empresa y como parte de las revisiones de la dirección.
19. Derechos de propiedad intelectual: CitNOW Group describe su enfoque para proteger sus propios Derechos de propiedad intelectual (DPI) a través de las siguientes medidas, que están basadas en políticas y acuerdos establecidos. Entre ellas se incluyen las siguientes:
  - Términos y condiciones de empleo
  - Eliminación de información
  - Acuerdos de confidencialidad o de no divulgación
20. Protección de los registros: los registros de CitNOW Group se mantienen protegidos para evitar su pérdida, destrucción, falsificación, acceso no autorizado y divulgación no autorizada, de conformidad con los requisitos legales, reglamentarios, contractuales y comerciales. Algunos registros específicos se conservan de acuerdo con el Programa de conservación de datos y los gestiona el propietario de la información o los activos pertinente.
21. Revisión de la seguridad de la información: las políticas y procedimientos de seguridad de la información de CitNOW Group están sujetos a revisiones independientes regulares y siempre que se produzcan cambios, como parte de nuestro compromiso de mejora continua del servicio. De manera anual, también se realizan auditorías internas a través del Programa de auditoría y se asigna el personal adecuado para llevarlas a cabo.
22. Revisión técnica: una empresa especializada en pruebas de penetración realiza anualmente pruebas de vulnerabilidad y penetración en cada producto. Luego, se revisan los resultados y se corrigen las vulnerabilidades detectadas.
23. Procedimientos operativos: CitNOW Group cuenta con procedimientos operativos y permite a los directores y jefes de departamento decidir el lugar en el que almacenarlos que mejor les convenga a ellos y a su personal, así como crear dicha documentación.
Personas
1. Selección: la Política global de contratación y selección de CitNOW Group establece las actividades que se llevarán a cabo para seleccionar a todos los nuevos empleados. Estas incluyen, entre otras, pruebas de su aptitud para el trabajo y dos referencias de trabajo satisfactorias.
2. Términos y condiciones del empleado: en el momento de la Oferta de empleo, todos los nuevos empleados de CitNOW Group reciben un Contrato específico de la entidad en la que van a trabajar. En estos contratos, se imponen estrictas obligaciones de confidencialidad y secreto profesional al empleado y se describen las obligaciones de cumplimiento de las políticas de seguridad de la información.
3. Concienciación, educación y formación en materia de seguridad de la información: al incorporarse a la empresa, el personal debe participar en nuestras sesiones de formación «DNA», que les permiten integrarse plenamente en la empresa, incluidas las sesiones que imparten miembros de nuestro equipo de seguridad de la organización. Todo el personal actual recibe formación continua e información de concienciación en forma de campañas de aprendizaje electrónico y phishing. También se anima al personal a buscar y solicitar la formación que les parezca beneficiosa en función de sus habilidades.
4. Política disciplinaria: la seguridad de la información es importante y, por tanto, el incumplimiento reiterado de las políticas de CitNOW Group o causar de forma deliberada una infracción grave de los datos podría dar lugar a la adopción de medidas disciplinarias, cuando sea necesario y aplicable. El departamento de RR. HH. de CitNOW Group actuará de acuerdo con la política disciplinaria en el caso de los empleados del mercado del Reino Unido. La política disciplinaria es específica de todos los empleados del mercado del Reino Unido. Debido a las diferencias legislativas con otros mercados, el equipo de RR. HH. se encargará de las medidas disciplinarias de otros mercados de conformidad con la legislación local.
5. Rescisión o cambio de empleo: en caso de terminación de la relación laboral, las cuestiones relativas a la confidencialidad y al comportamiento en relación con la información confidencial tras abandonar la organización se tratan de conformidad con las Condiciones de empleo y se recuerdan a los miembros del personal en la entrevista de salida que se celebra con el equipo de RR. HH. La recuperación de los activos de los empleados que abandonan la empresa se lleva a cabo de conformidad con la Política de devolución de activos, y su eliminación de todos los sistemas se realiza según lo especificado en la Política de control de acceso.
6. Acuerdos de confidencialidad o de no divulgación: en los acuerdos de confidencialidad y no divulgación se explican los requisitos para proteger la información confidencial mediante condiciones legalmente exigibles. Los acuerdos de confidencialidad o no divulgación son obligatorios y se aplican a todas las partes externas o empleados de CitNOW Group, ya sea mediante un acuerdo de confidencialidad firmado o una cláusula de confidencialidad que forme parte de un acuerdo.
7. Notificación de incidentes y vulnerabilidades de seguridad de la información: todos los empleados, proveedores u otros terceros que estén en contacto con la información y/o los sistemas de CitNOW Group, o los de sus clientes, deben informar de cualquier debilidad del sistema, incidente o suceso que pueda dar lugar a un posible incidente de seguridad. La forma de notificar de dichos sucesos o debilidades se explica como parte de nuestra formación continua en materia de seguridad de la información a todos los empleados de CitNOW Group y como parte del proceso de incorporación de proveedores y otros terceros.
Aspectos físicos
1. Acceso físico: estas son algunas de las medidas de seguridad física en todas las oficinas de CitNOW Group:
  - Todos los empleados necesitan una tarjeta de acceso o un llavero para entrar en las oficinas, salvo que la oficina cuente con una recepción.
  - Todos los visitantes deben registrarse en recepción y llevar siempre una tarjeta de visitante.
  - Los empleados deben estar atentos a las personas que entran detrás de ellos sin autorización e interrogar a cualquier persona desconocida que se encuentre en la oficina.
  - Las puertas principales de la oficina deben permanecer cerradas en todo momento.
  - Todas las ventanas y puertas de acceso principales se cierran con llave al final de cada jornada.
  - Se dispone de un sistema de videovigilancia que cubre los puntos de acceso a todas las oficinas, que proporcionan los propietarios del inmueble.
2. Áreas seguras: todas las oficinas de CitNOW Group están protegidas por medio de los siguientes controles:
  - Los sistemas de telecomunicaciones, los servidores y los equipos de red están guardados de forma segura en unas salas de comunicaciones cerradas con llave, a las que solo tienen acceso unos pocos empleados.
  - El correo se entrega en un único buzón cerrado con llave, al que solo puede acceder nuestro personal siempre que sea posible.
  - Todo el personal dispone de armarios, taquillas o cajones con llave.
  - Si se necesita una sala de reuniones compartida durante varios días, se pueden dejar materiales durante la noche, siempre que la sala esté cerrada con llave y que cualquier material confidencial quede oculto de la vista de otras personas.
  - Todas las reuniones de carácter «confidencial» se celebran en salas de reuniones específicas para evitar el riesgo de que la información se escuche en la oficina principal, donde no es necesario conocerla.
  - Se recuerda a los empleados y a otras personas que utilicen las oficinas y las salas de reuniones que eviten dejar material «confidencial» en lugares en los que otras personas puedan verlos (por ejemplo, no deben dejar escrita información en pizarras blancas, etc.).
3. Política de escritorio y pantalla limpios: la información confidencial o sensible, ya sea en formato electrónico o en papel, debe protegerse adecuadamente y de conformidad con la Política de clasificación de la información cuando los empleados se ausenten de su puesto de trabajo durante un periodo prolongado y al final de cada jornada laboral. Para facilitar esta tarea, se han elaborado unas directrices que abarcan tanto la información no electrónica (por ejemplo, archivos manuales o en papel) como la electrónica. Cuando se ausenten de sus puestos de trabajo, los empleados deben bloquear la pantalla con una contraseña.
4. Equipo: todo CitNOW Group cuenta con los siguientes controles para garantizar la seguridad de los equipos.
  - CitNOW Group utiliza principalmente servicios basados en la nube de proveedores importantes y consolidados, que son responsables de proporcionar servicios garantizados dentro de sus respectivos centros de datos.
  - El cableado eléctrico y de telecomunicaciones que transporta datos o facilita los servicios de información en todas las oficinas de CitNOW Group está protegido contra interceptaciones, interferencias y daños.
  - El cableado de los servidores y los equipos de red está guardado de forma segura en salas de comunicaciones cerradas con llave, a las que solo tienen acceso unos pocos empleados, y todo el cableado se mantiene en buen estado.
  - Los equipos especializados, como los equipos de protección contra incendios, se mantienen de acuerdo con los intervalos de servicio y las especificaciones.
5. Medios de almacenamiento: los empleados de CitNOW Group solo pueden utilizar los medios extraíbles que les proporcione la empresa y que les entregue el departamento de TI en sus ordenadores de trabajo. Estos medios no deben conectarse ni utilizarse en ordenadores que no sean propiedad de CitNOW Group o que no hayan sido alquilados por esta, salvo que el departamento de TI lo autorice expresamente. Todos los datos de la empresa o personales almacenados en los activos deben borrarse de forma segura utilizando tecnologías aprobadas, en función de la sensibilidad de los datos. CitNOW Group se asegura de que todos los activos se eliminen a través de empresas de tratamiento autorizadas y homologadas por la WEEE. Los empleados pueden sacar del recinto de la empresa equipos de la empresa (por ejemplo, ordenadores portátiles) sin necesidad de solicitar autorización previa ni registrar la salida, siempre que se respeten todas las políticas de seguridad de protección de los activos en todo momento.
Tecnología
1. Malware: el software antivirus de los dispositivos de los empleados detecta y elimina la gran mayoría del malware común que existe. Utilizamos productos conocidos y de gran confianza para minimizar el riesgo de que un usuario se encuentre con malware. En todos los casos en los que se instale software antimalware:
  - El software debe actualizarse periódicamente mediante la función de actualización automática del software.
  - Debe realizarse un análisis de malware siempre que se acceda a archivos.
2. Gestión de vulnerabilidades: CitNOW Group realiza periódicamente análisis de vulnerabilidades y efectúa pruebas de penetración anuales para detectar cualquier vulnerabilidad no identificada. Cuando se detecta una vulnerabilidad, independientemente de su origen, el equipo de Cumplimiento, el director de informática, el director de tecnología y cualquier otra parte interesada clave la evalúan. Cuando es necesario tomar medidas para subsanar una vulnerabilidad, en función de su naturaleza, se toman medidas de inmediato o se programan para una fecha determinada.
3. Eliminación de información: el uso de los almacenes de datos más importantes del mundo permite a CitNOW Group garantizar la alta disponibilidad y la seguridad. Nuestras bases de datos contienen información personal identificable (PII) de Clientes y Consumidores (tal y como se definen estos términos en el artículo 6 de la Ley de Protección de Datos de 2018). Para eliminar la PII de nuestras bases de datos, utilizamos métodos de anonimización y, posteriormente, la eliminamos por completo tras un periodo definido. Eliminación de la PII de nuestras bases de datos:
  
  Se conservarán registros que indiquen lo siguiente en cada eliminación:
  - Quién lo ha eliminado
  - Qué se ha eliminado
  - Cuándo se ha eliminado
  - Quién lo ha autorizado
4. Prevención de fuga de datos: CitNOW Group ha implementado técnicas de prevención de pérdida de datos que nos ayudan a garantizar que sea posible acceder correctamente a nuestra información confidencial, y utilizarla correctamente, y que ningún usuario desconocido o anónimo pueda acceder a ella. Para ello, se hace lo siguiente:
  - Se identifican los datos que requieren protección, por ejemplo, por medio de una clasificación;
  - Se especifica quién tiene acceso a qué información y cuándo puede acceder a ella;
  - Se garantiza que el proveedor de servicios cuenta con un mecanismo para controlar y supervisar cómo, cuándo y a qué datos se accede, para proteger la información contra el uso, la copia y la distribución no autorizados;
  - Se controla la información que se comparte con personas ajenas o terceros;
  - Se enfatiza al personal la necesidad de verificar los destinatarios y clasificar la información mediante campañas de concienciación sobre la seguridad de la información, educación y formación;
  - Se toman medidas para implementar el enmascaramiento de los datos cuando sea apropiado.
5. Copias de seguridad: se realizan copias de seguridad periódicas de todos los sistemas críticos para el negocio dentro de CitNOW Group utilizando tanto copias de seguridad en la nube como locales. Se han establecido políticas de copia de seguridad para definir los requisitos y los períodos de retención de la información, el software y los sistemas dentro de cada entidad.
6. Disponibilidad de instalaciones de procesamiento de la información: CitNOW Group utiliza principalmente servicios basados en la nube para realizar su trabajo. Estos sistemas cuentan con redundancia inherente integrada en sus arquitecturas resilientes de alta disponibilidad.
7. Registro y supervisión: CitNOW Group registra eventos para todos los productos de todas las entidades mediante diversos programas de supervisión. A estos registros se accede cuando es necesario y contienen información sobre, por ejemplo, los intentos de inicio de sesión de los usuarios y los errores de las aplicaciones. Solo los usuarios con los privilegios adecuados pueden acceder a toda la información registrada. Esos usuarios deben tener una cuenta en el sistema especificado con los permisos adecuados.
8. Controles del software: CitNOW Group ha implementado varias medidas para controlar los cambios de software en los sistemas operativos. Todos los cambios realizados en el software operativo se gestionan de acuerdo con el procedimiento de Gestión de cambios y se analizan los requisitos comerciales que motivaron el cambio y sus aspectos de seguridad.
9. Seguridad de la red: las redes internas las gestiona el departamento de TI. El departamento de TI es responsable de mantener y actualizar todas las actividades de la red. Dado que utilizamos sobre todo servicios basados en la nube, la seguridad de los servicios de red es responsabilidad, principalmente, de los proveedores de servicios en la nube. Todos los servicios de Internet y basados en la nube cuentan con un acuerdo de nivel de servicio (SLA) estricto entre CitNOW Group y el proveedor. Cualquier acceso a los servidores o sistemas de CitNOW Group se gestiona mediante autenticación. Hay redes sin acceso a los sistemas centrales disponibles para los visitantes.
10. Uso de criptografía: CitNOW Group cuenta con una política de criptografía en la que se explica nuestro enfoque respecto al uso de controles criptográficos. Esto garantiza que la organización mantenga los más altos estándares de cifrado posibles. Todas las personas que forman parte de CitNOW Group son responsables de garantizar que los datos internos y confidenciales se cifren antes de salir de las instalaciones de la organización. Consideraciones clave sobre la gestión: aquí se describen los requisitos para gestionar las claves criptográficas a lo largo de todo su ciclo de vida, lo que incluye su generación, almacenamiento, archivado, recuperación, distribución, retirada y destrucción. Los algoritmos criptográficos, la longitud de las claves y las prácticas de uso deben seleccionarse de acuerdo con las prácticas recomendadas.
11. Política de desarrollo seguro: esta política refleja nuestro objetivo de garantizar la seguridad en el desarrollo de nuestros servicios, productos y sitios web, y se aplica a todos los equipos de desarrollo. Se tienen en cuenta y se siguen normas de codificación segura.
12. Pruebas de aceptación: se realizan pruebas siempre que se produce un cambio para garantizar la seguridad, la solidez, la corrección y el rendimiento de la aplicación. Las pruebas de aceptación son una práctica habitual de nuestros desarrolladores como parte de nuestro ciclo de implementación; todas las nuevas funciones se prueban individualmente antes de implementarlas. Disponemos de separación de las obligaciones y hay probadores designados en cada entidad que forman parte de cada equipo de desarrollo.
13. Desarrollo externalizado: todos los desarrolladores externalizados se someten a una evaluación para garantizar que están cualificados y son competentes. Los contratistas individuales se tratan de la misma manera que los desarrolladores de CitNOW Group, con las mismas políticas y controles de desarrollo que se aplican a todos los desarrollos externalizados y a los desarrollos internos.
14. Separación ambiental: para reducir el riesgo de actividades maliciosas, cambios no autorizados o accidentales derivados de usos internos, todos los productos de CitNOW Group cuentan con entornos de prueba, desarrollo y producción independientes, de acuerdo con las prácticas recomendadas del sector. Estos son los entornos que utilizamos principalmente dentro de cada entidad:
  - Desarrollo: para el desarrollo.
  - Intermedio/pruebas: para pruebas internas.
  - Entorno de producción: entorno operativo en directo.
15. Gestión de los cambios: los cambios importantes en la organización, los procesos empresariales, las instalaciones y los sistemas de procesamiento de la información dentro de CitNOW Group están sujetos a una revisión formal y a la aprobación del Consejo de Administración.
16. Control de cambios: nuestros procedimientos de control de cambios en el desarrollo cumplen nuestra Política de control de cambios. Todos los cambios que se realizan en el sistema se someten a un proceso de revisión y prueba de pares, que se ajusta a nuestros procedimientos documentados.
17. Protección de los datos de prueba: en circunstancias normales, no se utilizan datos personales para el desarrollo o las pruebas de ninguno de los productos de CitNOW Group.
Políticas de apoyo adicionales
1. CitNOW Group también cuenta con otras políticas dentro de la empresa que ayudan a respaldar nuestras prácticas de seguridad de la información, entre las que se incluyen, entre otras, las siguientes:
  - Política global contra el soborno del grupo
  - Política disciplinaria
  - Política global de denuncia de irregularidades del grupo
  - Política global de salud y seguridad
  - Política contra la esclavitud moderna
  - Procedimiento de notificación de infracciones
Certificaciones
1. ISO 27001: CitNOW Group Limited cuenta con la certificación ISO 27001 de la BSI (número de certificación: IS 785456).
2. Cyber Essentials Plus: CitNOW Group Limited cuenta con la certificación Cyber Essentials Plus de CyberSmart (número de certificación: b5aea281-ec18-4306-9374-beba1ef3fe98).
3. TISAX: la Asociación ENX facilita, con TISAX (Trusted Information Security Assessment Exchange), en nombre de VDA, la aceptación común de las evaluaciones de seguridad de la información en la industria de la automoción. Las evaluaciones TISAX las realizan proveedores de auditoría que demuestran su cualificación de forma regular. TISAX y los resultados de TISAX no están destinados al público en general.
4. Para Zype TV Ltd (t/a CitNOW) y CitNOW Video GMBH, la confidencialidad, la disponibilidad y la integridad de la información tienen un valor inmenso. Hemos tomado medidas exhaustivas para proteger la información sensible y confidencial. Por lo tanto, utilizamos el catálogo de preguntas sobre seguridad de la información de la Asociación Alemana de la Industria Automovilística (VDA ISA). La evaluación la ha realizado un proveedor de auditoría, en este caso TISAX TUV SUD GmbH. El resultado se puede consultar exclusivamente a través del portal ENX.
Subencargados del tratamiento de los datos
Todos los subencargados del tratamiento de los datos que utiliza cada entidad dentro de CitNOW Group se enumeran en la página de subencargados del sitio web de CitNOW Group.

Estos subencargados están sujetos a cambios a lo largo del tiempo cuando se lanzan nuevas funciones y actualizaciones del sistema. Al seleccionar nuevos subencargados, se toman medidas para garantizar que se apliquen las medidas de seguridad y privacidad adecuadas.

De acuerdo con nuestro Procedimiento para proveedores externos, CitNOW Group garantiza la seguridad de los proveedores externos mediante una evaluación meticulosa de sus medidas de seguridad y normas de cumplimiento. Para reforzar este compromiso, creamos sólidos acuerdos de procesamiento de datos con todos los subencargados. Además, implementamos mecanismos de transferencia adicionales cuando es necesario para cumplir las normativas de protección de datos, incluida la cumplimentación de Cláusulas contractuales estándar (SCC), Acuerdos internacionales de transferencia de datos (IDTA) y/o Evaluaciones de riesgos de transferencia (TRA).
Sede central de CitNOW Group
Todas las ubicaciones de las sedes centrales de CitNOW Group se pueden consultar en el sitio web de CitNOW Group.

Última actualización: 27 Ago 2025

« Back