La presente Política de Seguridad de los Sistemas de Información, que establece los principios y directrices con los que el Grupo Renfe (en adelante, también “la Organización”) protegerá su información, de conformidad con la normativa que resulte de aplicación, así como con lo previsto en la normativa interna del Grupo Renfe aplicable en materia de Seguridad de la Información.
La organización velará por la protección de la información, independientemente de la forma en la que esta se comunique, comparta, proyecte o almacene.
Esta protección afecta tanto a la información existente dentro del Grupo como a la información compartida con terceros.
En este sentido, se entiende por Seguridad de la Información, la salvaguarda y protección de la información titularidad del Grupo, con independencia de que se encuentre en sistemas propios o de terceros, y la información titularidad de terceros, que se encuentre en sistemas del Grupo.
A los efectos de la presente Política, se entiende por Sistemas de Información el conjunto de tecnologías o medios tecnológicos, propios o de terceros que gestionen, almacenen o transmitan Información (incluyendo tecnologías en la nube o similares).
La presente Política se aplicará al Grupo Renfe, y vinculará a todo el personal de la Organización, independientemente de la posición o cargo que ocupe.
A estos efectos, se entiende por Grupo Renfe:
La aplicación de la Política podrá hacerse extensiva, total o parcialmente, a cualquier otra persona física y/o jurídica vinculada con el Grupo, como son los proveedores del Grupo Renfe, el personal colaborador, etc.
De conformidad con la Política, el Grupo Renfe desarrolla los procedimientos, normas, instrucciones técnicas, guías de seguridad, para implementar y dar cumplimiento a las obligaciones asumidas, así como para adaptar la misma a la legislación aplicable al Grupo.
La aplicación de esta Política es complementaria al cuerpo normativo de seguridad de obligado cumplimiento, así como a las normas en materia de protección de datos personales y privacidad, y aquellos procesos que regulan las cuestiones relacionadas con la información de la Compañía.
La presente Política, constituye el marco de referencia mediante el que el Grupo Renfe define las directrices, desarrolladas en la Política de Seguridad de los Sistemas de Información Interna, de protección eficaz de la Información gestionada por el Grupo y tiene los siguientes objetivos:
La consecución de los objetivos descritos en el apartado 3 se articula a través de los siguientes principios generales:
En este sentido, el Grupo Renfe dispone de procedimientos para controlar la asignación de privilegios a los Sistemas de Información, de forma que los usuarios tengan acceso únicamente a los recursos e información necesarios para el desempeño de sus funciones.
La responsabilidad de la protección de la Información y de los Sistemas que la tratan, almacenan o transmiten se extiende a todos los niveles organizativos y funcionales del Grupo Renfe, cada uno en la medida que le corresponda, como se detalla a continuación:
La Gerencia de Área de Ciberseguridad y Privacidad, cuyo responsable es el responsable de Seguridad de los Sistemas de Información del Grupo, ejercitará su función de control de manera independiente y es su responsabilidad implementar esta Política y monitorizar su cumplimiento, así como el de todos los requerimientos derivados de las leyes, normas y buenas prácticas en materia de seguridad de la Información que sean de aplicación.
Las funciones del responsable de Seguridad de los Sistemas de Información se encuentran detalladas en la Política de Seguridad de los Sistemas de información interna del Grupo Renfe, disponible en la intranet del Grupo.
El Grupo Renfe cuenta con un Comité de Seguridad de la Información (CSTIC) integrado por miembros de la Dirección y por los representantes de las Sociedades del Grupo Renfe en los que los directores generales o el comité de dirección del Grupo delegan la función de Seguridad de la Información, cuyo objetivo es asegurar que las buenas prácticas sobre la gestión de la seguridad se apliquen de manera efectiva y consistente en todo el Grupo.
El Grupo Renfe se compromete a asignar recursos específicos para asegurar la implementación efectiva de la Política.
El Grupo Renfe se reserva expresamente el derecho de adoptar, con proporcionalidad, las medidas de vigilancia y control necesarias para comprobar la correcta utilización de los Sistemas que pone a disposición de sus empleados, incluyendo el contenido de las comunicaciones y dispositivos, respetando, en todo caso, la legislación vigente y garantizado la dignidad del empleado. La comunicación y aceptación de esta Política surtirá los efectos de notificación previa al trabajador.
El Grupo se someterá a revisiones y controles periódicos, así como auditorías internas y externas para evaluar el cumplimiento general de la Política de Seguridad de los Sistemas de Información.
La valoración de un posible incumplimiento de esta Política se determinará en el procedimiento correspondiente, según las disposiciones vigentes, sin perjuicio de las responsabilidades legales, incluso de carácter sancionador en el ámbito laboral, que, en su caso, puedan resultar exigibles al incumplidor.
La presente Política estará disponible en la página web de Renfe, www.renfe.com, para todos los empleados y partes interesadas.
Asimismo, la Política de Seguridad de los Sistemas de Información se encuentra disponible en la intranet del Grupo Renfe, accesible por todos los empleados y colaboradores del Grupo y será objeto de las adecuadas acciones de comunicación, formación y sensibilización para su oportuna comprensión y puesta en práctica.
La Política será revisada y actualizada cuando proceda, con el fin de adaptarla a los cambios que puedan surgir en el modelo de negocio o en el contexto donde opere el Grupo, garantizando en todo momento su efectiva implantación.