Heuristik

Política de Seguridad de la Información

En Heuristik Technologies, S.L. consideramos la seguridad de la información como uno de los pilares fundamentales de nuestra actividad. La confianza de nuestros clientes, usuarios, colaboradores y demás partes interesadas depende de nuestra capacidad para proteger la información que tratamos y para prestar servicios tecnológicos seguros, resilientes y alineados con los requisitos legales, regulatorios y contractuales aplicables.

Nuestra actividad se desarrolla en entornos donde la información puede tener un alto valor operativo, técnico y organizativo. Por ello, Heuristik mantiene un compromiso permanente con la protección de los sistemas de información que dan soporte a sus servicios, aplicando medidas orientadas a preservar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información.

La seguridad no se entiende únicamente como un conjunto de medidas técnicas, sino como un marco integral de gobierno, gestión de riesgos, control operativo, formación, mejora continua y cumplimiento normativo. Este enfoque permite a Heuristik anticipar, prevenir, detectar y responder ante posibles amenazas que puedan afectar a la información, a los servicios o a la continuidad de la actividad.

Nuestro compromiso

Heuristik dispone de una Política de Seguridad de la Información que establece los principios, responsabilidades y compromisos generales que guían la protección de sus activos, sistemas, servicios e información. Esta política está alineada con marcos y referencias reconocidas en materia de seguridad y ciberseguridad, incluyendo el Esquema Nacional de Seguridad —ENS—, la norma UNE-ISO/IEC 27001, la Directiva NIS2, el Reglamento General de Protección de Datos —RGPD—, la LOPDGDD (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales) y demás normativa aplicable.

El objetivo de este marco es garantizar que la seguridad de la información forme parte del diseño, operación, mantenimiento y evolución de los servicios de Heuristik. Para ello, la organización aplica un enfoque basado en riesgos, proporcional al valor de los activos protegidos y al impacto que un incidente podría tener sobre los clientes, usuarios, servicios o la propia organización.

Principios de seguridad

La estrategia de seguridad de Heuristik se apoya en los siguientes principios:

  • Confidencialidad: proteger la información frente a accesos, divulgaciones o usos no autorizados.
  • Integridad: garantizar que la información se mantiene exacta, completa y protegida frente a modificaciones indebidas.
  • Disponibilidad: asegurar que los sistemas y la información estén accesibles cuando sean necesarios para la prestación de los servicios.
  • Autenticidad: reforzar la confianza en la identidad de los usuarios, sistemas y operaciones realizadas.
  • Trazabilidad: mantener la capacidad de registrar, supervisar y revisar las acciones relevantes realizadas sobre los sistemas y la información.
  • Gestión de riesgos: identificar, analizar y tratar los riesgos de seguridad de forma continua y proporcional.
  • Mejora continua: revisar periódicamente los controles, procesos y procedimientos para adaptarlos a nuevas amenazas, cambios tecnológicos y requisitos normativos.

Protección de la información y los servicios

Heuristik aplica medidas organizativas, técnicas y procedimentales destinadas a proteger la información durante todo su ciclo de vida. Estas medidas cubren tanto los sistemas que soportan los servicios prestados a clientes como los procesos internos necesarios para su operación, administración, soporte, evolución y mejora.

Entre los compromisos principales de Heuristik se encuentran:

  • Proteger la información propia, de clientes, usuarios y personal autorizado.
  • Aplicar controles de seguridad adecuados al nivel de criticidad de los activos y servicios.
  • Mantener una gestión continua de riesgos de seguridad de la información.
  • Prevenir accesos no autorizados, alteraciones indebidas, pérdidas de información o interrupciones del servicio.
  • Gestionar de forma controlada los cambios, actualizaciones y mejoras sobre los sistemas.
  • Supervisar eventos relevantes de seguridad y actividad operativa.
  • Mantener mecanismos de respuesta ante incidentes.
  • Reforzar la continuidad del negocio y la resiliencia de los servicios.
  • Revisar periódicamente la eficacia de los controles implantados.
  • Asegurar el cumplimiento de los requisitos legales, regulatorios y contractuales aplicables.

Cumplimiento normativo

Heuristik mantiene un compromiso activo con el cumplimiento de la normativa aplicable en materia de seguridad de la información, protección de datos personales, ciberseguridad y prestación de servicios digitales.

Nuestro marco de seguridad toma como referencia los principios y requisitos del ENS, ISO 27001, NIS2, RGPD y LOPDGDD, entre otras normas y buenas prácticas aplicables. Este alineamiento permite establecer una base sólida para la gestión de la seguridad, la protección de activos críticos, la gestión de incidentes, la supervisión de terceros y la mejora continua del sistema de gestión.

La organización revisa regularmente sus obligaciones legales, regulatorias y contractuales, con el objetivo de mantener sus procesos y controles actualizados frente a cambios normativos o nuevas exigencias del entorno.

Protección de datos personales

Heuristik trata los datos personales de forma responsable, segura y conforme a la normativa vigente. La organización aplica medidas destinadas a garantizar un tratamiento lícito, leal, transparente y seguro de la información personal, respetando los principios establecidos por el RGPD y la LOPDGDD (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales).

La protección de datos personales se integra dentro del marco general de seguridad de la información, aplicando controles orientados a preservar la confidencialidad, integridad y disponibilidad de los datos tratados. Además, Heuristik mantiene responsabilidades definidas en materia de protección de datos y dispone de mecanismos internos para supervisar el cumplimiento de las obligaciones aplicables.

Gestión de riesgos, vulnerabilidades e incidentes

Heuristik adopta un enfoque preventivo y proactivo en la gestión de la seguridad. Para ello, la organización identifica y evalúa los riesgos que pueden afectar a sus sistemas, servicios e información, estableciendo medidas para reducirlos a niveles aceptables.

Asimismo, se mantienen procesos para la detección, análisis, tratamiento y seguimiento de vulnerabilidades e incidentes de seguridad. Estos procesos permiten priorizar las actuaciones en función de la criticidad, el impacto potencial y la evolución del contexto de amenaza.

La gestión de incidentes se realiza de forma documentada y trazable, con el objetivo de contener posibles impactos, recuperar la normalidad operativa y extraer aprendizajes que permitan reforzar de forma continua las capacidades de protección y respuesta.

Continuidad del negocio y resiliencia

La disponibilidad de los servicios y la continuidad de las operaciones son aspectos esenciales para Heuristik. Por este motivo, la organización contempla medidas orientadas a mantener la resiliencia de sus sistemas frente a incidentes, fallos, amenazas de ciberseguridad u otras situaciones que puedan afectar a la prestación del servicio.

El enfoque de continuidad incluye la identificación de activos y procesos críticos, la definición de medidas preventivas y correctivas, y la revisión periódica de los mecanismos establecidos para asegurar que los servicios puedan mantenerse o recuperarse de forma adecuada ante situaciones adversas.

Formación y concienciación

La seguridad de la información es una responsabilidad compartida por toda la organización. Heuristik promueve una cultura interna de seguridad mediante acciones de formación, concienciación y comunicación dirigidas al personal.

El objetivo es que todas las personas que participan en el diseño, operación, administración, soporte o uso de los sistemas comprendan sus responsabilidades y actúen de acuerdo con las políticas, procedimientos y buenas prácticas establecidas.

Esta concienciación resulta especialmente relevante para aquellas funciones que implican acceso a sistemas críticos, información sensible o capacidades administrativas dentro de la organización.

Relación con proveedores y terceras partes

Heuristik extiende sus principios de seguridad a la relación con proveedores, colaboradores y terceras partes que puedan intervenir en la prestación de servicios o acceder a información de la organización.

Cuando un tercero participa en procesos relevantes, se le exige el cumplimiento de compromisos adecuados en materia de confidencialidad, protección de la información, cumplimiento normativo y gestión de riesgos. Estos requisitos buscan asegurar que la colaboración con terceros no comprometa el nivel de seguridad esperado por Heuristik, sus clientes y usuarios.

La organización presta especial atención a aquellos proveedores que puedan tener impacto en servicios críticos, información sensible o procesos relevantes para la continuidad del negocio.

Gobierno y mejora continua

Heuristik mantiene una estructura de gobierno de la seguridad orientada a definir responsabilidades, supervisar el cumplimiento de las políticas internas, revisar riesgos, impulsar mejoras y asegurar la correcta aplicación de los controles establecidos.

La Política de Seguridad de la Información se revisa periódicamente y siempre que se produzcan cambios relevantes en el contexto normativo, tecnológico, organizativo o de amenazas. Esta revisión permite mantener el marco de seguridad actualizado y alineado con la evolución de la compañía, de sus servicios y de las necesidades de sus clientes.

A través de este compromiso, Heuristik refuerza su objetivo de ofrecer soluciones tecnológicas seguras, confiables y preparadas para entornos donde la protección de la información es crítica.