Política de Seguridad

1. Aprobación y entrada en vigor

Texto aprobado el día 28 de Julio de 2025 por el Director General de AITANA MANAGEMENT SL.

Esta Política de Seguridad de la Información es efectiva desde dicha fecha y hasta que sea reemplazada por una nueva Política.

2. Introducción

AITANA MANAGEMENT SL depende de los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad, autenticidad, trazabilidad o confidencialidad de la información tratada o los servicios prestados.

El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con celeridad a los incidentes.

Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la disponibilidad, integridad, autenticidad, trazabilidad, confidencialidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que los departamentos deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

Los diferentes departamentos deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos TIC.

3. Alcance

El Alcance General de los sistemas de información asociados a los procesos de negocio que están sujetos a certificación del ENS es el siguiente:

“Sistemas de información que dan soporte a los siguientes servicios: Consultoría e Implantación de soluciones ERP, CRM, BI y Soluciones a medida.”

Según declaración de aplicabilidad vigente.

La categoría objetivo de referencia que se determina para los sistemas de información descritos en este Alcance General es: NIVEL MEDIO.

4. Misión

En AITANA MANAGEMENT SL nuestra misión es desarrollar soluciones tecnológicas innovadoras que transformen la manera en la que las empresas operan y crecen. Nos esforzamos por crear productos que no sólo solucionen problemas actuales, sino que también anticipen las necesidades futuras de nuestros clientes, brindándoles herramientas que impulsan su éxito en un mundo digital en constante evolución.

5. Marco normativo

AITANA MANAGEMENT SL está sujeto, a título enunciativo y no limitativo, a las siguientes normativas y regulaciones:

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
Real Decreto Legislativo 1/1996 (Ley de Propiedad Intelectual).
Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.

6. Datos de carácter personal

AITANA MANAGEMENT SL trata datos de carácter personal. Los procedimientos de protección de datos, a los que tendrán acceso sólo las personas autorizadas, recoge los tratamientos afectados y los responsables correspondientes. Todos los sistemas de información de AITANA MANAGEMENT SL se ajustarán a los niveles de seguridad requeridos por la normativa para la naturaleza y finalidad de los datos de carácter personal recogidos en los mencionados procedimientos.

7. Gestión de riesgos

Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:

regularmente, al menos una vez al año,
cuando cambie la información manejada,
cuando cambien los servicios prestados,
cuando ocurra un incidente grave de seguridad,
cuando se reporten vulnerabilidades graves.

Para la armonización de los análisis de riesgos, el Comité de Seguridad TIC establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. El Comité de Seguridad TIC dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.

8. Desarrollo de la política de seguridad de la información

Esta Política de Seguridad de la Información complementa las políticas de seguridad de AITANA MANAGEMENT SL en diferentes materias:

Procedimientos de seguridad informática internos.
Procedimientos de protección de datos personales internos.
Procedimientos operativos internos con incidencia en la seguridad de la información.

Esta Política se desarrollará por medio de normativa de seguridad que afronte aspectos específicos. La normativa de seguridad estará a disposición de todos los miembros de la organización que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones.

9. Obligaciones del personal

Todos los miembros de la compañía tienen la obligación de conocer, comprender y cumplir tanto la Política de Seguridad de la Información como la Normativa de Seguridad vigente. Es responsabilidad de cada empleado aplicar las medidas de seguridad establecidas en el ejercicio de sus funciones, garantizando así la protección de los activos de información de la organización.

El Comité de Seguridad TIC será el encargado de proporcionar los medios y recursos necesarios para la correcta difusión y comprensión de estas normativas, asegurando que todo el personal reciba la formación y actualización correspondiente. Además, se fomentará una cultura de seguridad mediante sesiones de concienciación, capacitaciones periódicas y la disponibilidad de documentación accesible para todos los colaboradores.

10. Terceras partes

Cuando AITANA MANAGEMENT SL preste servicios a organismos de naturaleza pública o maneje información de organismos de naturaleza pública, se les hará partícipes de esta Política de Seguridad de la Información, se establecerán canales para reporte y coordinación de los respectivos Comités de Seguridad TIC y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

Cuando AITANA MANAGEMENT SL subcontrate servicios con terceros o ceda información a terceros, en el marco de una prestación de servicios a organismos de naturaleza pública, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que atañe a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política.

Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de la Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.

11. Mejora continua

La gestión de la seguridad de la información es un proceso sujeto a permanente actualización. Los cambios en la organización, las amenazas, las tecnologías y/o la legislación son un ejemplo en los que es necesaria una mejora continua de los sistemas. Por ello, es necesario implantar un proceso permanente que comportará, entre otras acciones:

Revisión de la Política de Seguridad de la Información.
Revisión de los servicios e información y su categorización.
Ejecución con periodicidad anual del análisis de riesgos.
Realización de auditorías internas o, cuando procedan, externas.
Revisión de las medidas de seguridad.
Revisión y actualización de las normas y procedimientos.

12. Resolución de conflictos

En caso de conflicto entre los diferentes responsables de información o de servicio que componen la estructura organizativa de la Política de Seguridad de la Información, éste será resuelto por el superior jerárquico de los mismos, pudiendo participar en la resolución y mediación el Responsable de Seguridad de la Información. En caso de no llegar a un acuerdo, se elevará para su resolución en última instancia al Comité de Seguridad de la Información.

Última revisión 1 de agosto de 2025

Nombre	Dominio	Uso	Duración	Tipo
AWSALBCORS	zopim.com	Registra que grupo de servidores está sirviendo al visitante. Esto se utiliza en relación con el equilibrio de carga para optimizar la experiencia del usuario.	6 días	HTTP
CookieConsent	aitana.es	Almacena el estado de consentimiento de cookies del usuario para el dominio actual	1 año	HTTP
li_gc	linkedin.com	Almacena el estado de consentimiento de cookies del usuario para el dominio actual	2 años	HTTP
PHPSESSID	aitana.es	Conserva los estados de los usuarios en todas las peticiones de la página.	Session	HTTP

Nombre	Dominio	Uso	Duración	Tipo
__zlcmid	aitana.es	Conserva los estados de los usuarios en todas las peticiones de la página.	1 año	HTTP
_gcl_au	aitana.es	Utilizada por Google AdSense para experimentar con la eficiencia publicitaria a través de las webs usando sus servicios.	3 meses	HTTP
ads/ga-audiences	google.com	Utilizada por Google AdWords para reconectar con visitantes que tienen posibilidades de convertirse en clientes, se basa en el comportamiento online del cliente a través de las webs.	Persistent	Pixel
bcookie	linkedin.com	Utilizada por el servicio de networking social LinkedIn para rastrear el uso de servicios incrustados.	2 años	HTTP
IDE	doubleclick.net	Utilizada por Google DoubleClick para registrar e informar sobre las acciones del usuario en el sitio web tras visualizar o hacer clic en uno de los anuncios del anunciante con el propósito de medir la eficacia de un anuncio y presentar anuncios específicos para el usuario.	1 año	HTTP
lidc	linkedin.com	Utilizada por el servicio de networking social LinkedIn para rastrear el uso de servicios incrustados.	1 día	HTTP
lissc	linkedin.com	Utilizada por el servicio de networking social LinkedIn para rastrear el uso de servicios incrustados.	1 año	HTTP
nQ_cookieId	aitana.es	Establece un identificador para un visitante específico. Este identificador puede ser utilizado para reconocer al visitante en su reingreso e implementar cualquier elección de preferencias realizada. Esta cookie también permite a la web realizar el seguimiento del visitante en múltiples webs a efectos de marketing.	1 año	HTTP
nQ_userVisitId	aitana.es	Establece un identificador para un visitante específico. Este identificador puede ser utilizado para reconocer al visitante en su reingreso e implementar cualquier elección de preferencias realizada. Esta cookie también permite a la web realizar el seguimiento del visitante en múltiples webs a efectos de marketing.	1 día	HTTP
pagead/1p-user-list/#	google.com	Utilizada para rastrear si el visitante ha mostrado un interés específico em productos o eventos a través de múltiples webs y detectar como el visitante navega entre webs - Esto se utiliza para la medida de los esfuerzos publicitarios y facilitar la tasa de emisión entre sitios.	Persistent	Pixel
test_cookie	doubleclick.net	Utilizada para comprobar si el navegador del usuario admite cookies.	1 día	HTTP
VISITOR_INFO1_LIVE	youtube.com	Intenta calcular el ancho de banda del usuario en páginas con vídeos de YouTube integrados.	179 días	HTTP
YSC	youtube.com	Registra una identificación única para mantener estadísticas de qué vídeos de YouTube ha visto el usuario.	Session	HTTP
yt-remote-cast-installed	youtube.com	Registra las preferencias del reproductor de vídeo del usuario al ver vídeos incrustados de YouTube	Persistent	HTML
yt-remote-connected-devices	youtube.com	Registra las preferencias del reproductor de vídeo del usuario al ver vídeos incrustados de YouTube	Persistent	HTML
yt-remote-device-id	youtube.com	Registra las preferencias del reproductor de vídeo del usuario al ver vídeos incrustados de YouTube	Persistent	HTML
yt-remote-fast-check-period	youtube.com	Registra las preferencias del reproductor de vídeo del usuario al ver vídeos incrustados de YouTube	Persistent	HTML
yt-remote-session-app	youtube.com	Registra las preferencias del reproductor de vídeo del usuario al ver vídeos incrustados de YouTube	Persistent	HTML
yt-remote-session-name	youtube.com	Registra las preferencias del reproductor de vídeo del usuario al ver vídeos incrustados de YouTube	Persistent	HTML
zte#	aitana.es	Guarda una identificación de chat en vivo de Zopim que reconoce un dispositivo entre visitas durante una sesión de chat.	Session	HTTP

Nombre	Dominio	Uso	Duración	Tipo
_ga	aitana.es	Registra una identificación única que se utiliza para generar datos estadísticos acerca de cómo utiliza el visitante el sitio web.	2 años	HTTP
_gat	aitana.es	Utilizado por Google Analytics para controlar la tasa de peticiones	1 día	HTTP
_gid	aitana.es	Registra una identificación única que se utiliza para generar datos estadísticos acerca de cómo utiliza el visitante el sitio web.	1 día	HTTP
e.gif	new-collect.albacross.com	Utilizada para diferenciar entre diferentes usuarios procedentes de la misma dirección de IP.	Persistent	Pixel