Política de Seguridad de la Información

Última actualización: 11 de julio de 2025

En Talmirevora, la seguridad de la información y la protección de los datos de nuestros clientes constituyen prioridades fundamentales. Esta Política de Seguridad describe nuestro compromiso con la implementación de medidas técnicas y organizativas para garantizar la confidencialidad, integridad y disponibilidad de la información que procesamos.

1. Alcance y Aplicación

Esta política se aplica a todos los sistemas, plataformas, servicios y procesos operados por Talmirevora que involucren el procesamiento, almacenamiento o transmisión de información, incluyendo datos personales de clientes, empleados y terceros.

2. Principios Fundamentales de Seguridad

Nuestro programa de seguridad se basa en los siguientes principios:

• Confidencialidad: La información solo es accesible para personas autorizadas
• Integridad: Los datos permanecen completos, precisos y sin alteraciones no autorizadas
• Disponibilidad: Los sistemas y la información están disponibles cuando se necesitan
• Trazabilidad: Las acciones sobre los datos son registradas y auditables
• Minimización: Solo recopilamos y procesamos la información estrictamente necesaria

3. Medidas de Protección Técnica

3.1 Cifrado de Datos

Implementamos cifrado robusto para proteger la información en diferentes estados:

• Cifrado en tránsito: Utilizamos protocolos TLS 1.3 o superior para todas las comunicaciones entre clientes y nuestros servidores, garantizando que los datos transmitidos no puedan ser interceptados o modificados
• Cifrado en reposo: Los datos almacenados en nuestras bases de datos y sistemas de archivos están cifrados utilizando algoritmos estándar de la industria con claves de 256 bits
• Gestión de claves: Las claves de cifrado se almacenan de forma segura, separadas de los datos cifrados, con rotación periódica y controles de acceso estrictos

3.2 Control de Acceso

Mantenemos sistemas rigurosos para controlar quién puede acceder a qué información:

• Autenticación multifactor obligatoria para todos los sistemas administrativos
• Principio de privilegio mínimo: los usuarios solo tienen acceso a la información necesaria para sus funciones
• Revisión periódica de permisos y desactivación inmediata de cuentas inactivas
• Segregación de funciones críticas para prevenir acciones no autorizadas
• Políticas de contraseñas robustas con requisitos de complejidad y caducidad

3.3 Infraestructura y Redes

Nuestra infraestructura tecnológica incorpora múltiples capas de protección:

• Cortafuegos configurados con reglas restrictivas que solo permiten tráfico legítimo
• Sistemas de detección y prevención de intrusiones que monitorizan actividades sospechosas
• Segmentación de red para aislar sistemas críticos
• Monitorización continua del tráfico de red para identificar anomalías
• Protección contra ataques DDoS y otras amenazas distribuidas

3.4 Protección de Aplicaciones

Desarrollamos y mantenemos nuestras aplicaciones siguiendo prácticas de seguridad rigurosas:

• Análisis de vulnerabilidades y pruebas de penetración periódicas
• Validación y sanitización de todas las entradas de usuario para prevenir inyecciones
• Protección contra CSRF, XSS y otras vulnerabilidades comunes
• Actualizaciones regulares de componentes y librerías para corregir vulnerabilidades conocidas
• Revisiones de código con enfoque en seguridad

4. Medidas de Protección Organizativa

4.1 Políticas y Procedimientos

Mantenemos documentación completa de nuestras políticas de seguridad:

• Política de uso aceptable de sistemas y recursos
• Procedimientos de gestión de incidentes de seguridad
• Protocolo de notificación de brechas de seguridad
• Directrices de clasificación y manejo de información
• Política de gestión de proveedores y terceros

4.2 Formación y Concienciación

Todo nuestro personal recibe formación regular en seguridad de la información:

• Capacitación inicial obligatoria para todos los nuevos empleados
• Actualizaciones periódicas sobre amenazas emergentes y mejores prácticas
• Simulaciones de phishing para evaluar y mejorar la vigilancia del personal
• Sensibilización sobre ingeniería social y técnicas de manipulación

4.3 Gestión de Proveedores

Evaluamos cuidadosamente la seguridad de todos los proveedores que procesan información en nuestro nombre:

• Evaluación de riesgos antes de contratar servicios de terceros
• Acuerdos contractuales que incluyen obligaciones de seguridad específicas
• Auditorías periódicas de cumplimiento de proveedores críticos
• Notificación obligatoria de incidentes de seguridad por parte de proveedores

5. Respaldo y Recuperación

Protegemos la disponibilidad de los datos mediante sistemas de respaldo robustos:

• Copias de seguridad automáticas diarias de todos los datos críticos
• Almacenamiento de respaldos en ubicaciones geográficamente separadas
• Cifrado de todas las copias de seguridad
• Pruebas regulares de procedimientos de recuperación
• Plan de continuidad del negocio documentado y actualizado
• Objetivos definidos de tiempo de recuperación y punto de recuperación

6. Monitorización y Auditoría

Supervisamos constantemente nuestros sistemas para detectar y responder a amenazas:

• Registro centralizado de eventos de seguridad de todos los sistemas
• Análisis automatizado de logs para identificar patrones sospechosos
• Alertas en tiempo real para eventos críticos de seguridad
• Revisiones periódicas de registros de acceso y actividades administrativas
• Retención de logs según requisitos legales y operativos
• Auditorías internas y externas regulares de controles de seguridad

7. Gestión de Incidentes de Seguridad

7.1 Detección y Respuesta

Mantenemos un proceso estructurado para manejar incidentes de seguridad:

• Equipo de respuesta a incidentes disponible permanentemente
• Procedimientos documentados para clasificar y escalar incidentes
• Canales de comunicación específicos para reportar problemas de seguridad
• Investigación forense de incidentes significativos
• Acciones correctivas para prevenir recurrencias

7.2 Notificación de Brechas

En caso de violación de seguridad que afecte datos personales:

• Evaluación inmediata del alcance y gravedad del incidente
• Notificación a las autoridades competentes dentro de los plazos legalmente establecidos
• Comunicación transparente a los usuarios afectados cuando proceda
• Información sobre medidas de mitigación y recomendaciones para usuarios
• Documentación completa del incidente y respuesta proporcionada

8. Seguridad Física

Nuestros centros de datos y oficinas están protegidos mediante controles físicos:

• Acceso restringido a instalaciones mediante sistemas de control biométrico y tarjetas
• Vigilancia por vídeo en áreas sensibles con retención de grabaciones
• Protección ambiental contra incendios, inundaciones y otros riesgos
• Sistemas de alimentación ininterrumpida y generadores de respaldo
• Políticas de escritorio limpio y destrucción segura de documentos

9. Desarrollo Seguro

Integramos la seguridad en todo nuestro ciclo de desarrollo:

• Modelado de amenazas durante la fase de diseño
• Estándares de codificación segura aplicados en todo el desarrollo
• Revisiones de seguridad antes de cada implementación en producción
• Entorno de desarrollo separado del entorno de producción
• Gestión de cambios con aprobaciones documentadas
• Despliegues controlados con capacidad de reversión rápida

10. Privacidad y Protección de Datos

La seguridad de la información está estrechamente vinculada con la protección de la privacidad:

• Evaluaciones de impacto de privacidad para nuevos procesos y sistemas
• Privacidad por diseño incorporada en todas las soluciones
• Anonimización o seudonimización de datos cuando sea posible
• Controles técnicos para facilitar el ejercicio de derechos de los usuarios
• Eliminación segura de datos cuando ya no son necesarios

11. Cumplimiento y Certificaciones

Nos comprometemos a cumplir con estándares y regulaciones aplicables:

• Cumplimiento con normativas de protección de datos vigentes
• Alineación con marcos de seguridad reconocidos internacionalmente
• Evaluaciones de cumplimiento periódicas
• Auditorías externas independientes de controles de seguridad
• Actualización continua según evolución de requisitos legales

12. Transferencias Internacionales

Cuando transferimos datos fuera de la ubicación original:

• Evaluación de las protecciones legales en el país de destino
• Implementación de salvaguardas contractuales apropiadas
• Cifrado de datos durante transferencias transfronterizas
• Transparencia sobre ubicaciones de procesamiento de datos

13. Dispositivos Móviles

Para dispositivos móviles que acceden a nuestros sistemas:

• Requisitos mínimos de seguridad para dispositivos corporativos
• Capacidad de borrado remoto de datos empresariales
• Aplicaciones móviles desarrolladas con controles de seguridad robustos
• Separación de datos personales y corporativos cuando sea posible

14. Mejora Continua

La seguridad es un proceso continuo de evaluación y mejora:

• Revisión regular de esta política y procedimientos asociados
• Monitorización de amenazas emergentes y tendencias del sector
• Inversión continua en tecnologías y capacidades de seguridad
• Participación en comunidades de seguridad para compartir conocimientos
• Aprendizaje de incidentes propios y de la industria

15. Responsabilidades

15.1 Responsabilidades de Talmirevora

Nos comprometemos a:

• Mantener y actualizar las medidas de seguridad descritas en esta política
• Proporcionar recursos adecuados para el programa de seguridad
• Investigar y responder a incidentes de seguridad de manera oportuna
• Comunicar cambios significativos en nuestras prácticas de seguridad
• Facilitar el ejercicio de derechos relacionados con la seguridad de los datos

15.2 Responsabilidades de los Usuarios

Los usuarios de nuestros servicios deben:

• Mantener la confidencialidad de sus credenciales de acceso
• Utilizar contraseñas seguras y únicas para sus cuentas
• Reportar inmediatamente cualquier sospecha de compromiso de seguridad
• No intentar acceder a áreas no autorizadas de nuestros sistemas
• Seguir las mejores prácticas de seguridad en sus propios dispositivos

16. Limitaciones

A pesar de nuestros esfuerzos, es importante reconocer que:

• Ningún sistema de seguridad es completamente infalible
• No podemos garantizar seguridad absoluta contra todas las amenazas posibles
• La seguridad de las comunicaciones por Internet tiene limitaciones inherentes
• Los usuarios también son responsables de la seguridad de sus propios sistemas

17. Actualizaciones de esta Política

Esta Política de Seguridad puede actualizarse periódicamente para reflejar:

• Cambios en nuestras prácticas operativas y tecnológicas
• Nuevas amenazas y vulnerabilidades identificadas
• Evolución de estándares y mejores prácticas del sector
• Modificaciones en requisitos legales y regulatorios
• Retroalimentación de auditorías y evaluaciones de seguridad

La fecha de última actualización se indica al inicio de este documento. Los cambios sustanciales serán comunicados a través de nuestros canales habituales.

18. Contacto sobre Seguridad

Para cuestiones relacionadas con la seguridad de la información:

Talmirevora
C/Pozuelo Alto Nº10, Ctra. Madrid, Km.184
47008 Valladolid, España

Correo electrónico: info@Talmirevora.org
Teléfono: +34600391491

Para reportar vulnerabilidades de seguridad o incidentes, utilice los canales de contacto anteriores con el asunto claramente identificado como urgente en materia de seguridad. Tratamos todos los informes de seguridad con la máxima prioridad y confidencialidad.

19. Compromiso Organizacional

La seguridad de la información es responsabilidad de toda nuestra organización. Desde la dirección hasta cada miembro del equipo, todos estamos comprometidos con la protección de los datos confiados a nosotros y con el mantenimiento de la confianza que nuestros clientes depositan en nuestros servicios.

Continuaremos invirtiendo en tecnología, procesos y personas para mantener los más altos estándares de seguridad de la información y protección de datos en todo momento.