La presente política establece los diferentes ámbitos en los que la privacidad de los usuarios se ve involucrada y describe las obligaciones y requisitos que deben cumplir los usuarios, la página web y los propietarios de esta. También se detalla en esta política la forma en que la página web procesa, almacena y protege los datos e información de los usuarios.
1. Introducción
El objetivo de este documento es definir la política de Dynavics Technology con respecto a la seguridad de la información, los sistemas y las comunicaciones. Esta política es aplicable a todo el personal permanente, contratado y temporal de Dynavics y a todos los partners y terceros que tengan acceso a los sistemas e información de Dynavics.
Los directores de Dynavics se comprometen a garantizar que toda la información propiedad de Dynavics y de sus clientes y partners esté protegida de acuerdo con su nivel de confidencialidad y sensibilidad.
Los principales objetivos de esta política son:
- Proteger los activos de información de Dynavics de cualquier amenaza interna o externa.
- Garantizar que todo el personal de Dynavics y todas las personas con acceso a los activos de información de
- Dynavics sean plenamente conscientes de los requisitos de seguridad de la información.
- Determinar a todo el personal sus respectivas responsabilidades en relación con la seguridad de la información.
- Garantizar que todo el personal es consciente de que debe cumplir con toda la legislación relacionada con la seguridad de la información.
- Proteger la información y los activos de clientes y partners.
- Garantizar que Dynavics cumple o supera las buenas prácticas de seguridad reconocidas tal y como se definen en la versión actual de la norma de seguridad ISO27001.
2. Seguridad de la información
El objetivo de la seguridad de la información es garantizar la continuidad de la empresa y minimizar el efecto de los incidentes relacionados con la seguridad. La seguridad de la información permite compartirla y garantizar su protección y la de los activos informáticos.
La seguridad de la información consta de tres componentes básicos:
- Confidencialidad: garantizar que la información o los datos sensibles o personales sólo sean leídos por las personas autorizadas y no se divulguen a personas no autorizadas o al público general.
- Integridad: salvaguardar la precisión y la exhaustividad de la información y los programas informáticos y protegerlos de modificaciones indebidas.
- Disponibilidad: garantizar que la información, los sistemas, las redes y las aplicaciones estén disponibles cuando se requiera para los departamentos, grupos o usuarios que demuestren autoridad y un motivo válido para acceder a ellos.
Existen otros tres controles que respaldan estos componentes básicos:
- Autenticación: todas las personas y sistemas que deseen acceder a nuestros recursos informáticos en red deben establecer primero su identidad de forma satisfactoria para la organización.
- Control de acceso: el poder para ver o modificar la información, el software o los sistemas en los que reside la información debe estar restringido sólo a aquellos cuyas funciones laborales lo requieran absolutamente.
- Auditoría: el acceso y la actividad de los usuarios en los ordenadores, firewalls y redes de la organización debe registrarse y deben mantenerse en cumplimiento todos los requisitos de seguridad, retención y reglamentación.
La información adopta muchas formas; puede procesarse y almacenarse en ordenadores o en otro formato electrónico, imprimirse o escribirse en papel, compartirse a través de mensajes de voz o de vídeo, transmitirse por correo o por medios electrónicos como el correo electrónico, los blogs, las redes sociales, la mensajería instantánea o el fax, y puede estar disponible en vídeos corporativos o páginas web. Sea cual sea la forma que adopte la información o el medio por el que se comparta, almacene o procese siempre debe estar debidamente clasificada y protegida.
Los sistemas de información y la información que procesan y almacenan son un activo vital para Dynavics Technology. Dynavics depende de la disponibilidad de información precisa y actualizada.
Cualquier pérdida de información, de sistemas informáticos o de datos que estos contengan podría conllevar graves repercusiones para Dynavics y/o sus clientes y partners. La violación de la seguridad durante el procesamiento, almacenamiento o transferencia de datos podría dar lugar a pérdidas financieras, a la pérdida de ventajas comerciales, ocasionar graves molestias o generar situaciones problemáticas, o incluso a procedimientos legales contra la empresa o contra las personas implicadas. Para garantizar la confidencialidad, la integridad y la disponibilidad de estos sistemas debe alcanzarse y mantenerse un alto nivel de seguridad. El nivel de seguridad instalado en cada uno de los distintos sistemas será coherente con la clasificación de seguridad asignada para la información y el entorno en el que opera.
Se publicarán y actualizarán periódicamente normas, procedimientos y directrices de seguridad específicos para facilitar la implementación de esta política de seguridad.
Dynavics proporcionará procedimientos, fórmulas y directrices para garantizar que no se modifiquen, divulguen o destruyan datos o información de forma no autorizada, ya sea accidental o intencionadamente. En Dynavics el acceso a la información estará restringido al personal de la empresa con un fin válido y autorizado.
Todos los sistemas informáticos estarán protegidos con programas antivirus, que se actualizarán periódicamente. Se analizarán regularmente todos los servidores, equipos de trabajo y ordenadores portátiles, y las definiciones de virus se actualizarán cada día. Las actualizaciones y los análisis serán automáticos para cada equipo y no deben ser desactivados o anulados.
Dynavics tomará las medidas adecuadas para prevenir, detectar y recuperarse de cualquier pérdida o incidente, ya sea accidental o intencionado, incluidos errores, fraudes, daños e interrupciones o fallos en instalaciones informáticas o de comunicaciones.
Dynavics utiliza programas informáticos que solo se modificarán si se aplican parches y actualizaciones de software del fabricante después de haberlos probado con éxito.
El software desarrollado en Dynavics estará sujeto a un estricto control de proyectos y gestión de cambios e incluirá la evaluación de riesgos y la autorización de la seguridad para garantizar que siempre se tenga en cuenta la protección adecuada de la información.
Se llevará a cabo una evaluación de riesgos de seguridad de cada categoría de activos de información para determinar el nivel de protección necesario. Los procedimientos de seguridad y control tendrán en cuenta la sensibilidad y el valor de la información.
Todas las unidades de negocio de Dynavics deben tener planes de continuidad del negocio para la información que se considere crítica. Estos planes se coordinarán para evitar conflictos de intereses y prioridades.
3. Ámbito de aplicación
Esta política es aplicable a:
- Toda la información de Dynavics Technology, la información propiedad de sus partners y clientes, y la información sobre estos. A efectos de este documento, esto será referido como Información de Dynavics.
- Todo el personal permanente, contratado y temporal de Dynavics, y todos los terceros y partners que tengan acceso a las instalaciones, sistemas e información de Dynavics.
- Todos los sistemas informáticos de Dynavics, el software y la información creada o utilizada en esos sistemas.
- Toda publicación impresa de los sistemas de Dynavics también está dentro del ámbito de aplicación de esta política.
- Todos los medios de comunicación de información, tanto dentro de Dynavics como externos. Estos incluyen transmisiones de datos y de voz, correos electrónicos, fax, télex y llamadas o videoconferencias.
4. Responsabilidades
4.1. Director general
El director general de Dynavics es el responsable en última instancia de la protección de la información de la organización y de garantizar la aplicación de esta política de seguridad.
4.2. Responsable de seguridad de la información
El responsable de seguridad de la información actuará como núcleo de todas las cuestiones relacionadas con la seguridad de la información. Será responsable de la seguridad operativa de la infraestructura informática de la empresa y de la aplicación de las recomendaciones y políticas aprobadas.
Sus responsabilidades incluyen:
- Dirigir la elaboración de políticas, procedimientos y directrices de seguridad de la información y obtener la aprobación del director ejecutivo para estos documentos.
- Impartir programas de iniciación a la seguridad y de formación continua para garantizar que todos los empleados comprendan plenamente la importancia y la necesidad de que se cumplan las políticas de seguridad.
- Identificar la formación específica para los especialistas en seguridad de la información y para los no especialistas que requieran cierto nivel de conocimiento en la materia.
- Supervisar el cumplimiento de la seguridad en el día a día.
- Proporcionar un soporte técnico a todos los niveles al equipo directivo sobre sus responsabilidades básicas en el cumplimiento de la seguridad.
- Identificar las áreas de riesgo de seguridad y asesorar sobre las medidas que pueden tomarse para minimizar y gestionar estos riesgos.
- Asesorar a la dirección sobre la instalación y los requisitos para los programas de seguridad.
- Revisar la adecuación de los planes y pruebas de continuidad de la empresa.
- Mantener la documentación de seguridad.
- Asistir a los usuarios en el desarrollo y la aplicación de procedimientos operativos, controles de productos y de seguridad de conformidad con la política de seguridad.
- Identificar las áreas de mejora necesarias para cumplir o superar las prácticas de seguridad definidas en la versión actual de la norma ISO27001.
4.3. Director ejecutivo
Es responsabilidad de todos los empleados asegurarse de que desarrollan su actividad de acuerdo con esta política.
Todos los empleados deben familiarizarse con esta política y con todas las políticas, procedimientos, normas y directrices de soporte aplicables. El cumplimiento de esta política es obligatorio, y cualquier empleado que no la cumpla puede ser objeto de procedimientos disciplinarios.
Los responsables de la gestión de terceros deben asegurarse de que éstos están obligados contractualmente a cumplir esta política y de que dichos terceros son conscientes de que su incumplimiento puede dar lugar a la extinción del contrato.
Los usuarios deben:
- Acceder únicamente a los sistemas y a la información para los que estén autorizados, incluidos los informes y los documentos en papel.
- Utilizar los sistemas y la información únicamente para los fines para los que han sido autorizados.
- Cumplir con toda la legislación pertinente y con los controles definidos por el propietario de la información, así como con todas las políticas, normas, procedimientos y directrices de la empresa.
- No revelar información confidencial a terceros sin el permiso del propietario de la información.
- Notificar al responsable de seguridad de la información cualquier infracción, real o presunta, de la seguridad de la información o cualquier debilidad percibida en las políticas, procedimientos, prácticas, procesos o infraestructuras de seguridad de la organización.
- Proteger los activos del acceso, la divulgación, la modificación, la destrucción o la intervención no autorizados.
4.4. Recursos humanos
El departamento de recursos humanos es responsable de garantizar que Dynavics contrate a empleados de confianza y de que todos los empleados sean conscientes de sus responsabilidades en materia de seguridad de la información. Sus responsabilidades incluyen:
- Comprobar antes de la contratación que existen las competencias necesarias para el puesto para el que aplican.
- Comprobar regularmente si se produce un cambio de función del empleado o si cambian los requisitos del cliente.
- Obtener acuerdos de confidencialidad firmados por todos los empleados.
- Organizar la formación inicial de los nuevos empleados, que debe incluir la concienciación sobre la seguridad.
- Tomar medidas disciplinarias en caso de mala conducta e incumplimiento de las políticas de seguridad.
Garantizar que los administradores de usuarios reciban una notificación rápida de traslados y salidas de los empleados.
5. Review of Information Security Policy
This policy will be reviewed on an annual basis by the Information Security Officer, and the results of the review will be submitted to the Chief Executive. Any resulting changes will be formally advised to all Dynavics employees and contractors.
In the event of a security incident, the policy will be reviewed for effectiveness, and modified if appropriate.
Appendix A: Applicable Legislation
Dynavics employees will comply with all current legislation. Some of the key laws relating to information security are outlined below. For further information on any legislation, refer to the Information Security Officer.
Data Protection Act 1998 and EU Directive on Data Protection
Personal information relating to identifiable individuals must be kept accurate and up to date. It must be fairly obtained and securely stored. Personal information may only be disclosed to people who are authorised to use it.
The Data Protection Act lists the eight principles in the following terms.
- Personal data shall be processed fairly and lawfully and, in particular, shall not be processed unless:(a) at least one of the conditions in Schedule 2 is met, and
(b) in the case of sensitive personal data, at least one of the conditions in Schedule 3 is also met. - Personal data shall be obtained only for one or more specified and lawful purposes, and shall not be further processed in any manner incompatible with that purpose or those purposes.
- Personal data shall be adequate, relevant and not excessive in relation to the purpose or purposes for which they are processed.
- Personal data shall be accurate and, where necessary, kept up to date.
- Personal data processed for any purpose or purposes shall not be kept for longer than is necessary for that purpose or those purposes.
- Personal data shall be processed in accordance with the rights of data subjects under this Act.
- Appropriate technical and organisational measures shall be taken against unauthorised or unlawful processing of personal data and against accidental loss or destruction of, or damage to, personal data.
- Personal data shall not be transferred to a country or territory outside the European Economic Area unless that country or territory ensures an adequate level of protection for the rights and freedoms of data subjects in relation to the processing of personal data.
Further information on the Act can be obtained from the Data Protection Officer, or from the Information Security Officer.
Copyright, Patents and Designs Act 1988
Documentation must be used strictly in accordance with current applicable copyright legislation, and software must be used in accordance with the licence restrictions. Unauthorised copies of documents or software may not be made under any circumstances.
Patents Act 1997
Covers the protection of designs and inventions, and the process for applying for patents.
Computer Misuse Act 1990
This Act addresses the following offences:
- Unauthorised access to computer material.
- Unauthorised access with intent to commit or facilitate commission of further offences.
- Unauthorised modification of computer material.
Regulation of Investigatory Powers Act 2000 (RIPA)
This Act provides for, and regulates the use of, a range of investigative powers, by a variety of public authorities. It updates the law on the interception of communications to take account of technological change such as the growth of the Internet. It puts other intrusive investigative techniques on a statutory footing for the very first time; provides new powers to help combat the threat posed by rising criminal use of strong encryption; and ensures that there is independent judicial oversight of the powers in the Act.
Electronic Communications Act 2000
Which supports the use of encryption and digital signatures. Dynavics will only use cryptographic technologies that comply with the laws of each country within which Dynavics uses, purchases or provides them. Dynavics does not use PKI, or any other form of encryption that is not incorporated into proprietary packages or network solutions.
Code on Employers Monitoring Practices
Part 3 of the Employee Practices Data Protection Code, provides best practice guidance on monitoring of emails, phone calls and internet access in the context of the Data Protection Act.
EU Directive on Privacy and Electronic Communications
Defines legal standards for the processing of personal data, and the protection of privacy in the electronic communications sector.
Human Rights Act 1998
Based on the European Convention on Human Rights.
Working time directive
Defines maximum working hours and minimum breaks from work.
Health and Safety at Work Act 1974
The primary legislation covering health and safety in the UK, making provision for securing the health, safety and welfare of persons at work, and for protecting others against risks to health and safety.
Liability Insurance Policy
This policy includes requirements for compliance with legislation such as Health and Safety at Work Act.
6. The Website
Our website and its owners take a proactive approach to user privacy and ensure the necessary steps are taken to protect the privacy of its users throughout their visiting experience. Our website complies with all UK national laws and requirements for user privacy.
7. Use of Cookies
What are cookies?
Cookies are small files saved to the user’s computer’s hard drive that track, save and store information about the user’s interactions and usage of the website. This allows the website, through its server to provide the users with a tailored experience within this website.
What do we use cookies for?
We may use cookies to remember personal settings you have chosen at our website. In no other context do we use cookies to collect information that identifies you personally. Most of the cookies we set are automatically deleted from your computer when you leave our website or shortly afterwards.
We use anonymous session cookies (short-term cookies that disappear when you close your browser) to help you navigate the website and make the most of the features. If you log into the website, application or a course as a registered user, your session cookie will also contain your user ID so that we can check which services you are allowed to access.
Our website uses tracking software to monitor its visitors to better understand how they use it. This software is provided by Google Analytics which uses cookies to track visitor usage. The software will save a cookie to your computer’s hard drive in order to track and monitor your engagement and usage of our website, but will not store, save or collect personal information.
Should users wish to deny the use and saving of cookies from our website onto their computer’s hard drive, they should take necessary steps within their web browser’s security settings to block all cookies from our website and its external serving vendors.
8. Personal Information
Whilst using our website, software applications or services, you may be required to provide personal information (name, address, email, etc.). We will use this information to administer our website, applications, client databases and marketing material. We will ensure that all personal information supplied is held securely in accordance with the General Data Protection Regulation (EU) 2016/679, as adopted into law of the United Kingdom in the Data Protection Act 2018.
Further, by providing telephone, mobile and email details, you consent to Dynavics Ltd contacting you, using that method. You have the right at any time to request a copy of the personal information we hold on you. Should you wish to receive a copy of this, or would like to be removed from our database, please contact us at enquiries@dynavics.co.uk.
9. Information Collection and Use
How do we collect information?
Dynavics Ltd collects information in two possible ways:
1. When you directly give it to us (“Directly Provided Data”)
When you sign up for our site, purchase our products or communicate with us, you may choose to voluntarily give us certain information – for example, by filling in text boxes or completing registration forms. All this information requires a direct action by you at that time in order for us to receive it.
2. When you give us permission to obtain from other accounts (“User Authorised Data”)
Depending on your settings or the privacy policies for other online services, you may give us permission to obtain information from your account with those other services. For example, this can be via social media or by choosing to send us your location data when accessing our website from your smartphone.
How long do we keep your data for?
Dynavics Ltd will not retain your personal information longer than necessary. We will hold onto the information you provide either while your account is in existence, or as needed to be able to provide the Services to you, or (in the case of any contact you may have with our Support Team) for as long as is necessary to provide support-related reporting and trend analysis only.
If legally required or if it is reasonably necessary to meet regulatory requirements, resolve disputes, prevent fraud and abuse, or enforce our Terms and Conditions, we may also retain some of your information for a limited period of time as required, even after you have closed your account, or it is no longer needed to provide the Services to you.
10. Registration Forms
Dynavics Ltd will not sell or rent your personally identifiable information, gathered as a result of filling out the site registration form, to anyone.
Choosing how we use your data
We understand that you trust us with your personal information and we are committed to ensuring you can manage the privacy and security of your personal information yourself.
With respect to the information relating to you that ends up in our possession, and recognising that it is your choice to provide us with your personally identifiable information, we commit to giving you the ability to do all of the following:
- You can verify the details you have submitted to Dynavics Ltd. by contacting our marketing team – enquiries@dynavics.co.uk. Our security procedures mean that we may request proof of identity before we reveal information, including your e-mail address and possibly your address.
- You can also contact us by the same method to change, correct, or delete your personal information controlled by Dynavics Ltd regarding your profile at any time. Please note though that, if you have shared any information with others through social media channels, that information may remain visible, even if your account is deleted.
- You are also free to close your account through our account settings. If you do so, your account will be deactivated. However, we may retain archived copies of your information as required by law or for legitimate business purposes (including to help address fraud and spam).
- You can always feel free to update us on your details at any point by emailing enquiries@dynavics.co.uk.
- You can unsubscribe from receiving marketing emails from us by clicking the “unsubscribe” link at the bottom of any email. Once you do this, you will no longer receive any emails from us.
- You can request a readable copy of the personal data we hold on you at any time. To do this, please contact us at enquiries@dynavics.co.uk.
Please note, we are constantly reviewing how we process and protect data. Therefore, changes to our policy may occur at any time. We will endeavour to publicise any changes.