Política de seguridad de la información

Política de Seguridad de la Información de BEWOR

En BEWOR la seguridad de la información y la protección de los datos personales son un pilar esencial de nuestra propuesta de valor y de la confianza que nuestros clientes depositan en nosotros. Nuestro objetivo es que todas nuestras soluciones GovTech, prestación de servicios electrónicos de confianza, así como los servicios de desarrollo y operación de soluciones “as a service”, se utilicen en un entorno seguro, fiable y conforme a la normativa vigente.

Nuestro compromiso

La Dirección de BEWOR ha establecido e implantado un Sistema de Gestión de la Seguridad de la Información (SGSI) que protege los sistemas y la información que tratamos, tanto propia como de nuestros clientes. Este sistema se orienta a garantizar cinco principios fundamentales: confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información.

Marco de referencia y alcance

El modelo de seguridad de BEWOR se apoya en estándares y marcos reconocidos, como la norma ISO/IEC 27001, el Esquema Nacional de Seguridad (ENS), la Directiva NIS2 y el Reglamento DORA, integrando además los requisitos del Reglamento eIDAS y los estándares ETSI aplicables a la prestación de los servicios de confianza cualificados.

El alcance de este modelo cubre todas nuestras soluciones GovTech y prestación de servicios de confianza, así como los servicios de desarrollo y operación de soluciones “as a service” prestados desde nuestras instalaciones y entornos en la nube.

Principios de seguridad

Para proteger la información y los servicios críticos, BEWOR asume, entre otros, los siguientes compromisos:

Proteger los activos de información aplicando controles eficaces que preserven su confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad a lo largo de todo su ciclo de vida.
Integrar la seguridad de la información en el diseño, adquisición, desarrollo y mantenimiento de nuestros sistemas y servicios digitales.
Gestionar de forma continua los riesgos de ciberseguridad mediante procesos de análisis, tratamiento y revisión periódica, reduciendo progresivamente su criticidad.

Garantizar una gestión rápida y adecuada de los incidentes de seguridad, apoyada en procedimientos de respuesta, registro, notificación y mejora posterior.
Mantener planes de continuidad de negocio y recuperación ante desastres para minimizar el impacto de posibles interrupciones en los servicios esenciales.
Cumplimiento normativo y protección de datos

BEWOR cumple estrictamente con la normativa española y europea aplicable en materia de ciberseguridad, servicios de confianza y protección de datos personales, incluyendo el RGPD y la LOPDGDD.

Asimismo, el Modelo de Seguridad de la Información implantado en BEWOR se articula a través del Manual General de Políticas de Seguridad de la Información, el cual, junto con las políticas, procedimientos, instrucciones y guías de seguridad establecidos para proteger los activos de información de la organización frente a amenazas internas o externas, deliberadas o accidentales, conforma el Marco Normativo Interno de Seguridad de la Información de BEWOR.

Contamos con un Delegado de Protección de Datos (DPO) que supervisa el cumplimiento, asesora en evaluaciones de impacto, revisión de tratamientos y gestión de posibles brechas de seguridad que afecten a datos personales.

Personas, cultura y terceros

La seguridad es una responsabilidad compartida por toda la organización.

Todo el personal recibe formación y acciones de concienciación en seguridad de la información y protección de datos, fomentando una cultura de ciberseguridad alineada con nuestro SGSI.
Nuestros proveedores y socios tecnológicos están sujetos a requisitos contractuales de seguridad y confidencialidad, y deben cumplir estándares equivalentes a los exigidos internamente por BEWOR.
Mejora continua y gobernanza

La Dirección de BEWOR proporciona los recursos humanos y tecnológicos necesarios para mantener y mejorar el modelo de seguridad, revisándolo de forma periódica para adaptarlo a la evolución de los riesgos, la tecnología y la normativa. Un Comité de Seguridad y los roles designados (responsables de seguridad, sistemas, cumplimiento y protección de datos) aseguran la correcta implementación de esta política, el seguimiento de los objetivos anuales de seguridad y la mejora continua del SGSI.

Esta Política será comunicada a todos los afectados dentro del alcance del SGSI y quedará a disposición de las partes interesadas para cualquier consulta.

Aprobada en fecha 17 de noviembre de 2025, versión 1.0.