Linkedin-in Pinterest-p
Customer Panel

Política de seguridad

TodoEnCloud, S.L.

Documento alineado con el Real Decreto 311/2022 (Esquema Nacional de Seguridad), la Guía CCN‑STIC 805 y las normas ISO/IEC 27001, 27017 y 27701.

1. APROBACIÓN, VIGENCIA Y CONTROL DE VERSIONES

Órgano aprobador: Comité de Seguridad de TodoEnCloud
Fecha de aprobación: 14/08/2025
Entrada en vigor: 01/09/2025
Ámbito de aplicación ENS: Sistemas y servicios sujetos al ENS prestados por TodoEnCloud en categoría MEDIO, sin perjuicio de que algunos sistemas o servicios puedan tener categorización distinta por decisión motivada y registro en sus SAR/SGR.

Control de versiones

  • Versión 1.0 — 14/08/2025: Aprobación inicial.
  • Cualquier versión anterior queda expresamente derogada con la entrada en vigor de esta Política.

Compromiso de publicación y transparencia
Esta Política será publicada en los canales internos corporativos y, cuando proceda por obligaciones contractuales o regulatorias, en canales externos (p. ej., portal de transparencia o web corporativa).

2. DECLARACIÓN DE LA DIRECCIÓN

TodoEnCloud aspira a una posición de liderazgo en el paradigma Cloud ofreciendo servicios con máximos niveles de seguridad, capacidad de respuesta y excelencia técnica. La seguridad de la información es un pilar básico de la política corporativa y el marco de referencia para establecer y revisar objetivos, asegurar la satisfacción de clientes y proteger los datos personales.

La Dirección se compromete a:

  • Dotar a la seguridad de los recursos económicos, tecnológicos y humanos necesarios.
  • Mantener un enfoque basado en riesgos, protegiendo la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información y los servicios.
  • Impulsar una cultura de seguridad asumida por todo el personal y la cadena de suministro.
  • Cumplir la legislación y la normativa aplicable (ENS, RGPD/LOPDGDD, normas ISO y compromisos contractuales) y utilizar esta Política como marco para los objetivos de seguridad y la mejora continua.
  • Garantizar la formación y concienciación del personal y exigir estándares equivalentes a terceros.

3. INTRODUCCIÓN Y PRINCIPIOS

La seguridad es un proceso integral que abarca personas, procesos, tecnología y cadena de suministro, y debe estar presente por defecto y desde el diseño en todo el ciclo de vida de los sistemas. TodoEnCloud adopta los principios del ENS:

  • Seguridad integral y en capas (líneas de defensa).
  • Gestión basada en riesgos y vigilancia continua con reevaluación periódica.
  • Prevención, detección, respuesta y conservación de evidencias.
  • Diferenciación de responsabilidades y modelo de gobernanza claro.

4. ALCANCE

Esta Política aplica a:

  • Todos los sistemas de información, activos y procesos de negocio gestionados por TodoEnCloud para la prestación de servicios de nube (IaaS, PaaS, servicios gestionados, seguridad gestionada, soporte y operación).
  • Todas las personas que accedan a información o servicios de TodoEnCloud (empleados, contratistas, becarios) y a terceros (proveedores/partners) con acceso físico o lógico.
  • Los servicios a clientes del sector público u otros sujetos a ENS, y la cadena de suministro asociada.

Exclusiones y particularidades deberán justificarse y documentarse en los SAR/SGR y en los acuerdos de nivel de seguridad del servicio.

5. MISIÓN Y OBJETIVOS DE SEGURIDAD (ORG.1.1)

Misión
Proveer servicios cloud seguros, resilientes y de alto rendimiento, orientados a resultados del cliente y en cumplimiento de los marcos regulatorios aplicables.

Objetivos de seguridad

  1. Proteger la C/I/D/A/T de la información y los servicios.
  2. Aplicar medidas proporcionales al riesgo y a la categorización ENS.
  3. Integrar la seguridad por defecto y desde el diseño en todo el ciclo de vida.
  4. Asegurar trazabilidad y mínimo privilegio en el acceso y la operación.
  5. Estandarizar y gobernar la documentación de seguridad para su gestión y acceso.
  6. Fortalecer concienciación y competencia del personal, y exigirlo a terceros.
  7. Consolidar un proceso de mejora continua con métricas e indicadores.

6. MARCO NORMATIVO (ORG.1.2)

Las normas jurídicas que constituyen dicho marco, se encuentran recogidas en un registro dispuesto al afecto en nuestro GRC, el cual se mantiene actualizado según señala el correspondiente procedimiento de gestión de requisitos legales.

También forman parte del marco legal y regulatorio las restantes normas aplicables que sean desarrollo de las anteriores o estén relacionadas con ellas, comprendidas dentro del ámbito de aplicación de la presente política.

Entre ellas, cabe destacar las instrucciones técnicas de seguridad, de obligado cumplimiento, publicadas mediante resolución de la Secretaría de Estado de Digitalización e Inteligencia Artificial del Ministerio de Asuntos Económicos y Transformación Digital, a propuesta de la Comisión Sectorial de Administración Electrónica y a iniciativa del Centro Criptológico Nacional (CCN) tal y como se establece en la Disposición adicional segunda del Real Decreto por el que se regula el ENS

El mantenimiento de este registro conteniendo el marco legal y regulatorio es responsabilidad de Todo en Cloud, pudiendo reflejarse asimismo como un anexo vinculado a esta política, aunque independiente, que no requerirá del mismo proceso formal de aprobación.

Así mismo, Todo en Cloud, también será responsable de identificar las guías de seguridad elaboradas por el CCN en el ejercicio de sus competencias, referenciadas igualmente en la Disposición Adicional Segunda del Real Decreto por el que se regula en ENS, que serán de aplicación para facilitar el cumplimiento de lo establecido en el Esquema Nacional de Seguridad.

7. ORGANIZACIÓN DE LA SEGURIDAD Y GOBERNANZA (ORG.1.3 y ORG.1.4)

7.1 Modelo de gobernanza

TodoEnCloud adopta un modelo de gobernanza de seguridad basado en:

  • Órgano colegiado: Comité de Seguridad de la Información (CSI).
  • Roles unipersonales ENS: Responsable de la Información (RI), del Servicio (RS), del Sistema (RSI) y de Seguridad (RSEG).
  • Funciones complementarias: Delegado/a de Protección de Datos (DPD), Responsable de Continuidad (BCM), Responsable de Proveedores/POC, CISO, Responsable de Cumplimiento, y jefaturas técnicas pertinentes.

7.2 Comité de Seguridad de la Información (CSI)

Composición: Dirección General (presidencia), CISO (secretaría), RI/RSI/RSEG (Responsable de Seguridad) de los sistemas críticos, DPD, BCM, responsable de ingeniería/operaciones y responsable de compras/terceros.
Dependencia y reporting: Reporta a la Dirección General y eleva informes ejecutivos anuales.
Funciones del CSI:

  • Definir la estrategia y aprobar esta Política y la normativa de segundo nivel.
  • Aprobar criterios de categorización ENSumbrales de riesgo y planes de tratamiento.
  • Priorizar inversiones y capacidades horizontales (monitorización, hardening, continuidad, etc.).
  • Supervisar incidentes y su resolución, incluyendo notificaciones a autoridades y clientes.
  • Revisar métricas e indicadores (dashboards de seguridad, cumplimiento y riesgos).
  • Impulsar auditorías internas/externas ENS e ISO y el cierre de no conformidades.

7.3 Roles y responsabilidades (resumen)

  • Responsable de la Información (RI): Define requisitos de seguridad de la información, clasifica activos/información, aprueba accesos de alto impacto y acepta riesgos residuales de la información, revisión informes de auditorías.
  • Responsable del Sistema (RSI): Garantiza que el sistema cumple requisitos técnicos y operativos; lidera el ciclo de vida seguro (seguridad por defecto, bastionado, parches, cambios, continuidad, evidencias, revisión de los incidentes de seguridad), revisión informes de auditorías.
  • Responsable de Seguridad (RSEG): Determina decisiones para satisfacer requisitos de seguridad; coordina implantación de medidas, monitorización, respuesta a incidentes y mejora; integra ENS con ISO y PD, elabora el análisis de riesgos y propone nuevos objetivos en seguridad de la información, revisión informes de auditorías.
  • Delegado/a de Protección de Datos (DPD): Asesora y supervisa cumplimiento de PD; coordina EIPD y notificación de brechas.
  • POC de Terceros: Coordina con proveedores/partners y canaliza incidencias y evidencias.

Matriz de responsabilidades: ver Matriz (RACI ENS/ISO).

7.4 Procedimiento de designación, renovación e incompatibilidades

  • Los RI/RS/RSI/RSEG serán designados por la Dirección a propuesta del CSI, con constancia documental y difusión interna.
  • Revisión ordinaria bienal o cuando se produzcan vacantes/cambios organizativos; se prevén suplentes para ausencias prolongadas.
  • Se evitarán incompatibilidades: RSEG y RSI no podrán recaer en la misma persona en sistemas críticos; cualquier excepción se motivará y aprobará en el CSI.

7.5 Resolución de conflictos

Las discrepancias entre responsables se dirimirán en el CSI. Si persisten, resolverá la Dirección General, previo informe motivado del RSEG y audiencia de las partes implicadas.

8. DIRECTRICES PARA LA ESTRUCTURACIÓN DOCUMENTAL (ORG.1.5)

Jerarquía documental:

  1. Política (este documento).
  2. Normativa de seguridad (estándares e instrucciones obligatorias).
  3. Procedimientos operativos.
  4. Guías y plantillas.
  5. Registros y evidencias (auditorías, AR/SGR, inventarios, listas de control, actas del CSI, métricas, etc.).

Gobierno documental:

  • Repositorio único con control de versiones, metadatos (propietario, fecha, alcance) y gestión de accesos por rol.
  • Neutralidad tecnológica: la documentación no prescribirá soluciones cerradas; se referenciarán controles y requisitos.
  • Ciclo de vida: alta, revisión, aprobación, difusión, retirada y archivo.
  • Esta información se soporta en el PSI02-valoración del riesgo y el manual de seguridad

9. CONCIENCIACIÓN Y FORMACIÓN

  • Anual y obligatoria para todo el personal, con refuerzo en onboarding.
  • Módulos específicos para roles críticos (RSI, RSEG, operaciones, desarrollo, SOC, DPD, ventas públicas).
  • Programa continuo de phishing controlado, boletines y simulacros (incidentes/BCP).
  • Registro de asistencia y evaluación de eficacia.

10. GESTIÓN DE RIESGOS

  • Metodología basada en ISO/IEC 27005 y MAGERIT, con integración de riesgos de protección de datos (EIPD cuando aplique).
  • Cadencia: análisis anual como mínimo y extraordinario ante cambios relevantes (servicio, información, arquitectura), vulnerabilidades graves o incidentes significativos.
  • Criterios corporativos comunes para valoración de activos, amenazas, impactos y probabilidades; catálogo de escenarios de referencia.
  • Tratamiento: reducción, evitación, transferencia o aceptación por parte del responsable correspondiente (RI/RS), con umbral de riesgo aprobado por el CSI.
  • Riesgo residual: debe ser aceptado formalmente por los responsables con soporte del RSEG.
  • Vinculación ENS: los resultados de AR/SGR ajustan la categorización y priorización de medidas (Matriz RACI ENS/ISO).
  • Monitoreo continuo: integración con SOC, gestión de vulnerabilidades, parches, configuraciones seguras y revisiones de acceso.

11. OBLIGACIONES DEL PERSONAL

  • Conocer y cumplir esta Política y la normativa/procedimientos asociados.
  • Firmar la aceptación de la Política y acuerdos de confidencialidad.
  • Completar la formación requerida y mantener las buenas prácticas.
  • Reportar inmediatamente eventos o incidentes de seguridad a través de los canales establecidos.
  • Respetar el principio de mínimo privilegio y uso legítimo de los activos.

12. TERCERAS PARTES, PROVEEDORES Y MODELO DE RESPONSABILIDAD COMPARTIDA

  • Inclusión de cláusulas ENS y de seguridad en contratos y DPA; obligatoriedad de subcontrata de cumplir niveles equivalentes.
  • Due diligence de seguridad, evaluación de riesgos de tercero, y derecho de auditoría.
  • POC designado por TodoEnCloud para coordinación y gestión de incidencias.
  • Modelo explícito de responsabilidad compartida con clientes cloud (matriz de responsabilidad técnica y organizativa).
  • Requisitos de seguridad en la nube (identidades/roles, cifrado, segregación, logging, continuidad, localización y residencia de datos) en pliegos y anexos técnicos.
  • Exigencia de formación y concienciación en los equipos de terceros equivalente a la interna.
  • Procedimiento de offboarding/exit seguro de terceros (revocaciones, borrado/custodia de evidencias y datos, devolución de llaves y accesos).

13. GESTIÓN DE INCIDENTES DE SEGURIDAD

  • Procedimiento para detección, registro, clasificación, contención, erradicación, recuperación y lecciones aprendidas.
  • Coordinación con SOC y CSI; notificación a autoridades y clientes según contrato y normativa (incluida notificación de brechas de datos personales con el DPD).
  • Mecanismos de conservación de evidencias y cadena de custodia.
  • Simulacros periódicos y métricas (MTTD/MTTR, severidad, recurrencia, root cause).

14. CONTINUIDAD DEL NEGOCIO Y RECUPERACIÓN ANTE DESASTRES

  • Marco BCMS alineado con ISO 22301 (cuando aplique) y requisitos ENS (continuidad de la actividad).
  • BIA y RTO/RPO definidos por servicio; pruebas de DR periódicas y reporte al CSI.
  • Planes de continuidad y DR integrados con ciber (ransomware, pérdida masiva de servicio, indisponibilidad de proveedor, incidentes físicos y lógicos).

15. MEDIDAS TRANSVERSALES (ALTO NIVEL)

Compromisos de alto nivel que se desarrollan en normativa de segundo nivel:

  • Autorización y control de accesos (identidades, MFA, PAM, mínimo privilegio, JIT/JEA).
  • Integridad y actualización del software y sistemas (ciclo de parches, gestión de cambios, hardening y configuración segura).
  • Protección de la información en reposo y en tránsito (cifrado, gestión de claves, etiquetado y clasificación).
  • Registro y monitorización (telemetría, retención de logs, detección de código dañino).
  • Seguridad física y ambiental en instalaciones y DCs.
  • Prevención ante interconexiones (segregación de redes, filtros, revisiones de confianza).

16. PROTECCIÓN DE DATOS PERSONALES

  • Integración SGSI–SGPI (ISO 27001/27701) y coordinación con el DPD.
  • Realización de EIPD cuando apliquen; registro y gestión de brechas de datos personales.
  • Salvaguardas sobre transferencias internacionales, subencargados y trazabilidad de operaciones.

17. REVISIÓN, MEJORA CONTINUA Y AUDITORÍA

  • Revisión anual de la Política por el CSI y aprobación por Dirección; revisión extraordinaria ante cambios organizativos, regulatorios o tecnológicos.
  • Programa de auditoría interna ENS/ISO y auditoría externa ENS según periodicidad; gestión de acciones correctivas y seguimiento hasta cierre.
  • Indicadores de madurez y eficacia del sistema de seguridad con reporting a Dirección.

18. DIFUSIÓN Y ACEPTACIÓN

  • Difusión de la Política a todo el personal y terceros relevantes.
  • Aceptación expresa antes de otorgar credenciales o acceso.
  • Disponibilidad de la Política en repositorio interno y, cuando aplique, en el portal público correspondiente.

19. DESARROLLO NORMATIVO Y CATÁLOGO DOCUMENTAL

Esta Política se desarrolla mediante normativa de seguridad de segundo nivel. A título enunciativo:

  • Procedimientos: control de accesos, clasificación y manejo de información, cifrado, gestión de vulnerabilidades y parches, gestión de proveedores, continuidad/DR, gestión de identidades/roles, desarrollo seguro/DevSecOps, telemetría y retención de logs, seguridad física, uso aceptable, BYOD, borrado y destrucción segura, salida de personal, etc.
  • Solicitudes e incidencias: alta/baja usuarios, EIPD, gestión de incidencias, CR (cambios), backup/restore, revisión de accesos, onboarding/offboarding de proveedor, publicación de servicios, pruebas de DR, etc.
  • Políticas: AR/SGR, informes de aceptación de riesgo, RACI, cuestionarios de proveedor, playbooks de incidentes, planes BIA/BCP/DR, etc.

El Inventario de normativa, procedimientos, guías y registros con propietarioúltima revisión y próxima revisión se encuentran en la herramienta GRC.

20. DISPOSICIONES FINALES

  • Cualquier excepción a esta Política debe ser motivadaanalizada en riesgo, aprobada por el CSI y autorizada por la Dirección.
  • La adopción de nuevas tecnologías (p. ej., IA) requerirá análisis de riesgo, evaluación de impacto aplicable y aprobación previa del RSEG, con consulta a RI/RS/RSI y DPD.

Alcance ISO 27001

El sistema de gestión se aplica a:

«Los sistemas de información que dan soporte a la infraestructura como servicios IaaS en Cloud Público y Privado de acuerdo a la declaración de aplicabilidad Versión 4». Este alcance y la ISO27001 cubren nuestros dos Centros de Datos y ha sido emitido por APPLUS

Certificados

 

Acceder