Owner: MAILTECK, S.A.
NIF: A-31501901
Address: Avenida de la Recomba nº 14 – 28914 – Leganés, Madrid
Telephone: 913 044 941
Email: info@mailteck.com
Contact with DPO: dpo@mailteck.com

Owner: Customer Communications Tecknalia, S.L.
NIF: B-86414000
Address: Avenida de la Recomba nº 12-14 - 28914 Leganés (Madrid)
Telephone: 91 689 56 65
Email: info@customercomms.com
Contact with DPO: dpo@customercomms.com

At GRUPO MAILCOMMS, the information that you have provided has been collected by one of the GRUPO MAILCOMMS companies, in order to manage and process the request made: GRUPO MAILCOMMS will only process the data provided for the purposes described above and they will not be further processed in a way incompatible with those purposes.

In order to be able to offer you products and services according to your interests and to improve your user experience, we will produce a “commercial profile”, based on the information provided. However, automated decisions will not be made based on that profile.

The personal data provided will be kept as long as the commercial relationship is maintained, or its deletion is not requested by the interested party, for a period of 5 years from the last confirmation of interest.

The data subject, by providing their data through the channels that the GRUPO MAILCOMMS companies facilitate to collect contact information (contact form, commercial visit, etc.).

• Collaborating and participated companies for commercial purposes.
• By legal requirement when a rule so requires.

• General confirmation: Any person is entitled to obtain confirmation on whether GRUPO MAILCOMMS are processing personal data that concerns them.
• ARCO Rights: Interested persons have the right to access their personal data, as well as to request the rectification of inaccurate data or, where appropriate, request its deletion when, among other reasons, the data is no longer necessary for the purposes for which it was collected.
• Limitation of the processing: In certain circumstances, the interested parties may request the limitation of the processing of their data, in which case we will only keep them for the exercise or defence of legal claims.
• Objection to processing: In certain circumstances and or reasons relating to their particular situation, the interested parties may object to the processing of their data.
  Therefore, GRUPO MAILCOMMS will stop processing the data, except for compelling legitimate grounds, or the exercise or defence of potential legal claims.
• Portability of the data: In certain circumstances and or reasons relating to their particular situation, the interested parties may request to receive the personal data provided in the contact form, in a structured, commonly used and machine-readable format and have the right to transmit those data to another data controller without hindrance.
• Claim before a public body: if your right to protection of personal data is violated, you can file a claim with the Spanish Agency for Data Protection (www.aepd.es).
• Channel to exercise your rights: Data subjects may exercise their rights recognised in the regulations against and before each of the data controllers, via the addresses enabled as DPO in the section «Data Controller».

• Personal data has been obtained from the channels that GRUPO MAILCOMMS companies provide to collect contact information (Contact form, Commercial visit, etc.)
• The categories of data to be processed are identification data (name, surname(s), email, etc.)
• GRUPO MAILCOMMS, doesn’t process especially protected data

Versión: 8 | Fecha: 26 de noviembre 2024

ANEXO I: POLÍTICA DEL SISTEMA DE GESTIÓN DE SEGURIDAD, CONTINUIDAD Y PRIVACIDAD DE LA INFORMACIÓN

Esta Política de Seguridad, Continuidad y Privacidad de la Información muestra el compromiso de la Dirección dotando a la organización de recursos, responsabilidades y procedimientos que permitan garantizar el cumplimiento de la normativa vigente, así como la integridad, confidencialidad y disponibilidad de la información y los sistemas, siendo crucial para la seguridad, privacidad y continuidad de nuestra organización, así como la de nuestros clientes.

Grupo MailComms, consciente de que la seguridad, continuidad y privacidad de la información relativa a nuestros clientes es un recurso con gran valor, ha establecido un Sistema de Gestión de la Seguridad, Continuidad y Privacidad de la Información de acuerdo con los requisitos de las normas ISO/IEC 27001, ISO/IEC 27701e ISO 22301 para garantizar la continuidad de los sistemas de información, minimizar los riesgos de daño y asegurar el cumplimiento de los objetivos fijados.

De manera adicional, para el servicio de Entrega Electrónica Certificada, en base a la naturaleza del propio servicio prestado, se han seguido las disposiciones establecidas en el Reglamento Europeo eIDAS que regula los Servicios de Confianza, y concretamente las normas ETSI 319 401 y ETSI 319 521 para Proveedores de Servicios de Entrega Electrónica Certificada que contienen preceptos específicos para la prestación de este tipo de servicio. En este sentido, la Política que regirá este servició será la Declaración de Prácticas del Servicio de Confianza de Entrega Electrónica Certificada (en adelante “DPC”).

Asimismo, en cumplimiento de la normativa europea de ciberseguridad, las entidades que forman parte del Grupo, en su condición de Prestadores Cualificados de Servicios de Confianza, se comprometen a cumplir con la Directiva (UE) 2022/2555 relativa a medidas para garantizar un nivel elevado común de ciberseguridad en toda la Unión, como entidades esenciales de la infraestructura digital europea.

El objetivo de la Política de Seguridad, Continuidad y Privacidad es fijar el marco de actuación necesario para proteger los recursos de información frente a amenazas, internas o externas, deliberadas o accidentales, con el fin de asegurar el cumplimiento de la confidencialidad, integridad y disponibilidad de la información.

La eficacia y aplicación del Sistema de Gestión de la Seguridad, Continuidad y Privacidad de la Información es responsabilidad directa del Comité de la Seguridad y Privacidad de la Información, el cual es responsable de la aprobación, difusión y cumplimiento de la presente Política de Seguridad, Continuidad y Privacidad. En su nombre y representación se ha nombrado un Responsable del Sistema de Gestión de la Seguridad y Privacidad de la Información, que posee la suficiente autoridad para desempeñar un papel activo en el Sistema de Gestión de la Seguridad y Privacidad de la Información, supervisando su implantación, desarrollo y mantenimiento.

Adicionalmente, y para dar cumplimiento a la normativa vigente de protección de datos, se ha nombrado un Delegado de Protección de datos (DPO) con el objeto de garantizar la seguridad y privacidad de los datos de carácter personal, especialmente teniendo en cuenta la actividad de la compañía.

El Comité de Seguridad y Privacidad de la Información procederá a desarrollar y aprobar la metodología de análisis de riesgos utilizada en el Sistema de Gestión de la Seguridad, Continuidad y Privacidad de la Información.

Toda persona cuya actividad pueda, directa o indirectamente, verse afectada por los requisitos del Sistema de Gestión de la Seguridad, Continuidad y Privacidad de la Información, está obligada al cumplimiento estricto de la Política de Seguridad, Continuidad y Privacidad y adicionalmente, para el Servicio de Entrega Electrónica Certificada, deberá cumplir con la DPC.

En Grupo MailComms se implantarán todas las medidas necesarias para cumplir la normativa aplicable en materia de seguridad, continuidad y privacidad en general y de seguridad informática, relativa a la política informática, a la seguridad de edificios e instalaciones y al comportamiento de empleados y terceras personas asociadas con Grupo MailComms en el uso de sistemas informáticos y tratamiento de datos personales. Las medidas necesarias para garantizar la seguridad y privacidad de la información mediante la aplicación de normas, procedimientos y controles deberán permitir asegurar la confidencialidad, integridad, disponibilidad de la información, esenciales para:

• Cumplir con la legislación, reglamentación y normativa vigente en materia de continuidad, privacidad y de los sistemas de información y con todos los requisitos contractuales en materia de protección de datos y servicios electrónicos de confianza, así como los que considere oportuno llevar a cabo con el objetivo de lograr una mejora continua de la organización y del sistema de gestión de seguridad, continuidad y privacidad.
• Asegurar la confidencialidad de los datos gestionados por Grupo MailComms.
• Asegurar la disponibilidad de los sistemas de información, tanto en los servicios ofrecidos a los clientes como en la gestión interna.
• Asegurar la capacidad de respuesta ante situaciones de emergencia, restableciendo el funcionamiento de los servicios críticos en el menor tiempo posible.
• Evitar alteraciones indebidas en la información.
• Promover la concienciación y formación en seguridad, continuidad y privacidad de la información y en materia de servicios electrónicos de confianza.
• Impulsar y participar en conseguir la mejora continua del sistema de gestión de la seguridad continuidad y privacidad de la información y servicios electrónicos de confianza.
• Establecer requisitos técnicos y metodológicos de las medidas de gestión de riesgos en materia de ciberseguridad, identificando los riesgos y corrigiendo las vulnerabilidades detectadas, ciberamenazas e incidentes de ciberseguridad, a fin de evitar la materialización de incidentes que comprometan la continuidad de negocio de Grupo MailComms.
• Actualizar los resultados de la evaluación de riesgos y el plan de tratamiento de riesgos a intervalos planificados y al menos una vez al año, y cuando se produzcan cambios significativos en las operaciones o los riesgos o incidentes significativos.

Las Políticas para la Seguridad y Privacidad de la Información y la DPC deben revisarse a intervalos planificados, como mínimo anualmente y siempre que se produzcan cambios significativos en la organización, a fin de asegurar que se mantenga su idoneidad, adecuación y eficacia.

Versión: 4 | Fecha: 4 de diciembre 2024

ANEXO 2: POLÍTICA DE SEGURIDAD DE REDES Y SISTEMAS DE INFORMACIÓN

La dirección de Grupo MailComms (formado por MAILTECK S.A Y CUSTOMER COMMUNICATIONS TECKNALIA S.L.), en adelante “Grupo MailComms” o, de forma específica, “Mailteck” y/o “CCOMMS”, consciente de la necesidad de promover, mantener y mejorar el enfoque hacia el cliente en todas sus actividades, ha implantado un Sistema de Gestión Integrado (SGI) conforme a varios estándares reconocidos internacionalmente. El objetivo final del SGI es asegurar que entendemos y compartimos las necesidades y metas de nuestros clientes, intentando prestar servicios que cumplan sus expectativas y trabajando en la mejora continua. Grupo MailComms manifiesta expresamente su compromiso de potenciar la Seguridad y Ciberseguridad de la Información, en concreto, de garantizar, entre otros, la seguridad de las redes y los sistemas de información en los que se apoyen los diferentes procesos de negocio de tal manera que refuerce su resiliencia operativa digital, así como, la continuidad y disponibilidad del servicio prestado alineando sus prácticas con la normativa vigente que resulte de aplicación.

En este sentido, Grupo MailComms se compromete a desarrollar las máximas capacidades en materia de ciberseguridad, reduciendo así las amenazas para los sistemas de red y de información utilizados por Grupo MailComms conforme a la normativa europea de ciberseguridad.

Al mismo tiempo se compromete a satisfacer las necesidades y expectativas de las partes interesadas, a mantener alta la competitividad en los servicios y productos para el “Tratamiento automatizado de comunicaciones y transacciones multicanal con clientes, Emisión de documentos en formato electrónico y en papel, así como Certificación electrónica de documentos de seguridad y Servicios de confianza: Servicio Cualificado de Entrega Electrónica Certificada, Contratación y Firma electrónica; Notificaciones y Comunicaciones electrónicas y postales; Identificación y Autenticación electrónica y Archivo digital”.

ROL DE GRUPO MAILCOMMS FRENTE A LA DIRECTIVA (UE) 2022/2555

MAILTECK y CCOMMS, en su condición de Prestadores Cualificados de Servicios de Confianza, se consideran entidades esenciales de la infraestructura digital europea de conformidad con la Directiva (UE) 2022/2555 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, denominada comúnmente como “Directiva NIS 2”, lo que conlleva su condición de sujeto obligado.

Es por eso, que la presente Política se integra en la estrategia de seguridad que persigue Grupo MailComms, con la finalidad de que el uso de las redes y sistemas de información responda al respecto del derecho de las partes interesadas y a la salvaguarda de los más altos estándares de ciberseguridad, teniendo en cuenta las actividades y estructura del Grupo.

Por tanto, Grupo MailComms pasará a ser responsable del cumplimiento de las obligaciones exigidas por esta normativa.

MISIÓN y OBJETIVOS:

• Fomentar la mejora continua de los servicios y soporte al cliente.
• Continuar el posicionamiento de Grupo MailComms como referente en el sector.
• Implantar, mantener y comprobar nuestros mecanismos de continuidad de la actividad para garantizar que la información y los servicios vitales estén a disposición de nuestros clientes cuando sea necesario.
• Proporcionar a los clientes el equipo más profesional y disponer de forma inmediata, y durante el tiempo necesario, de técnicos altamente cualificados, expertos en las disciplinas requeridas y acostumbrados a trabajar en equipo.
• Facilitar los recursos adecuados necesarios para aplicar la presente Política, incluidos el personal, los recursos financieros, los procesos, las herramientas y las tecnologías necesarias.
• Tener una prestación del servicio basada en nuestro compromiso con la mejora continua de nuestros sistemas, con la seguridad, la ciberseguridad y la continuidad de la información como pilar central.
• Impulsar y promocionar una cultura de ciberseguridad entre todos sus profesionales y sujetos obligados por esta Política, ya sea internamente, o entre sus clientes y proveedores.
• Implantar una cultura de seguridad de la información mediante la formación y la sensibilización.

Nuestra misión y objetivos los conseguiremos a través de:

• Un sistema de objetivos, métricas e indicadores de mejora continua, seguimiento, medición de nuestros procesos internos, así como de la satisfacción de nuestros clientes. Estableciendo y supervisando el cumplimiento de los requisitos contractuales para asegurar un servicio eficaz y seguro.
• Integrar dentro del sistema de métricas del SGSI indicadores vinculados al nivel de implantación y de madurez de las medidas de seguridad.
• Formando y concienciando continuamente a nuestro equipo para tener el mayor grado de profesionalidad y especialización posible.
• Teniendo nuestras infraestructuras en un estado adecuado y en concordancia con los requerimientos de nuestros clientes.
• Organización e implantación de los procesos de seguridad.
• Gestión del personal.
• Autorización y control de accesos.
• Seguridad por defecto.
• Integridad y actualización del sistema.
• Protección de la información almacenada y en tránsito.
• Prevención ante otros sistemas de información interconectados.
• Implementando un procedimiento seguro de gestión de adquisición de productos.
• Cumpliendo las exigencias de la legislación vigente, especialmente en materia de Protección de Datos de Carácter Personal: GDPR y LOPDGDD.
• Cumpliendo con las Políticas y Procedimientos definidos en nuestra Documentación de Seguridad.
• Introduciendo los procesos de mejora continua que permitan un avance permanente en nuestra gestión de Seguridad de la Información.
• Gestionando y elaborando planes para la gestión y tratamiento de los riesgos con una metodología de análisis y gestión de riesgos utilizada, basada en estándares.
• Gestionando de manera segura las comunicaciones internas y externas, así como la información almacenada y en tránsito.
• Asegurando la interconexión con otros sistemas de información.
• Gestionando y monitorizando la actividad con la gestión de logs.
• Gestionando diariamente medidas encaminadas a la protección y seguridad de las redes y sistemas de información, diseñando medidas de seguridad robustas, alineadas con las necesidades de las diferentes partes interesadas, así como con la normativa vigente aplicable en la materia, para lo cual, Grupo MailComms aprueba las políticas y/o procedimientos específicos que desarrollan los principios y requisitos básicos de seguridad de las redes y sistemas de información establecidos en la presente Política. El objetivo es identificar los riesgos y corregir las vulnerabilidades detectadas, ciberamenazas e incidentes de ciberseguridad, a fin de evitar la materialización de incidentes que comprometan la continuidad de negocio de Grupo MailComms.
• Definiendo políticas y procedimientos para la gestión de incidentes de seguridad.
• Asegurando la continuidad y disponibilidad del negocio y de los servicios.
• Asegurando que nuestros Activos y Servicios cumplen con las medidas del ENS de Nivel ALTO para las dimensiones de Confidencialidad, Integridad, Disponibilidad, Autenticidad y Trazabilidad.
• Estableciendo, implantando y aplicando procedimientos y/o políticas de seguridad en la cadena de suministro que rijan las relaciones con los proveedores directos y prestadores de servicios y establezca las medidas y controles oportunos con el fin de mitigar los riesgos detectados derivados de estos terceros para la seguridad de las redes y los sistemas de información del Grupo.

Además, estos principios se deberán contemplar en las siguientes áreas de seguridad:

• Física: Comprendiendo la seguridad de las dependencias, instalaciones, sistemas hardware, soportes y cualquier activo de naturaleza física que trate o pueda tratar información, así como los accesos físicos.
• Lógica: Incluyendo los aspectos de protección de aplicaciones, redes, comunicación electrónica, sistemas informáticos y con los accesos lógicos.
• Político-corporativa: Formada por los aspectos de seguridad relativos a la propia organización, a las normas internas, regulaciones y normativa legal.

El objetivo último de la seguridad de la información es asegurar que una organización pueda cumplir sus objetivos utilizando sistemas de información. En las decisiones en materia de seguridad deberán tenerse en cuenta los siguientes principios básicos:

1. Organización e implantación del proceso de seguridad.
2. Análisis y gestión de los riesgos.
3. Gestión de personal.
4. Profesionalidad.
5. Autorización y control de los accesos.
6. Protección de las instalaciones.
7. Adquisición de productos de seguridad y contratación de servicios de seguridad.
8. Mínimo privilegio.
9. Integridad y actualización del sistema.
10. Protección de la información almacenada y en tránsito.
11. Prevención ante otros sistemas de información interconectados.
12. Registro de la actividad y detección de código dañino.
13. Incidentes de seguridad.
14. Continuidad de la actividad.
15. Mejora continua del proceso de seguridad.

Toda la documentación de ciberseguridad que se desarrolle en ejecución de los requisitos establecidos en este punto se gestiona, estructura y conserva conforme a los procedimientos documentados que Grupo MailComms ha desarrollado teniendo en cuenta los estándares y normas técnicas nacionales e internacionales que apliquen en cada caso. Se ha establecido un plazo mínimo de conservación del marco normativo y de las evidencias que sustentan el cumplimiento del mismo en materia de ciberseguridad de 5 años. En el marco del Servicio de Entrega Electrónica Cualificada, las Declaraciones de prácticas (DPCs) y la Declaración final del servicio, se conservarán durante 15 años.

Roles o funciones de seguridad en el marco del ENS:

Responsable de la Información: determinará los requisitos (de seguridad) de la información tratada, según los parámetros del Anexo I del ENS.

• Tiene la responsabilidad última del uso que se haga de la información y, por tanto, de su protección. Es el responsable último de cualquier error o negligencia que conlleve un incidente de confidencialidad o de integridad (en materia de protección de datos) y de disponibilidad (en materia de seguridad de la información).

Responsable del sistema: Determina los requisitos de los servicios prestados.

• Tiene las siguientes funciones:
  • Desarrollar, operar y mantener el sistema de información durante todo su ciclo de vida, incluyendo sus especificaciones, instalación y verificación de su correcto funcionamiento.
  • Definir la topología y la gestión del sistema de información, estableciendo los criterios de uso y los servicios disponibles en el mismo.
  • Cerciorarse de que las medidas de seguridad se integren adecuadamente en el marco general de seguridad.

Responsable de Seguridad de la Información: Determina las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.

• Las dos funciones esenciales del Responsable de la Seguridad son:
  • Mantener la seguridad de la información manejada y de los servicios prestados por los sistemas de información en su ámbito de responsabilidad, de acuerdo con lo establecido en la Política de Seguridad de la Información de la organización.
  • Promover la formación y concienciación en materia de seguridad de la información dentro de su ámbito de responsabilidad.

Responsable del Servicio: Determina los requisitos (de seguridad) de los servicios prestados, según los parámetros del Anexo I del ENS.

• Tiene la potestad de establecer los requisitos del servicio en materia de seguridad. La determinación de los niveles en cada dimensión de seguridad se realiza dentro del marco establecido en el Anexo I del Esquema Nacional de Seguridad estando los criterios de valoración respaldados por la Política de Seguridad.

El Comité de Seguridad y privacidad de la Información (CSPI) de Grupo MailComms, con la finalidad de regular y procedimentar las medidas y políticas de seguridad y privacidad de la información, así como de las normativas orientadas a la adaptación de los sistemas de información a la normativa vigente de protección de datos de carácter personal., tiene entre otras funciones:

• Nombrar al Responsable del SGSPI y aprobar sus funciones.
• Aprobar el inicio de la implantación del SGSPI.
• Revisión y aprobación de la Política de Seguridad y Privacidad.
• Aprobación de la Documentación del Sistema de Seguridad y Privacidad de la Información, así como de nuevas ediciones o modificaciones.
• Seguimiento de la implantación y funcionamiento del Sistema de Seguridad y Privacidad de la Información.
• Análisis de reclamaciones planteadas por los clientes
• Evaluar de forma periódica el grado de exposición a riesgos que afecten a los sistemas de información y tratamientos de datos personales de Grupo Mailcomms.

Componen el CSPI:

• Director General.
• Director Tecnología.
• Director de Operaciones IT.
• Director de Operaciones Printing
• Director Financiero, RRHH y Jurídico
• Director Comercial MailComms
• Director de Técnico
• Director de Marketing
• Director de Mercado Internacional
• Responsable del SGSPI

Considerando estas pautas, esta dirección reitera su más firme compromiso aunando esfuerzos para el logro de estos objetivos, por lo que esta política es entendida, implantada y mantenida al día en todos los niveles de la organización.

Estructuración de la documentación de seguridad del sistema

La documentación del sistema sigue la siguiente estructura:

La clasificación de la información del sistema se clasifica en las siguientes categorías, tal y como se establece en los procedimientos PE-SGSPI 01-ERDS_Elaboración y control de la Documentación:

• Uso Público
• Uso Interno
• Confidencial

Legislación aplicable en materia de tratamiento de datos de carácter personal

En materia de tratamiento de datos de carácter personal se tendrá en cuenta, principalmente, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE y la legislación nacional correspondiente.

El marco legal y regulatorio aplicable se encuentran recogido en el documento RE01-PE_SGSPI18 Normativa y Legislación Aplicable

Seguimiento, aprobación, publicación y revisión

El CSPI debe aprobar las Políticas de Seguridad, Ciberseguridad, Continuidad y Privacidad de la entidad, publicarlas y/o distribuirlas a todos sus empleados, así como a terceras partes que puedan verse involucrados en la implementación de los sistemas de información.

El responsable del SGSPI, y el responsable del Servicio correspondiente, en lo que respecta a las políticas específicas de cada servicio, se encargarán de hacerlas públicas o, en su caso, comunicarlas y mantenerlas siempre en los sistemas de Grupo MailComms.

Las Políticas para la Seguridad, Ciberseguridad, Continuidad y Privacidad de la Información y las políticas específicas de cada servicio deben revisarse a intervalos planificados, como mínimo anualmente y siempre que se produzcan cambios significativos en la organización, a fin de asegurar que se mantenga su idoneidad, adecuación y eficacia.

El listado de Políticas aplicables en el marco del ENS y SGSPI-ERDS se encuentra en el documento “RE01-PE SGSPI-ERDS 01 Listado de documentos y registros del SGSPI-ERDS”.

Por otro lado, el listado de Políticas aplicables en el marco de ERDS:

• Declaración de Prácticas del Servicio de Confianza de Entrega Electrónica Certificada de Mailteck.
• Declaración de Prácticas del Servicio de Confianza de Entrega Electrónica Certificada de Customer Comms.
• Anexo I Política SGSPI-ERDS.

¹ Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a medidas para un nivel elevado común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.º 910/2014 y la Directiva (UE) 2018/1972 y se deroga la Directiva 2016/1148.

MARCO LEGAL: Real Decreto 311/2022, de 3 de mayo, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica