INTEGRACIÓN AGENCIA DE VIAJES S.A., en adelante IAG7 VIAJES, es una empresa dedicada a la prestación de servicios de viajes, congresos, convenciones & Incentivos a empresas. 

Estamos orientados a ramas bien diferenciadas: 

-> Los viajes de empresa: Corporate Business Travel 

-> Los viajes de incentivos y congresos: MICE

-> Los viajes para particulares: Leisure Travel 

-> Un consolidador aéreo: Cogeloalvuelo 

-> Y el desarrollo de producto propio: Mayorista 

La información es fundamental para la toma de decisiones eficientes de nuestros servicios y la toma de decisiones, por eso existe un compromiso de la Dirección de IAG7 Viajes para mejorar el Sistema de Gestión de Seguridad de la Información y proteger sus propiedades más significativas como estrategia para la continuidad del negocio, la administración de riesgos y la consolidación de una cultura de seguridad.

Nuestro objetivo es proteger los recursos de información de IAG7 Viajes y la tecnología utilizada para su procesamiento frente a amenazas internas o externas, deliberadas o accidentales, con el fin de asegurar la confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad de la información y siempre de acuerdo con los criterios de aceptación del riesgo.

­

Misión y marco legal y regulatorio 

El Real Decreto 311/2022, de 8 de enero que regula el Esquema Nacional de Seguridad (ENS) nos obliga a proteger los servicios que prestamos a nuestras partes interesadas. Con la implantación de un SGSI bajo la Norma UNE ISO/IEC 27001 integrado con el ENS de categoría MEDIA conforme a los criterios establecidos en el anexo I del RD 311/2022, y la aplicación de los requisitos descritos en las Guías e Instrucciones Técnicas del CCN, se fortalece la seguridad de nuestros servicios, así como de la información y datos que incluyen y que son necesarios para su correcta y adecuada prestación.

IAG7 Viajes trata determinados datos de carácter personal que deberán registrarse y mantenerse actualizados mediante del documento “Registro de Actividades de Tratamiento” con el objeto de facilitar el control, la gestión y la protección de los derechos aplicando medidas de seguridad específicas para cumplir con el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos), equivalente a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales, que se creó para facilitar la aplicación y cumplimiento en España.

­

La normativa aplicable a la organización es la siguiente: 

-> REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

-> Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

-> Real Decreto Legislativo 1/1996, de 12 de abril, Ley de Propiedad Intelectual.

-> Ley 2/2019, de 1 de marzo, por la que se modifica el texto refundido de la Ley de Propiedad Intelectual, aprobado por el Real Decreto Legislativo 1/1996, de 12 de abril, y por el que se incorporan al ordenamiento jurídico español la Directiva 2014/26/UE del Parlamento Europeo y del Consejo, de 26 de febrero de 2014, y la Directiva (UE) 2017/1564 del Parlamento Europeo y del Consejo, de 13 de septiembre de 2017.

-> Real Decreto 311/2022, de 3 de Mayo, por el que se regula el Esquema Nacional de Seguridad. En especial IAG7 viajes se compromete a cumplir con los principios de básicos de: I capítulo II, que comprende los artículos 5 a 11, regula los principios básicos que deben regir el ENS y que enumera en su artículo 5: seguridad integral; gestión de la seguridad basada en los riesgos; prevención, detección, respuesta y conservación; existencia de líneas de defensa; vigilancia continua y reevaluación periódica; y diferenciación de responsabilidades.

-> Ley 34/2002 de 11 de julio de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI).

-> Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

-> Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

-> Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica.

-> Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad.

-> Resolución de 7 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de Informe del Estado de la Seguridad.

-> Resolución de 27 de marzo de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas de Información.

-> Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza.

-> El Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014 (enlace a https://www.boe.es/doue/2014/257/L00073-pdf), relativo a la identificación electrónica y los servicios de confianza en las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (reglamento eIDAS).

-> Ley 37/2007, de 16 de noviembre, sobre reutilización de la información del sector público.

-> Real Decreto 1553/2005, de 23 de diciembre, por el que se regula el documento nacional de identidad y sus certificados de firma electrónica.

-> Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.

-> Real Decreto 1494/2007, de 12 de noviembre, por el que se aprueba el

-> Reglamento sobre las condiciones básicas para el acceso de las personas con discapacidad a las tecnologías, productos y servicios relacionados con la sociedad de la información y medios de comunicación social.

-> Ley 9/2014, de 9 de mayo, General de Telecomunicaciones (Vigente en los apartados señalados en la Disposición Derogatoria Única de la Ley 11/2022, de 28 de junio.

El SGSI/ENS de IAG7 Viajes se mantendrá cumpliendo y respetando la Ley de Propiedad Intelectual en lo que se refiere al uso del software, así como el resto de las normativas aplicables recogidas en el documento “Marco Normativo”.

­

Liderazgo y compromiso de la Dirección 

La Dirección de IAG7 Viajes se compromete a facilitar y proporcionar los recursos necesarios para el establecimiento, implantación, mantenimiento y mejora del SGSI/ENS de la entidad, así como a demostrar su liderazgo y compromiso a través de la constitución del Comité de Seguridad.

Esta política es entendida, implantada y mantenida al día en todos los niveles de la empresa y cuenta con el total compromiso y apoyo de la Dirección de IAG7 Viajes, quien la establece, desarrolla y aplica por medio del Sistema de Gestión de la Seguridad de la Información implantado, según la norma internacional UNE‐ISO IEC27001 y el R.D. 311/2022 del Esquema Nacional de Seguridad.

Objetivos de seguridad de la información 

Se establecerán en las funciones y niveles pertinentes, enfocados a la mejora y utilizando como marco de referencia: 

-> Administración de la seguridad de la información dentro de la organización y establecimiento de un marco para controlar su implementación. 

-> Clasificación y control de activos destinado a mantener una adecuada protección de estos. 

-> Seguridad del personal, reduciendo los riesgos del error humano, comisión de ilícitos contra la organización o uso inadecuado de las instalaciones. 

-> Seguridad física y lógica destinada a impedir accesos no autorizados, daños e interferencia a las sedes e información de la empresa. 

->Gestión de las comunicaciones y las operaciones para garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información y medios de comunicación.

-> Gestión y monitorización de los controles de acceso, orientados a controlar el acceso lógico a la información. 

-> Administrar y asegurar la continuidad de las actividades de IAG7 Viajes, contrarrestando las interrupciones de las actividades y protegiendo los procesos críticos de los efectos de fallos significativos o desastres. 

-> Cumplimiento de la ley vigente impidiendo infracciones y violaciones de estas. 

 ­

Establecimiento, implantación, mantenimiento y mejora del SGSI/ENS y directrices para la gestión de la documentación 

El despliegue del SGSI/ENS de IAG7 Viajes se realiza a partir del “Mapa de Riesgos de Seguridad”, que permite determinar el nivel de seguridad requerido por la organización e identificar los controles necesarios para el tratamiento del riesgo y llevarlo a un nivel aceptable, conforme al Anexo I del RD 311/2022 y al Anexo A de la norma ISO 27001.  Los controles de seguridad deberán implantarse, mantenerse y mejorarse continuamente y estar disponibles como información documentada que deberá ser revisada y aprobada por el Comité de Seguridad de la Información en representación de la Dirección General.

La información documentada será clasificada en: Pública, Interna y Confidencial, dando el uso adecuado de acuerdo con dicha clasificación y según el criterio que se establezca en el Procedimiento de Clasificación y Etiquetado de la Información. Se deberá comunicar la información documentada de los controles de seguridad al personal que trabaja en la entidad (personal interno y externo) que tendrá la obligación de aplicarla en la realización de sus actividades laborales.

En cumplimiento del artículo 12 del Real Decreto del ENS, la presente Política de Seguridad se desarrollará aplicando los siguientes requisitos mínimos e incluirse en la documentación del sistema:

-> Organización e implantación del proceso de seguridad.  

-> Análisis y gestión de los riesgos.  

-> Gestión de personal. 

-> Profesionalidad.  

-> Autorización y control de los accesos.  

-> Protección de las instalaciones.  

-> Adquisición de productos.  

-> Seguridad por defecto.  

-> Integridad y actualización del sistema.  

-> Protección de la información almacenada y en tránsito.  

-> Prevención ante otros sistemas de información interconectados.  

-> Registro de actividad.  

-> Incidentes de seguridad.  

-> Continuidad de la actividad.  

-> Mejora continua del proceso de seguridad.  

Se realizarán auditorías que revisen y verifiquen el cumplimiento del SGSI/ENS de IAG7 Viajes con los requisitos de la Norma ISO/IEC 27001 para el SGSI y con el Real Decreto 311/2022, de 8 de enero que regula el Esquema Nacional de Seguridad, por lo que el personal afectado por el alcance de dichas auditorías deberá ser colaborativo para la eficacia de estas, así como en la aplicación de las acciones correctivas que se deriven para el mejoramiento continuo.

­

Nuestro sistema de gestión tiene la siguiente estructura: Política de Seguridad, normativas y procedimientos internos y registros.  

La gestión de nuestro sistema se encomienda al responsable de la información. 

­

Funciones y responsabilidades de seguridad de la información 

El Comité de Seguridad de la Información procederá a revisar y a proponer la aprobación de la presente Política de Seguridad de la Información a la Dirección General, que es la Responsable de la Información.

Además, el Comité de Seguridad centralizará los mecanismos de coordinación y resolución de conflictos entre los responsables que se indican a continuación, que se tratarán mediante debate durante las reuniones de los miembros de dicho Comité y que serán moderados por la Dirección General:

 

-> El Comité de Seguridad, en representación de la Dirección General, será el órgano encargado de aprobar la Política y será la responsable de la autorización de sus modificaciones, así como de toda la información documentada del SGSI/ENS de la entidad. ­

-> El Responsable de Seguridad de la Información será el encargado de notificar la presente Política al personal de la entidad y de los cambios que en ella se produzcan, así como de coordinar las acciones de implantación, mantenimiento y mejora del SGSI/ENS de la entidad (incluyendo la firma de la Declaración de Aplicabilidad que formaliza la relación de medidas de seguridad aplicables derivadas del Análisis de Riesgos), y de sus auditorías, con el Responsable de Sistemas que se encargará de gestionar los requisitos técnicos de seguridad de los sistemas de información, y con el Responsable del Servicio, cuya figura recae en los directores de las áreas de la entidad, que se encargará de gestionar los requisitos de seguridad de las actividades de su área para la prestación de los servicios.

-> El Responsable de cada información y/o del servicio afectado por el análisis y gestión de riesgos se indicará en el Mapa de Riesgos del SGSI/ENS que recogerá los criterios que determinarán el nivel de seguridad requerido, dentro del marco establecido en el artículo 40 y los criterios generales prescritos en el Anexo I del Real Decreto del ENS.

-> El Responsable de Protección de Datos en colaboración con el Comité Seguridad se compromete a tratar los riesgos derivados del tratamiento de los datos de carácter personal y por tanto será el encargado de garantizar que los datos personales se tratan y se protegen conforme al Reglamento General de Protección de Datos (RGPD UE 2016/679), por lo que trabajará en coordinación con el Responsable de Seguridad de la Información y con el Responsable de Sistemas.­

-> Todo el personal de la organización, tanto interno como externo, será responsable de cumplir con la presente Política de Seguridad de la Información dentro de su área de trabajo, así como de aplicar toda la información documentada de los controles y medidas de seguridad del SGSI/ENS de IAG7 Viajes en sus actividades laborales que afecta a su desempeño en seguridad de la información. ­

­

Revisión de la Política de Seguridad de la información  

La presente Política de Seguridad de la Información será examinada en las revisiones del sistema por la Dirección a través del Comité de Seguridad de la Información siempre que se produzcan cambios significativos y, como mínimo, una vez al año.

Aprobación, difusión y aplicación de la Política de Seguridad de la Información 

La presente Política de Seguridad de la Información será aprobada por la Dirección General de IAG7 Viajes mediante firma y difundida a las partes interesadas.

Así mismo, la Dirección General dotará de los recursos necesarios para la aplicación efectiva de esta política, y para su buen desarrollo, tanto en las actividades de implantación.

Estructura documental y acceso a la información 

IAG7 Viajes dispone del deber de estructurar nuestro sistema de gestión de forma que sea fácil de comprender. Nuestro sistema de gestión tiene la siguiente estructura: POLÍTICAS, PROCEDIMIENTOS Y REGISTROS.

La gestión de nuestro sistema se encomienda al responsable de la información y el sistema estará disponible en nuestro sistema de información en un repositorio, al cual se puede acceder según los perfiles de acceso concedidos según nuestro procedimiento en vigor de gestión de los accesos.

 

Resolución de conflictos 

Las diferencias de criterios que pudiesen derivar en un conflicto se tratarán en el seno del Comité de Seguridad y prevalecerá en todo caso el criterio de la Dirección General.