Ximenez Política de segurança

Política de segurança

Política de segurança

1. OBJETIVO

A ILUMINACIONES XIMÉNEZ, S.A.U. (doravante Iluminaciones Ximénez) considera a informação um ativo essencial para o adequado desempenho de suas funções. Grande parte das informações armazenadas nos sistemas de entidades públicas e privadas, bem como os serviços que prestam, constituem ativos estratégicos nacionais. As informações e os serviços prestados estão sujeitos a ameaças e riscos derivados de ações maliciosas ou ilícitas, erros ou falhas, além de acidentes ou desastres.

Com o compromisso de garantir que os serviços disponibilizados por meios eletrônicos sejam oferecidos com o maior nível de segurança, Iluminaciones Ximénez desenvolve e aprova a presente Política de Segurança da Informação, aplicando as medidas mínimas exigidas pelo Esquema Nacional de Segurança (ENS), relativas a:

A. Organização e implementação do processo de segurança.

B. Análise e gestão de riscos.

C. Gestão de pessoal.

D. Profissionalismo.

E. Autorização e controlo de acessos.

F. Proteção das instalações.

G. Aquisição de produtos de segurança e contratação de serviços de segurança.

H. Mínimo privilégio.

I. Integridade e atualização do sistema.

J. Proteção da informação armazenada e em trânsito.

K. Prevenção relativa a outros sistemas interconectados.

L. Registo de atividade e deteção de código malicioso.

M. Incidentes de segurança.

N. Continuidade de negócio.

O. Melhoria contínua do processo de segurança.

Cada área deve garantir que a segurança da informação é parte essencial dos serviços prestados por Iluminaciones Ximénez e proteger essas informações durante todo o seu ciclo de vida (coleta, transporte, tratamento, armazenamento e eliminação). As áreas devem estar preparadas para prevenir, detetar, reagir e recuperar-se de incidentes, assegurando a continuidade dos serviços com níveis adequados de qualidade e segurança.

Esta Política de Segurança garante o compromisso da Direção na sua divulgação, consolidação e cumprimento.

2. ÂMBITO DE APLICAÇÃO

Esta Política de Segurança aplica-se a todas as áreas, serviços e colaboradores, internos ou externos, de Iluminaciones Ximénez, independentemente do nível hierárquico. Aplica-se igualmente a todos os sistemas de informação e infraestruturas de comunicação utilizados no exercício das funções da organização.

Através desta política, a organização demonstra o seu compromisso em estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança em conformidade com os princípios do artigo 5 do Real Decreto 311/2022:

• Compreender a segurança como um processo integral.

• Gerir a segurança com base nos riscos.

• Monitorizar e controlar continuamente os eventos de segurança para garantir prevenção, deteção, resposta e preservação.

• Estabelecer mecanismos de defesa.

• Avaliar periodicamente o estado da segurança.

• Assegurar uma clara diferenciação de responsabilidades.

3. MISSÃO E OBJETIVOS

Iluminaciones Ximénez, no cumprimento das funções e competências que lhe foram atribuídas, disponibiliza aos utilizadores os serviços necessários para satisfazer as necessidades da entidade, dos seus utilizadores e clientes. Para apoiar a sua missão, utiliza tecnologias adequadas e promove a relação eletrónica com os utilizadores, garantindo a confiança através de um sistema integral de segurança da informação que abrange toda a organização.

Estes sistemas têm como finalidade garantir a qualidade da informação e a continuidade dos serviços, atuando preventivamente, supervisionando a atividade diária e reagindo rapidamente aos incidentes. São definidos como objetivos gerais:

1. Dispor dos controlos necessários para cumprir os requisitos legais aplicáveis, especialmente relativos à proteção de dados pessoais e aos serviços eletrónicos.

2. Garantir o acesso, a integridade, a confidencialidade, a disponibilidade, a autenticidade e a rastreabilidade da informação, bem como a continuidade dos serviços.

3. Proteger os recursos de informação e as tecnologias usadas contra ameaças internas ou externas, deliberadas ou acidentais.

4. Inspirar confiança aos utilizadores, protegendo a sua informação durante todo o ciclo de vida.

5. Fomentar a melhoria contínua dos processos, procedimentos, produtos e serviços de segurança.

6. Garantir a continuidade de negócio mediante planos de contingência para serviços críticos.

7. Sensibilizar, formar e motivar o pessoal em matéria de segurança da informação.

4. QUADRO NORMATIVO

O quadro normativo aplicável inclui principalmente:

• Real Decreto 311/2022, de 3 de maio, que regula o Esquema Nacional de Segurança.

• Lei Orgânica 3/2018, de 5 de dezembro, de Proteção de Dados Pessoais e garantia dos direitos digitais.

• Regulamento (UE) 2016/679 (RGPD).

Incluem-se igualmente outras normas estatais e regionais relacionadas com segurança da informação, serviços prestados e proteção de dados pessoais.

A manutenção deste quadro compete ao Responsável pela Segurança da Informação ou pessoa delegada, integrando também as guias de segurança do CCN aplicáveis.

5. ORGANIZAÇÃO DA SEGURANÇA

Para gerir e coordenar proativamente a segurança, é criado o COMITÉ DE SEGURANÇA DA INFORMAÇÃO, composto pelos seguintes papéis:

a. RESPONSÁVEL PELA INFORMAÇÃO

Define os requisitos da informação e assume a responsabilidade final pela sua utilização e proteção.

Informa sobre o estado da segurança e pode convocar reuniões do Comité.

b. RESPONSÁVEL PELO SERVIÇO

Define os requisitos dos serviços prestados e seus níveis de segurança.

Garante o cumprimento das normas e informa o Responsável pela Informação.

c. RESPONSÁVEL PELA SEGURANÇA

Determina as medidas necessárias para satisfazer os requisitos de segurança, supervisionando a sua implementação.

Entre as suas funções: análise de riscos, declaração de aplicabilidade, documentação, relatórios, planos de formação, continuidade, atuação e melhoria.

Este papel deve ser diferente do Responsável pelo Sistema.

d. RESPONSÁVEL PELO SISTEMA

Implementa a segurança nos sistemas de informação, supervisiona a operação diária e realiza testes de continuidade.

Pode suspender temporariamente um serviço em caso de falhas graves de segurança, com acordo dos papéis implicados.

f. SECRETÁRIO DO COMITÉ

Responsável pela redação das atas (função desempenhada pelo Responsável pela Segurança).

g. ENCARREGADO DE PROTEÇÃO DE DADOS (DPO)

Garante o cumprimento dos direitos dos titulares dos dados.

Nomeação e funcionamento

Os membros do Comité são nomeados pela Direção.

Os papéis são revistos a cada três anos ou quando haja vagas.

Conflitos não resolvidos serão remetidos à Direção.

5.1. FUNÇÕES DO COMITÉ DE SEGURANÇA

• Compliance relativo ao tratamento de dados pessoais.

• Informar regularmente a Direção.

• Promover a melhoria contínua.

• Definir a estratégia de segurança.

• Coordenar as áreas da organização.

• Redigir e rever a Política de Segurança.

• Aprovar normas e procedimentos.

• Avaliar riscos.

• Definir requisitos de formação.

• Monitorizar riscos residuais e incidentes.

• Promover auditorias periódicas.

• Priorizar ações.

• Garantir a segurança dos projetos TIC.

• Resolver conflitos de responsabilidade.

• Aprovar planos de melhoria após incidentes.

6. DESENVOLVIMENTO DA POLÍTICA

O Comité aprovou um sistema de gestão alinhado com os padrões de segurança e controlos do ENS, totalmente documentado.

A documentação será acessível a colaboradores, fornecedores e subcontratados conforme necessário.

7. SENSIBILIZAÇÃO

Iluminaciones Ximénez implementará mecanismos para garantir que todo o pessoal seja informado, formado e sensibilizado sobre segurança e privacidade.

Todo o pessoal deve conhecer e cumprir esta Política e a documentação associada.

8. GESTÃO DE RISCOS

Serão realizadas análises de risco periódicas e sempre que houver alterações significativas, em conformidade com o ENS.

O Comité analisará os resultados e determinará as medidas necessárias.

9. PROTEÇÃO DE DADOS PESSOAIS

A entidade apenas recolherá dados adequados, pertinentes e não excessivos.

Serão aplicadas medidas técnicas e organizacionais exigidas pela legislação e pelo ENS.

10. TERCEIROS

Quando a entidade prestar serviços ou tratar informações de terceiros, estes serão informados da Política e dos mecanismos de coordenação e gestão de incidentes.

Os fornecedores deverão cumprir o ENS e permitir auditorias.

Se existirem riscos não cobertos, será necessário um relatório prévio à contratação.

Sistemas de inteligência artificial serão avaliados pelos responsáveis envolvidos e pelo DPO.

11. GESTÃO DE INCIDENTES DE SEGURANÇA

A entidade disporá de um procedimento ágil e integrado com outras obrigações legais (como o RGPD) para gerir e comunicar incidentes de segurança.

12. APROVAÇÃO E REVISÃO

Esta Política pode ser modificada por proposta do Comité, em função de necessidades técnicas, legais ou organizacionais.

A Política é aprovada pela Direção e será revista, no mínimo, anualmente.

Puente Genil, 4 de novembro de 2025

/