Contáctanos

Política de Seguridad de la Información de UNIFIT

Última actualización enero 2026

Objetivos de seguridad de la información

Seduni Torcar S.L. establece, a través del compromiso de la Alta Dirección, los siguientes objetivos estratégicos como marco para el Sistema de Gestión de la Seguridad de la Información (SGSI), en conformidad con la norma ISO/IEC 27001.
La organización deberá proteger sus activos de información contra amenazas que puedan comprometer su confidencialidad, integridad y disponibilidad.

  • Confidencialidad: Se deberá garantizar que la información sea accesible únicamente por el personal y los sistemas autorizados.
  • Integridad: Se deberá salvaguardar la exactitud y completitud de la información y sus métodos de procesamiento, previniendo modificaciones no autorizadas.
  • Disponibilidad: Se deberá asegurar que los usuarios autorizados tengan acceso a la información y a los activos asociados cuando así lo requieran.

Para alcanzar estos objetivos, la organización se compromete a:

  • Implementar y mantener un SGSI basado en un enfoque de gestión de riesgos, conforme a lo descrito en el «PRO Procedimiento de gestión de riesgos«.
  • Cumplir con todos los requisitos legales, regulatorios y contractuales aplicables a la seguridad de la información.
  • Fomentar una cultura de seguridad en la que todo el personal comparta la responsabilidad de proteger la información.
  • Promover la mejora continua del SGSI a través de la definición y seguimiento de metas específicas, gestionadas mediante el «PRO Objetivos y planificación para su consecución«.

El CEO & Founder es el máximo responsable de asegurar que estos objetivos se integren en los procesos de negocio y cuenten con los recursos necesarios para su consecución.

Principios fundamentales de seguridad de la información

Enfoque basado en riesgos:

  • La seguridad se gestiona mediante la identificación, evaluación y tratamiento de riesgos, asegurando que los controles sean proporcionales al impacto.

Responsabilidad compartida:

  • La seguridad de la información es responsabilidad de toda la organización, incluyendo dirección, empleados y terceros.

Cumplimiento normativo:

  • La organización cumplirá con todos los requisitos legales, regulatorios y contractuales aplicables.

Gobernanza y revisión de la Política

Esta política es el documento de más alto nivel del SGSI. Su gestión se rige por los siguientes
principios:

  • El CEO & Founder deberá aprobar la presente política y cualquier modificación sustancial a la misma.

  • El Responsable de Gestión ISO 27001 Y 9001 será responsable de su publicación, comunicación a todo el personal y partes interesadas pertinentes, y de su mantenimiento.
  • La política deberá ser revisada anualmente en el marco del proceso de revisión por la dirección, detallado en el «PRO Gestión de revisión por la dirección», o siempre que ocurran cambios significativos en el contexto de la organización o en el entorno de riesgos.
  • Todo el personal deberá confirmar la lectura y comprensión de esta política.
  • La gestión documental de esta política se realizará de acuerdo con el «PRO Procedimiento de gestión de información documentada«.

Uso aceptable de los activos

  • Todos los activos de información, incluyendo hardware, software, datos y servicios en la nube, son propiedad de Seduni Torcar S.L. y deberán utilizarse exclusivamente para fines empresariales autorizados.
  • Las reglas específicas que rigen el comportamiento del personal se detallan en la «POL Política de seguridad operativa» y en el «Código de conducta».
  • El acceso a la información y a los sistemas se concederá siguiendo el principio de mínimo privilegio, basándose en las funciones y responsabilidades definidas en el «PRO Procedimiento de roles y responsabilidades«.
  • Todo el personal deberá aceptar formalmente su responsabilidad sobre los activos asignados mediante la firma del «MOD Formulario de asignación de bienes«, comprometiéndose a cumplir con las políticas de uso aceptable.

Notificación de eventos de seguridad

  • Todo el personal y los colaboradores externos tienen la obligación de informar de manera inmediata sobre cualquier evento de seguridad de la información, real o sospechado, así como de cualquier vulnerabilidad identificada.
  • El canal principal para la notificación de incidentes es el definido en el «PRO Procedimiento de gestión de incidentes de la seguridad de la información«.
  • Para situaciones que requieran atención urgente, como las descritas en los protocolos de teletrabajo, se deberá notificar al CEO & Founder en un plazo máximo de 24 horas desde su conocimiento.
  • El Responsable de Gestión ISO 27001 Y 9001 deberá asegurar que todos los eventos reportados se registren y gestionen conforme al «PRO Procedimiento de gestión de
    hallazgos y eventos«.

Política de escritorio y pantalla limpios

  • El personal deberá asegurarse de que la información sensible, tanto en formato físico como digital, no quede expuesta a personal no autorizado.
  • Las estaciones de trabajo y los dispositivos móviles deberán ser bloqueados siempre que el usuario se ausente de ellos.
  • Se deberá configurar el bloqueo automático de pantalla en todos los dispositivos corporativos tras un breve periodo de inactividad.
  • Al finalizar la jornada laboral, los documentos físicos que contengan información sensible deberán ser guardados en un lugar seguro y cerrado.

Seguridad de Activos Fuera de las Instalaciones

  • Los activos de la empresa utilizados fuera de las oficinas, incluido el equipamiento para teletrabajo, deberán protegerse con un nivel de seguridad equivalente al aplicado en las instalaciones de la organización.
  • Cada empleado es responsable de la custodia y protección física de los activos que le han sido asignados, previniendo su robo, pérdida o daño.
  • El trabajo remoto y el uso de dispositivos fuera del perímetro físico de la empresa se regulan en la»POL Política de seguridad operativa» y en los acuerdos de teletrabajo.
  • Está prohibido conectarse a redes Wi-Fi públicas o no confiables para acceder a información corporativa, a menos que se utilice una conexión segura y cifrada aprobada por la organización. La protección de los activos fuera de las instalaciones se detalla en el «PRO Procedimiento de seguridad física y ambiental«.