Calidad y seguridad
Gestión holística de la calidad y la seguridad de la información
La calidad y la seguridad son primordiales para nosotros. Porque su confianza es importante para nosotros y nos esforzamos por alcanzar un alto nivel de seguridad, hemos obtenido la certificación DIN EN ISO/IEC 27001.
Sistema de gestión certificado
Projektron cuenta con un sistema de gestión integrado que abarca medidas exhaustivas de calidad y seguridad de la información. Desde 2008, aplicamos un sistema de gestión de la calidad basado en la norma ISO 9001, que abarca toda la cadena de valor y el ciclo de vida del producto: desde la idea del producto hasta el desarrollo, las pruebas, la documentación, la puesta en servicio en las instalaciones del cliente y la asistencia al cliente. En 2017, también implantamos un sistema de gestión de la seguridad de la información (SGSI) conforme a la norma ISO 27001.
A principios de 2018, recibimos la certificación ISO 27001 de TÜV SÜD y renovamos la certificación conforme a DIN EN ISO/IEC 27001:2017 en 2021. En 2024, obtuvimos la certificación ISO/IEC 27001:2013 de TÜV Rheinland, que cubre el funcionamiento del desarrollo, el soporte, los servicios de TI y la administración interna de TI. Nos esforzamos por ser una empresa excelente según el modelo EFQM y tenemos previsto obtener la certificación ISO 9001.
Los objetivos generales de la seguridad de la información se aplican en todos los ámbitos de la empresa:
|
|
|
Nuestros sistemas de gestión incluyen todas las normativas y directrices pertinentes en materia de protección de datos, protección de la salud, protección del medio ambiente, salud y seguridad en el trabajo, protección contra incendios y seguridad de la información. El SGSI ha anclado la seguridad de la información en la organización de la empresa y ha establecido procesos importantes como la gestión de riesgos.
Medidas organizativas para la seguridad de la información
Formación y perfeccionamiento de los empleadosTodos los empleados son sensibilizados y formados periódicamente en materia de seguridad de la información. Esta formación les sirve para refrescar y actualizar sus conocimientos sobre temas de actualidad. Los nuevos empleados reciben la formación adecuada durante su iniciación. Además, los empleados reciben formación en función de sus necesidades para concienciarlos sobre los objetivos y riesgos de la seguridad de la información. | |
Gestión de emergencias y auditorías de sistemasPara poder reaccionar rápidamente ante incidentes de seguridad y limitar los daños potenciales, se han desarrollado conceptos de gestión de emergencias que se recogen en manuales de emergencia. Además, se realizan auditorías anuales de los sistemas para garantizar una evaluación estructurada de la seguridad de todos los servicios informáticos. Aquí se hace hincapié en la evaluación de riesgos, los derechos de acceso y el cifrado. | |
Protección de datos y gestión de la seguridad de la informaciónProjektron utiliza un sistema de gestión de protección de datos (DSMS) de acuerdo con el Reglamento General de Protección de Datos de la UE (GDPR de la UE). Un equipo especial formado por responsables del SGSI trabaja activamente en la seguridad de la información y los procesos asociados. Este equipo garantiza el cumplimiento de los objetivos de seguridad de forma permanente. Además, se ha creado en la empresa un equipo de expertos que se ocupa de la seguridad informática actual y de la seguridad en desarrollo. |
Máxima seguridad: procedimiento de ensayo TISAX® superado
La Asociación ENX apoya la aceptación común de las evaluaciones de seguridad de la información en la industria del automóvil con TISAX (Trusted Information Security Assessment Exchange) en nombre de la VDA. Las evaluaciones TISAX son llevadas a cabo por proveedores de servicios de evaluación acreditados que aportan pruebas de sus cualificaciones a intervalos regulares. Los resultados de las evaluaciones TISAX y TISAX no están destinados al público en general.
Projektron GmbH concede gran importancia a la confidencialidad, disponibilidad e integridad de la información. Hemos tomado amplias medidas para proteger la información sensible y confidencial. Por ello, seguimos el catálogo de preguntas sobre seguridad de la información publicado por la Asociación Alemana de la Industria del Automóvil (VDA ISA). La auditoría ha sido realizada por un proveedor de servicios de auditoría, en este caso el proveedor de servicios de auditoría TISAX TÜV SÜD Management Service GmbH. El resultado sólo está disponible a través del portal ENX.
Gestión de calidad
Los deseos y requisitos de los clientes en relación con Projektron BCS y nuestros servicios se registran y analizan sistemáticamente, de modo que los requisitos de calidad de nuestros clientes en el tamaño y el sector respectivos se cumplen plenamente a su satisfacción. El registro y el análisis periódicos sirven de punto de partida para la mejora continua de nuestros productos, servicios y de nuestra empresa en su conjunto. De este modo, seguimos desarrollándonos como una organización que aprende.
Administración de TI
La seguridad de la información también es una preocupación importante para nuestra administración informática interna. Nos orientamos al estado de la técnica para asegurar nuestros sistemas y seguir asegurándolos.
Nuestras medidas para asegurar nuestros sistemas en la administración informática
Distribución centralizada de software y seguridad de los terminales | ||||
Distribución centralizada de softwareEl software necesario se despliega de forma centralizada en los ordenadores de la empresa y se mantiene actualizado. | Software antivirus y antimalwareLos programas antivirus y antimalware de uso constante en todos los dispositivos finales se actualizan periódicamente. | |||
Gestión de parchesLas actualizaciones de seguridad y los parches para sistemas operativos y aplicaciones se aplican con regularidad. | ||||
Seguridad de la red y del perímetro | ||||
Tecnología de red redundanteLa línea de Internet, el cortafuegos y los conmutadores centrales son redundantes. | CortafuegosSe utilizan cortafuegos para controlar el tráfico de datos. | |||
Segmentación de redesLas redes se separan en diferentes segmentos para restringir el acceso a los sistemas críticos y evitar la propagación de ataques. | VPNLos empleados disponen de acceso VPN para trabajar en movilidad. Las VPN se utilizan para el acceso remoto seguro a los sistemas internos. | |||
Supervisión / control de seguridad | ||||
| Los servicios internos se supervisan permanentemente para garantizar su disponibilidad y poder reaccionar rápidamente en caso de problemas. | ||||
Controles de acceso y autenticación | ||||
Principio del menor privilegioLos derechos de acceso se conceden según el principio de autorización mínima, para que los usuarios sólo puedan acceder a los recursos que realmente necesitan. | Control de acceso basado en roles (RBAC)Se han implantado controles de acceso basados en funciones para restringir el acceso a información sensible. | |||
Cifrado y seguridad de los datos | ||||
CriptografíaLas recomendaciones de las directrices técnicas de BSI (BSI TR-02102) se revisan anualmente. | Autoridad de certificación internaLos servicios internos están encriptados por nuestra propia autoridad de certificación. | |||
Cifrado durante la transmisiónSe utilizan tecnologías de cifrado para proteger los datos durante la transmisión. | ||||
Seguridad del correo electrónico y copias de seguridad | ||||
Correo electrónicoEl tráfico de correo electrónico entrante se supervisa y, en caso de duda, se pone primero en cuarentena. | Copias de seguridad y recuperaciónDiariamente se realizan copias de seguridad de los servicios internos, que pueden restaurarse rápidamente al estado de la última copia. El proceso de restauración se prueba cada seis meses. | |||
Medidas organizativas | ||||
Cursos de formación periódicosImpartimos formación al personal informático y a los usuarios finales sobre las últimas amenazas a la seguridad y las mejores prácticas. | Programas de concienciación sobre seguridadLlevamos a cabo programas continuos para concienciar a los empleados sobre la seguridad de la información. | |||
Políticas de seguridad documentadasLas políticas y procedimientos de seguridad se crean, documentan y actualizan periódicamente. | CumplimientoGarantizamos el cumplimiento de los requisitos legales y reglamentarios pertinentes, así como de las directrices internas de seguridad. | |||
Medidas relacionadas con los procesos | ||||
Respuesta a incidentes y gestión de emergenciasDisponemos de planes de emergencia que incluyen medidas para restaurar los sistemas en caso de incidente. Para prepararnos ante incidentes de seguridad, realizamos ejercicios periódicos y comprobamos la eficacia de los planes de emergencia. | Gestión de riesgos y vulnerabilidadesRealizamos periódicamente evaluaciones de riesgos para identificar y evaluar posibles amenazas. Hemos implantado un proceso para reconocer, evaluar y eliminar las vulnerabilidades de la infraestructura informática. | |||
Support
Trabajamos con nuestro portal de soporte interno para ofrecer a nuestros clientes asistencia técnica. Siempre prestamos atención a la calidad y, sobre todo, a la seguridad en el tratamiento de la información.
Nuestras medidas de seguridad en el tratamiento de la información en soporte
Portal de asistencia y gestión de la configuración | ||||
Portal de soporteEl portal de soporte para clientes se utiliza para el intercambio seguro de información y la transferencia de datos. La comunicación se realiza a través de tickets con un repositorio interno del sistema para el intercambio de datos. | Servicio de versiones de configuración (KVD)El servicio de versionado de configuraciones (KVD) es un almacén central de configuraciones para clientes y para el propio Projektron. Las configuraciones se gestionan dentro de un repositorio SVN. | |||
Autenticación y control de acceso | ||||
Autorización de accesoLas personas de contacto del cliente disponen de un acceso personalizado al portal de soporte. | Autenticación seguraSe utiliza la autenticación de dos factores (2FA) para acceder al portal de asistencia. | |||
Control de acceso basado en roles (RBAC)Los derechos de acceso se asignan en función de los roles de los usuarios para restringir el acceso a información sensible. | Políticas de contraseñas segurasHemos implementado directrices para contraseñas seguras, incluyendo longitud mínima, complejidad y cambios regulares. | |||
Cifrado y protección de datos | ||||
CifradoEl acceso al portal de asistencia sólo es posible mediante acceso cifrado. | Minimización de datosSólo se recogen y almacenan en el sistema los datos del cliente necesarios para la tramitación del pedido. | |||
Cifrado de extremo a extremoSe garantiza el cifrado de los datos durante toda la comunicación entre los clientes y el personal de asistencia a través del portal de asistencia. | Procesos conformes con la protección de datosSe han implementado procesos de acuerdo con el Reglamento General de Protección de Datos (RGPD) y otras leyes pertinentes de protección de datos. Estos procesos se cumplen sistemáticamente. | |||
Formación de los empleados e información sobre seguridad | ||||
Información de seguridad para clientesProporcionamos regularmente información relevante para la seguridad a los clientes en el portal de asistencia. | Formación continua para nuestros empleadosNuestros empleados del servicio de asistencia reciben formación periódica y adaptada a sus necesidades sobre la seguridad del software utilizado y las interfaces con sistemas de terceros que pueden conectarse a Projektron BCS. | |||
Cursos de formación regularesEl personal de soporte recibe regularmente formación y sensibilización sobre los temas de la seguridad de la información, la protección de datos y el tratamiento seguro de los datos de los clientes. | Programas de concienciaciónRealizamos continuamente programas para fomentar la concienciación sobre la seguridad y el cumplimiento de las directrices de seguridad. | |||
Medidas relacionadas con los procesos y gestión de emergencias | ||||
Registro y supervisiónTodas las actividades del portal de asistencia se registran detalladamente y los registros se comprueban periódicamente para detectar actividades sospechosas. | Políticas y procedimientos de seguridadLas políticas y procedimientos de seguridad de la información en el portal de asistencia se aplican de forma coherente y se adaptan continuamente. Además, se realizan comprobaciones y auditorías de seguridad periódicas para garantizar el cumplimiento de las normas de seguridad. | |||
Respuesta a incidentes y planes de contingenciaSeguimos un proceso claro de notificación, análisis y resolución de incidentes de seguridad. En caso de incidente de seguridad, existen planes de emergencia que se actualizan periódicamente. | Gestión de datos de clientes y anonimizaciónPara aumentar la protección de los datos de los clientes, los anonimizamos o seudonimizamos siempre que es posible. | |||
Seguridad de la información en el desarrollo y alojamiento de BCS
Además de unos procesos empresariales eficientes, el desarrollo seguro de software es el núcleo de nuestra empresa y de nuestro software de gestión de proyectos basado en web.
Medidas de seguridad de la información en el desarrollo y alojamiento de productos
