0.- Introducción

Redsys es una compañía de soluciones tecnológicas, comunicaciones e I+D en el sector de los medios de pago.

Nuestra capacidad informática y operativa nos permite autorizar; procesar y liquidar un amplio volumen de transacciones con tarjeta que se realizan cada día en España, en tiempo real y de forma segura.

La misión de Redsys es la prestación de servicios de medios de pago, de calidad, flexibles, innovadores y sostenibles en el tiempo.

Una de las principales contribuciones de Redsys al sector financiero español es el establecimiento de un sistema de autorización mayoritariamente on-line. Este sistema permite que los terminales se conecten directamente al emisor para solicitar autorización en tiempo real. De este modo, se garantiza un mayor nivel de seguridad en las transacciones, situando los niveles de fraude de España en uno de los más bajos del mundo.

Adicionalmente al sector financiero, Redsys ofrece sus servicios de procesamiento al sector sanitario a través de Redsys Salud, que da servicio a todos los actores que forman el ecosistema del negocio de la salud: compañías aseguradoras sanitarias, hospitales, clínicas, médicos...

Redsys Salud presta servicios tecnológicos innovadores, seguros y versátiles, a estos actores como son la facturación electrónica, la citación online, la identificación del asegurado vía móvil, el sistema de e-receta (receta electrónica) o vídeo-consulta médica.

1.- Compromisos de Redsys.

La Dirección de Redsys reconoce, mediante el presente documento, que el riesgo es inherente a su negocio y que la gestión de riesgos es fundamental para lograr sus objetivos y ejecutar sus estrategias con éxito.

Por ello, se compromete a mantener el nivel de riesgo dentro de los límites que considera aceptables, con el fin de garantizar en todo momento la confidencialidad, la integridad y la disponibilidad de la información y los datos de carácter personal tratados, así como la continuidad de los servicios de negocio que se prestan en la compañía, poniendo especial atención sobre los críticos, para asegurar la prestación de unos servicios de pago de calidad, flexibles, innovadores, eficientes y sostenibles en el tiempo, que hagan a Redsys líder en los mercados donde servimos a nuestros clientes, al representar la mejor opción en la prestación de servicios de pago.

1.1.- Objetivos de la política.

Para hacer patente los compromisos de Redsys, esta política tiene por objeto:

• Proteger la información y los datos de carácter personal de Redsys y de sus clientes, junto con las tecnologías utilizadas para su transmisión, procesamiento o almacenamiento, frente a amenazas internas o externas, deliberadas o accidentales, con el fin de asegurar su confidencialidad, integridad y disponibilidad.
• Identificar los riesgos existentes y aquellos que puedan aparecer, tratándolos de una manera planificada, para que produzcan el mínimo impacto en el negocio si éste se materializase.
• Extender la cultura de riesgo, aportando mayor valor al negocio. Integrar la visión del riesgo-oportunidad, a través de la definición de la estrategia y la cantidad de riesgo que la organización asume, y la incorporación de esta variable a las decisiones estratégicas, tácticas y operativas, tanto a nivel técnico como organizativo o procedimental.
• Evitar interrupciones en los servicios prestados por Redsys como consecuencia de incidencias o, al menos, minimizar el impacto y tiempo de recuperación, especialmente en los servicios críticos para el negocio y en aquellos servicios esenciales para la sociedad.
• Mejorar continuamente la efectividad, eficiencia y calidad de los servicios y del sistema de gestión.
• Cumplir con los requerimientos regulatorios, legales y obligaciones contractuales que resulten aplicables a Redsys y velar por el cumplimiento de terceros y encargados de tratamiento en quién se deleguen actividades.
• Asegurar que los servicios se hallan alineados con las necesidades de los clientes.
• Garantizar la debida diligencia y acreditar el principio de responsabilidad proactiva en materia de protección de datos basada en la mejora continua.
• Establecer de un programa de formación y concienciación continua, que garantice que todo el personal y colaboradores son conscientes de sus deberes y obligaciones en materia de gestión de riesgos, seguridad de la información, continuidad de negocio y gestión de servicios, en particular, a los riesgos asociados a la información que manejan en su trabajo y los mecanismos a emplear para protegerla.
• Consideración de la seguridad y la continuidad de negocio como parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por la definición de requisitos en la planificación, las decisiones de desarrollo o adquisición y las actividades de explotación.

2.- Alcance.

Esta Política afecta a todos los servicios prestados por Redsys, incluyendo a Redsys Salud, y a todo tratamiento de información y datos de carácter personal en los servicios de Redsys, incluyendo a Redsys Salud, bien sea información propia, de sus clientes o de terceras partes implicadas en la prestación del servicio y con independencia de la forma en que sea transmitida, procesada o almacenada, o del soporte en el que se encuentre.

Toda persona que trabaje en o para Redsys o que necesite acceder a la información y/o sistemas de Redsys, debe cumplir de forma obligatoria con lo establecido en esta Política, así como con toda la normativa que de ella se deriva.

Cuando Redsys preste servicios o gestione información de terceros, les hará partícipes de esta Política. Para ello, se establecerán canales de coordinación y procedimientos de actuación ante incidencias o brechas de seguridad.

Cuando Redsys utilice servicios de terceros o les ceda información, les hará partícipes de esta Política y de la normativa que aplique a dichos servicios o información, que tienen obligación de cumplir y supervisará el nivel de cumplimiento establecido. Se establecerán procedimientos de actuación ante incidencias y mecanismos de control del cumplimiento de los terceros.

3.- Fundamentos y Principios.

A la hora de definir esta Política, la dirección toma como base los siguientes principios básicos:

• Gestión de riesgos: Se identifican y analizan los riesgos y se acometen acciones de mitigación sobre los mismos en base a la necesidad de reducción de riesgos de la organización. Las medidas que se apliquen han de ser proporcionales al riesgo.
• Seguridad integral: Se considera la seguridad como un proceso globalizador, que abarca aspectos físicos, lógicos, organizativos y humanos, posibilitando la definición de una estrategia única de protección.
• Identificación, protección, detección, respuesta y recuperación: no todas las medidas están enfocadas a los mismos objetivos.
  • Las medidas de identificación permiten tener el conocimiento de los activos y funciones para gestionar los riesgos de la organización.
  • Las medidas de protección tienen como fin evitar que se produzcan incidentes o minimizar su ocurrencia.
  • Las medidas de detección sirven para identificar eventos potencialmente peligrosos. Deben ir acompañadas de medidas de respuesta.
  • Las medidas de respuesta atajan el evento detectado, minimizando los daños que hayan podido ocurrir.
  • Las medidas de recuperación permiten restablecer la información o los servicios que hayan podido resultar afectados por un incidente.
• Seguridad en profundidad: Se debe contar con sucesivas capas de protección de manera que un incidente no sea capaz de desarrollar todo su potencial dañino en caso de que ocurra. Para ello, las líneas de defensa han de estar constituidas por medidas de naturaleza organizativa, física y lógica.
• Gestión de la calidad: Se planifican los planes de mejora y evolución de los servicios y se mide su nivel de calidad y eficiencia. La estrategia de la evolución ha de cubrir las necesidades del negocio de Redsys y las expectativas de los clientes.
• Reevaluación periódica de las medidas: para verificar que siguen siendo las adecuadas, tanto a los riesgos identificados como a los nuevos riesgos que se identifiquen, y que mantienen su eficacia. Al menos anualmente.
• Segregación de funciones: separación de responsabilidades que evite conflictos de interés que puedan ir en detrimento de la seguridad.
• Mejora continua: el proceso de seguridad integral implantado es constantemente actualizado y mejorado de forma continua.

4.- Directrices.

Mediante la presente Política, la Dirección General de Redsys establece las siguientes directrices y se compromete a su aplicación:

• La Dirección debe garantizar que las competencias en materia de riesgos, seguridad de la Información, privacidad, continuidad de negocio y gestión de servicios, estén asignadas a uno o varios grupos que funcionen como órgano director con el cual se haga patente el compromiso de la Dirección General mediante la dotación de los medios y facultades necesarias para la realización de sus funciones.
• Definición e implantación de la adecuada organización, reparto de las responsabilidades y asignación eficaz de los recursos necesarios para cumplir la presente Política en todos los procesos realizados en Redsys y en la gestión de sus activos.
• Gestión de los riesgos, la seguridad, la calidad y la continuidad de negocio como procesos de mejora continua, mediante la implantación y mantenimiento de un Sistema de Gestión Integrado (SGI) que incluye la gestión de Riesgos, Seguridad, Continuidad de Negocio y de Servicios, basados en los estándares ISO 31000, ISO 27001, ISO 27701, ISO22301 e ISO 20000.
• Evaluación y gestión de riesgos en todo nuevo proyecto. Revisión, al menos anual, de los procesos y sistemas existentes o cuando haya un cambio importante en la infraestructura o cuando ocurra un incidente grave.
• Evaluación y gestión de riesgos sobre los tratamientos de datos personal. Revisión, al menos anual, de los procesos y sistemas vinculados a los tratamientos de datos o cuando haya un cambio importante en la infraestructura o cuando ocurra un incidente grave.
• Los niveles de servicio establecidos para cada uno de los servicios estarán documentados y en ellos se especificarán los niveles a cumplir. Dichos niveles de servicio estarán respaldados por mecanismos adecuados que garanticen su cumplimiento y se pondrán en conocimiento de los clientes. Todo el personal velará porque los servicios prestados cumplan con dichos acuerdos de nivel de servicio.
• Todos los servicios provistos por Redsys estarán adecuadamente presupuestados y contabilizados. Sus costes serán controlados financieramente y se corregirán apropiadamente las desviaciones detectadas.
• Celebración de reuniones periódicas con los clientes para identificar sus necesidades, efectuar un seguimiento del nivel de satisfacción en relación con los servicios prestados, e identificar cualquier cambio o petición de mejora sobre los servicios ofrecidos, así como eventuales reclamaciones que puedan ser presentadas en relación con los mismos.
• Definición, implantación y revisión de los controles organizativos, procedimentales y técnicos necesarios para garantizar la confidencialidad, integridad y disponibilidad de la información gestionada en Redsys, así como los flujos de información desde y hacia el exterior.
• Definición, implantación y revisión de los controles organizativos, procedimentales y técnicos necesarios para garantizar el cumplimiento de la normativa de privacidad que aplica sobre los tratamientos de datos personales gestionados en Redsys, así como delegados en encargados de tratamiento.
• Identificación inequívoca del usuario en el acceso a los sistemas e información y asignación de permisos en base a los principios de “mínimo privilegio” y “necesidad de conocer” . Asignación de privilegios especiales (administrador, root o similar) de forma restringida y controlada y nunca por defecto.
• Monitorización del uso de los sistemas de información para la rápida detección de actividad maliciosa o de anomalías en los niveles de prestación de los servicios, así como para evaluar la eficacia y eficiencia de los controles implantados.
• Notificación inmediata por parte de todos los usuarios, al departamento de Desarrollo de Seguridad, de cualquier violación de la seguridad, confirmada, sospechosa o comportamiento anómalo que pudiera afectar al servicio.
• Aplicación de un enfoque consistente y efectivo en la gestión de los incidentes, incluyendo el registro de estos, junto con el método de resolución adoptado, en la herramienta corporativa definida para tal fin.
• Comunicación correcta y eficiente de las incidencias que puedan ocasionar interrupciones en los servicios prestados por Redsys, tanto a las partes interesadas como a las partes afectadas. Cumplimiento de los requerimientos de seguridad en materia de protección de datos de carácter personal conforme a la legislación vigente en esta materia y de tratamiento de datos de tarjeta (PCI), así como de los derivados de las leyes, regulaciones (Esquemas de Medios de Pago, Banco Central Europeo) u obligaciones contractuales que resulten aplicables a Redsys.
• Todos los problemas identificados, tanto con motivo de las actividades de identificación preventiva, como aquellos generados a partir de la gestión de las incidencias, serán adecuadamente analizados hasta identificar la causa subyacente del error y se aplicarán las soluciones necesarias para subsanar o paliar sus efectos.
• Definición y desarrollo de un proceso de seguridad holístico y una estrategia de protección integral de los sistemas de información orientada a garantizar, en términos adecuados, la continuidad de los servicios de Redsys críticos para el negocio o esenciales para la Sociedad.
• Aprobación y ejecución de un plan de pruebas de continuidad global y periódico que minimice el riesgo de indisponibilidad de los servicios críticos de Redsys.
• Se llevará a cabo un adecuado registro y mantenimiento de los elementos de configuración (CIs) y las características necesarias para la gestión de los servicios, identificando las relaciones de los CIs con cada uno de los servicios. Periódicamente de forma planificada, se verificará la exactitud de la información de configuración, corrigiendo cualquier desajuste que se identifique.
• Cualquier cambio en los servicios deberán ser iniciados por una petición formal de cambio y autorizado de acuerdo con la Política y procedimiento de gestión de cambios y entregas de Redsys.
• Realización periódica de auditorías con la finalidad de verificar el correcto funcionamiento de los sistemas de gestión y controles de seguridad, privacidad y continuidad, determinar el grado de cumplimiento y establecer las acciones de mejora y medidas correctivas necesarias para el cumplimiento de las políticas y procedimientos.

5.- Responsabilidades por Incumplimiento.

La realización de alguna actividad que suponga un incumplimiento de esta Política y que se encuentre regulada en la legislación correspondiente, tendrá como consecuencia la aplicación de las responsabilidades legales correspondientes.

En el supuesto de que se produzca un incumplimiento de esta Política no regulado en disposiciones legales, esta acción será tratada por la Dirección de Redsys, aplicándose las sanciones que disponga el régimen disciplinario de Redsys y el convenio aplicable.

En el caso de personal de terceras empresas, serán de aplicación las medidas previstas en el contrato que se harán efectivas frente a la persona jurídica.