POLITICA DE SEGURIDAD DE LA INFORMACIÓN

Última fecha de revisión: 28/05/2026

1. Objetivo y alcance

Esta política establece el compromiso de la Dirección con la seguridad de la información, así como las políticas específicas y actuaciones implantadas para mantener la confidencialidad, integridad y disponibilidad de los activos de información de TCMpartners y de sus clientes.

2. Objetivos del Sistema de Gestión

Esta política constituye el marco de referencia del Sistema de Gestión de Seguridad de la Información (SGSI) de TCMpartners, basado en la norma ISO 27001 e ISO 27017.

  • Asegurar la confidencialidad, integridad y disponibilidad de la información.
  • Cumplir todos los requisitos legales, reglamentarios y contractuales de seguridad de la información, aplicables a la organización, en especial los relacionados con la protección de datos.
  • Conocer y gestionar los riesgos de seguridad de la información.
  • Establecer periódicamente objetivos de mejora alineados con la presente política.
  • Satisfacer las expectativas y necesidades de las partes interesadas.
  • Formar y concienciar a todos los empleados en materia de seguridad de la información.
  • Gestionar adecuadamente todos los incidentes de seguridad ocurridos.
  • Proveer servicios a los clientes (on-premises y en la nube) aplicando los requerimientos de seguridad que mitiguen los riesgos de los activos de información propiedad de los clientes y que sean acordes con el nivel de riesgo establecido contractualmente.
  • Informar a todos los empleados de sus funciones y obligaciones de seguridad y la responsabilidad de cumplirlas.
  • Colaborar con terceras entidades para ayudar en la investigación y análisis de ciber amenazas globales.
  • Mejorar de forma continua el SGSI y, por ende, la seguridad de la información de la organización.
  • Transmitir a todas las partes interesadas que TCMpartners utiliza las mejores prácticas del mercado en términos de seguridad de la información.

La Dirección garantizará que el SGSI y la función de seguridad en TCMpartners disponen de los recursos necesarios para su adecuado funcionamiento y el cumplimiento de los objetivos indicados.

3. Planificación

Las actuaciones en materia de seguridad de la información deben planificarse para cumplir con los objetivos de seguridad. Estas actuaciones pasan por la implantación, operación y mantenimiento del Sistema de Gestión de la Seguridad de la Información, asegurando que en todo momento está alineado con esta política.

De cara a garantizar una correcta gestión de la seguridad, TCMpartners planifica un estudio del estado de la seguridad de la organización a través de un análisis de riesgos y establece un plan de tratamiento para aquellos riesgos no aceptados por la organización.

De manera similar, TCMpartners analiza el riesgo de las infraestructuras en la nube que despliega para sus clientes e implanta aquellos controles que aseguren un nivel de riesgo asumido por el cliente. El nivel de riesgo asumido debe quedar establecido contractualmente.

El procedimiento para llevar a cabo el análisis de riesgos se encuentra documentado en TCM-SGSI_SGCN-PRO-Metodología de Análisis de Riesgos, donde se establecen los criterios para evaluar las distintas amenazas de seguridad que afectan a la organización.

4. Implantación

TCMpartners gestiona y opera los controles, procesos y medidas de seguridad que ha implantado, asegurando que son eficaces para cumplir con los objetivos para los que se implantaron, además de mitigar los riesgos a los que la organización está expuesta.

Así mismo, TCMpartners implementa el plan de tratamiento de riesgos establecido, si procede, con el fin de obtener un nivel de riesgo residual aceptado por la organización.

5. Revisión

El SGSI, incluida la presente política de seguridad de la información, es revisado regularmente a intervalos planificados o si ocurren cambios significativos para asegurar la continua idoneidad, eficacia y efectividad de éste.

TCMpartners dispondrá de un proceso de auditoría interna del SGSI que contribuye al cumplimiento de los requisitos propios de la organización y de las normas ISO 27001 e ISO 27017.

El SGSI es revisado por la Dirección, realizando un profundo análisis con el fin de detectar mejoras, tendencias y deficiencias del sistema, tomando decisiones sobre acciones a llevar a cabo según los resultados obtenidos.

6. Mejora

TCMpartners está comprometida con la mejora continua de la gestión de la seguridad de la información. Para ello, identifica y establece oportunidades de mejora, así como realiza acciones correctivas que mitiguen las no conformidades detectadas.

7. Roles y responsabilidades

En este apartado se indican los principales roles y responsabilidades en materia de seguridad de la información definidos por TCMpartners.

 

La Dirección

  • Se compromete con la seguridad de la información.
  • Establece los principios y políticas que rigen este compromiso.
  • Se asegura que se dotan los recursos humanos y materiales para la implantación, mantenimiento y mejora del sistema de gestión de seguridad de la información.

Responsable del SGSI y seguridad de la información.

Esta responsabilidad recae en el Director de Medios.

Contacto: [email protected]

Entre otras funciones, es responsable de:

  • Implantar, desarrollar y mantener los procesos necesarios para el establecimiento del SGSI.
  • Asegurarse de la concienciación en materia de seguridad de la información en todos los niveles de la organización.
  • Gestionar los controles implantados que mitigan los riesgos asociados a la seguridad de la información.
  • Gestionar las auditorías de seguridad de la información.
  • Asumir la función de Responsable del Riesgo de los activos, analizando éste para todos los activos de información, establece el nivel de riesgo aceptado y propone, si procede, un plan de tratamiento de riesgos.

Comité del SGSI: Forman parte de este Comité el Director General, Director de Medios, representantes de los departamentos de Administración y de Sistemas y Seguridad.

Entre sus funciones, se encuentra:

  • Aprobar las políticas de seguridad de información y procedimientos que las desarrollan y verificar el cumplimiento de éstas.
  • Verificar el análisis de riesgos de los activos de información de la empresa y aprobar el riesgo residual tras la implantación de medidas de mitigación.
  • Aprobar los objetivos del SGSI, la planificación y seguimiento de los mismos.
  • Adoptar las medidas necesarias para el mantenimiento y mejora continua del sistema implantado.

Gestor del SGSI.

Esta responsabilidad recae en el área de Administración (Gestor Administrativo del SGSI) y en el área de Soporte y Seguridad (Gestor Técnico del SGSI)

Contacto:[email protected];

[email protected]

Entre las funciones del Gestor Administrativo, es responsable de:

  • Mantenimiento de la información y registros en GlobalSuite u otra herramienta elegida.
  • Seguimiento de la planificación y mediciones del SGSI.
  • Convocar reuniones del Comité del SGSI, realizar y documentar las actas.

Las funciones del Gestor Técnico son, entre otras:

  • Securización de la infraestructura interna de TCMpartners.
  • Implantación y mantenimiento del SGSI, en el ámbito técnico.
  • Gestión de herramientas de monitoreo de la información (SOC).
  • Atender incidencias de equipos informáticos, así como de seguridad de la información comunicadas.

Protección de datos personales.

Contacto: [email protected]

El área de Administración asume el rol de propietario de tratamiento en los términos previstos en la regulación sobre protección de datos personales, asegurándose del cumplimiento de ésta, y actuando como punto de contacto para cuestiones relacionadas con el tratamiento de datos personales.

Responsable de seguridad del despliegue de la infraestructura:

Entre sus funciones, es responsable de:

  • Asegurar que el despliegue de la infraestructura cumple con los requerimientos de seguridad de información establecidos por el cliente y/o con los estándares establecidos por la ISO 27001 y 27017 adoptados por TCMpartners.
  • En particular, asegurar que la infraestructura desplegada en la nube, si es el caso, o la arquitectura del proyecto atiende a los estándares de seguridad establecidos interna y contractualmente;

Responsable de desarrollo seguro:

Entre sus funciones, es responsable de:

  • Asegurar que todo el equipo técnico de proyecto conoce la política de desarrollo seguro.
  • Velar por que se establezcan los requisitos de seguridad previamente al desarrollo.
  • Velar por que estos requisitos se cumplan.
  • Documentar las evidencias de este cumplimiento.

8. Aspectos específicos de seguridad

Como desarrollo de esta política, TCMpartners aprueba y mantiene un conjunto de políticas complementarias que desarrollan los principios, responsabilidades y requisitos aplicables en materias particulares de seguridad.

Estas políticas específicas forman parte integrante del Sistema de Gestión de Seguridad de la Información (SGSI), son de obligado cumplimiento para todo el personal, colaboradores y terceros que accedan a activos de información de la organización, y se revisan periódicamente para asegurar su adecuación al contexto de riesgos, requisitos regulatorios y objetivos del negocio.

Las políticas complementarias vigentes son:

  • Política de dispositivos de usuario
  • Política uso de dispositivos personales BYOD
  • Política y medidas de seguridad en teletrabajo
  • Política de escritorio y pantalla limpio
  • Política de seguridad relativa a los Recursos Humanos
  • Política de seguridad relativa a los Recursos Humanos-Compromiso de Confidencialidad y no divulgación de la información
  • Política de seguridad relativa a los Recursos Humanos- Protección Intelectual
  • Política de accesos
  • Política de seguridad de la información en entornos cloud
  • Política de seguridad de la información en el desarrollo
  • Política de seguridad en la relación con los proveedores
  • Política de tolerancia cero ante delitos penales
  • Política de clasificación y etiquetado de la información
  • Política de software autorizado
  • Política de continuidad del negocio
  • Política se seguridad y protección de datos personales (RGPD) de TCM
  • Política de privacidad de TCM en servicios prestados a terceros

Estos requisitos deben ser conocidos y respetados por todos los empleados de TCMpartners y ante cualquier duda, el interesado puede dirigirse directamente al Responsable del SGSI para su resolución.

9. Régimen disciplinario

El incumplimiento de la presente Política por parte de cualquier empleado de TCM Partners tendrá la consideración de incumplimiento de los deberes laborales y dará lugar a la aplicación del régimen sancionador previsto en la regulación laboral de los diferentes países en que TCM Partners tiene entidades jurídicas, según corresponda, pudiendo incluir amonestación, suspensión de empleo y sueldo o despido disciplinario, en función de la gravedad del incumplimiento.

En el caso de proveedores externos y colaboradores, el incumplimiento podrá dar lugar a la suspensión o resolución de la relación contractual, así como a la reclamación de los daños y perjuicios causados, sin perjuicio de las acciones civiles o penales que pudieran corresponder.
CIERRE POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN, a 28 de mayo de 2026