Política de Seguridad de la Información

AF Peritaciones cumple con el Esquema Nacional de Seguridad en su categoría MEDIA, conforme al Real Decreto 311/2022, de 3 de mayo.

1. Objeto y alcance

La presente Política de Seguridad de la Información (PSI) establece el marco general de actuación en materia de seguridad de la información para AF Abogados y Peritos Judiciales SLU, comercialmente conocida como AF Peritaciones, en cumplimiento del Esquema Nacional de Seguridad (ENS) regulado por el Real Decreto 311/2022, de 3 de mayo.

Es de aplicación a todos los sistemas de información que dan soporte a los servicios de peritaciones judiciales forenses, asesoría técnico-jurídica y atención sanitaria de la Organización, incluyendo:

  • La plataforma informática AF Peritaciones (gestión de expedientes judiciales).
  • El servidor de correo electrónico corporativo.
  • La infraestructura tecnológica asociada (almacenamiento cloud, bases de datos).
  • El personal, colaboradores externos y terceros que acceden o tratan información en el ámbito de dichos sistemas.

2. Misión de la organización

AF Peritaciones tiene como misión la prestación de servicios profesionales de peritación judicial en los ámbitos técnico, forense, médico y psicológico, así como de asesoría técnico-jurídica, dirigidos a juzgados, administraciones públicas y particulares.

La Organización se compromete a garantizar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información tratada en el ejercicio de su actividad, en especial de los expedientes judiciales y datos personales de carácter sensible que maneja en el marco de sus servicios.

3. Marco legal y normativo

La Organización declara su adhesión y cumplimiento de las siguientes disposiciones:

  • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
  • Reglamento (UE) 2016/679 (RGPD), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales.
  • Ley Orgánica 3/2018 (LOPDGDD), de Protección de Datos Personales y garantía de los derechos digitales.
  • Ley 39/2015, del Procedimiento Administrativo Común de las Administraciones Públicas.
  • Guías CCN-STIC de la serie 800 del Centro Criptológico Nacional.

4. Principios de seguridad

La Organización adopta los siguientes principios rectores en materia de seguridad de la información:

  1. Prevención: Se establecen medidas proactivas para evitar la materialización de amenazas y vulnerabilidades.
  2. Detección: Se implementan mecanismos de monitorización y registro que permiten identificar incidentes y desviaciones.
  3. Respuesta: Se dispone de procedimientos definidos para actuar ante incidentes de seguridad de forma ágil y coordinada.
  4. Recuperación: Se garantiza la restauración de servicios e información en caso de interrupción o pérdida.
  5. Proporcionalidad: Las medidas de seguridad son adecuadas al nivel de riesgo y a la categoría ENS del sistema (MEDIA).
  6. Integración: La seguridad se integra en todos los procesos de la Organización desde su diseño.
  7. Mejora continua: Se revisa periódicamente la eficacia de las medidas y se actualiza la política cuando es necesario.

5. Organización de la seguridad

La Organización ha designado los roles de Responsable de Seguridad, Responsable del Sistema, Responsable de la Información y Responsable del Servicio, conforme al artículo 13 del Real Decreto 311/2022 y a la guía CCN-STIC-801.

Se dispone de un Comité de Seguridad de la Información que se reúne con periodicidad trimestral para revisar el estado de la seguridad, aprobar decisiones relevantes y supervisar el cumplimiento del ENS.

6. Gestión de riesgos

La Organización aplica una metodología de gestión de riesgos basada en MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información), adaptada a su alcance y categoría ENS MEDIA. Se realizan análisis de riesgos periódicos y se definen medidas de tratamiento y controles proporcionales.

7. Obligaciones del personal

Todo el personal y colaboradores que acceden a sistemas o información en el ámbito de esta política deben:

  • Conocer y cumplir la presente política y la normativa interna de seguridad.
  • Proteger la confidencialidad de la información a la que tengan acceso.
  • Utilizar los sistemas únicamente para fines autorizados.
  • Comunicar de inmediato cualquier incidente o sospecha de brecha de seguridad.
  • Participar en las acciones de formación y concienciación.

8. Gestión de terceros

La Organización gestiona las relaciones con proveedores conforme a los requisitos del ENS y del RGPD. Los contratos con proveedores que tratan datos o que operan componentes del sistema incluyen cláusulas de seguridad. Los proveedores críticos de infraestructura disponen de certificaciones reconocidas (ENS Alto, ISO 27001).

9. Gestión de incidentes

La Organización dispone de un procedimiento de gestión de incidentes de seguridad que contempla la clasificación, registro, seguimiento, escalado y notificación a las autoridades competentes cuando sea legalmente exigible.

10. Continuidad de negocio

Se garantiza la continuidad de los servicios mediante copias de seguridad periódicas, almacenamiento en ubicación geográficamente separada, pruebas periódicas de restauración y procedimientos de recuperación ante desastres documentados.

11. Cumplimiento y revisión

Esta política se revisa al menos anualmente por el Responsable de Seguridad y el Comité de Seguridad. Se realizan auditorías internas o externas cuando lo exige la normativa. Cualquier modificación sustancial requiere la aprobación del Comité de Seguridad.

AF Abogados y Peritos Judiciales SLU · CIF: B19368802
C/ Trinidad Grund 21, 6-81, 29001 Málaga
Política aprobada conforme al Real Decreto 311/2022 y la guía CCN-STIC-805.