Política de Seguridad de la Información – ALMC Security S.L.U.

Última actualización: 2026-02-28 14:32

Política de Seguridad de la Información – ALMC Security S.L.U.

Última actualización: 28 de febrero de 2026

ALMC SECURITY S.L.U. es una empresa especializada en ciberseguridad, programación y gestión de sistemas. Como tal, asume un compromiso firme con la seguridad de la información propia y de sus clientes. La presente Política de Seguridad de la Información define los principios, objetivos y controles que guían la gestión de la seguridad en nuestra organización.

1. Alcance

Esta política se aplica a:

• Todos los sistemas de información, redes, aplicaciones y datos gestionados por ALMC SECURITY S.L.U.
• Todo el personal de ALMC, colaboradores externos y proveedores con acceso a los sistemas o datos de la organización.
• La información de clientes, empleados y socios que se trate en el ejercicio de la actividad empresarial.

2. Principios fundamentales

La seguridad de la información en ALMC se basa en tres pilares fundamentales:

• Confidencialidad: la información sólo es accesible a quienes estén autorizados a conocerla.
• Integridad: la información y sus métodos de proceso son exactos y completos, y están protegidos frente a modificaciones no autorizadas.
• Disponibilidad: los usuarios autorizados tienen acceso a la información y los activos asociados cuando los necesitan.

3. Objetivos de seguridad

• Proteger los activos de información de ALMC y de sus clientes frente a amenazas internas y externas.
• Garantizar el cumplimiento de la legislación aplicable en materia de seguridad y privacidad (RGPD, LOPDGDD, LSSI, ENS, Directiva NIS2).
• Minimizar el riesgo de incidentes de seguridad mediante controles preventivos, detectivos y correctivos.
• Asegurar la continuidad de los servicios críticos ante incidentes o desastres.
• Fomentar una cultura de seguridad en toda la organización.

4. Controles técnicos y organizativos

4.1 Control de accesos

• Principio de mínimo privilegio: cada usuario dispone únicamente de los permisos estrictamente necesarios para su función.
• Autenticación multifactor (MFA) obligatoria para el acceso a sistemas críticos.
• Revisión periódica de cuentas y permisos.
• Segregación de funciones en procesos críticos.

4.2 Seguridad en las comunicaciones

• Cifrado TLS/SSL en todas las comunicaciones web.
• VPN para accesos remotos a sistemas internos.
• Monitorización del tráfico de red mediante herramientas SIEM.

4.3 Gestión de vulnerabilidades

• Análisis de vulnerabilidades periódicos en sistemas y aplicaciones.
• Aplicación de parches de seguridad conforme a un calendario de parcheo definido.
• Realización de pruebas de penetración (pentesting) anuales o ante cambios significativos.

4.4 Copias de seguridad

• Backups automáticos diarios de todos los sistemas críticos.
• Almacenamiento en múltiples ubicaciones (local + nube cifrada).
• Pruebas de restauración periódicas para verificar la integridad de las copias.
• Retención mínima de 30 días para datos operativos y 1 año para datos de auditoría.

4.5 Seguridad física

• Control de acceso físico a instalaciones con datos sensibles.
• Política de escritorio limpio y pantalla bloqueada.
• Destrucción segura de soportes y documentos físicos que contengan información sensible.

4.6 Formación y concienciación

• Formación inicial en seguridad para todos los nuevos empleados y colaboradores.
• Formación de actualización periódica (al menos anual).
• Simulacros de phishing y otros ejercicios de concienciación.

5. Gestión de incidentes de seguridad

ALMC dispone de un procedimiento documentado de respuesta a incidentes que incluye:

1. Detección e identificación: monitorización continua para detectar incidentes de forma temprana.
2. Clasificación y priorización: evaluación del impacto y la urgencia del incidente.
3. Contención: medidas inmediatas para limitar el daño.
4. Erradicación y recuperación: eliminación de la causa raíz y restauración del servicio.
5. Notificación: comunicación a los afectados y, si procede, a la Agencia Española de Protección de Datos (AEPD) en el plazo de 72 horas para brechas de datos personales.
6. Post-mortem y lecciones aprendidas: análisis del incidente para mejorar los controles.

Para notificar una vulnerabilidad o incidente de seguridad en nuestros sistemas, puede contactar con nosotros en: security@almc.es (Responsible Disclosure).

6. Gestión de terceros y proveedores

ALMC exige a sus proveedores y subcontratistas que accedan a información sensible o sistemas de clientes el cumplimiento de requisitos mínimos de seguridad equivalentes a los propios. Se firman acuerdos de confidencialidad (NDA) y acuerdos de encargado del tratamiento (DPA) con todos los proveedores que traten datos personales.

7. Continuidad del negocio

ALMC mantiene un Plan de Continuidad del Negocio (BCP) y un Plan de Recuperación ante Desastres (DRP) actualizados, con el objetivo de garantizar la continuidad de los servicios críticos ante incidentes graves. Los planes son revisados y probados al menos anualmente.

8. Cumplimiento normativo

ALMC se compromete al cumplimiento de la normativa de seguridad y privacidad aplicable, incluyendo:

• Reglamento (UE) 2016/679 (RGPD)
• Ley Orgánica 3/2018 (LOPDGDD)
• Esquema Nacional de Seguridad (ENS) – Real Decreto 311/2022
• Directiva NIS2 (UE) 2022/2555 sobre seguridad de redes y sistemas de información
• ISO/IEC 27001 – Marco de referencia para el SGSI

9. Revisión y mejora continua

La presente Política de Seguridad es revisada al menos anualmente o ante cambios significativos en el entorno tecnológico, normativo u organizativo. La Dirección de ALMC es responsable de aprobar y comunicar esta política a toda la organización.

10. Contacto

• Responsable de Seguridad:security@almc.es
• DPO/RGPD:dpo@almc.es
• Contacto general:info@almc.es