Introduction

Les informations constituent un atout de premier ordre pour FOUNDSPOT SL, dans la mesure où elles sont essentielles à la prestation d’une grande partie de ses services, l’entreprise s’appuyant sur les systèmes TIC (technologies de l’information et de la communication) pour atteindre ses objectifs. Cela étant, les améliorations incontestables qu’elles apportent au traitement de l’information s’accompagnent de nouveaux risques et, par conséquent, il est nécessaire de mettre en place des mesures spécifiques pour protéger tant l’information que les services qui en dépendent ; ces systèmes devant être gérés avec la diligence requise ; en prenant les mesures appropriées pour les protéger contre les dommages accidentels ou délibérés susceptibles d’affecter la disponibilité, l’intégrité, la confidentialité, l’authenticité et la traçabilité des informations traitées.

L’objectif de la sécurité de l’information est de garantir la qualité de l’information et la continuité de la prestation des services, en agissant de manière préventive, en supervisant l’activité quotidienne et en réagissant rapidement aux incidents, dans le but de réduire les risques auxquels ils sont exposés à un niveau acceptable.

Les systèmes TIC doivent être protégés contre des menaces en constante évolution susceptibles d’affecter la confidentialité, l’intégrité, la disponibilité, l’authenticité, la traçabilité, l’usage prévu et la valeur des informations et des services.

Pour se prémunir contre ces menaces, une stratégie s’adaptant à l’évolution des conditions de l’environnement est nécessaire afin de garantir la continuité de la prestation des services.

Cela implique que les services doivent appliquer les mesures de sécurité minimales exigées par le Schéma national de sécurité, ainsi que surveiller en permanence les niveaux de prestation des services, suivre et analyser les vulnérabilités signalées et préparer une réponse efficace aux incidents afin de garantir la continuité des services fournis.

Les différents services doivent s’assurer que la sécurité des TIC fait partie intégrante de chaque étape du cycle de vie du système, depuis sa conception jusqu’à sa mise hors service, en passant par les décisions de développement ou d’acquisition et les activités d’exploitation, et être prêts à prévenir, détecter, réagir et se remettre des incidents, conformément aux dispositions du Cadre national de sécurité.

Les exigences de sécurité et les besoins de financement doivent être identifiés et intégrés dans la planification, les appels d’offres et les cahiers des charges des projets TIC.

Au sein de chaque organisation, seuls les dirigeants de haut niveau disposent des compétences nécessaires pour fixer ce niveau, ordonner les mises à jour et mettre en place les moyens de les réaliser.

À cet égard, l’établissement d’une politique de sécurité de l’information et la répartition des tâches et des responsabilités qui en découle constituent des actions prioritaires, car elles sont les principaux instruments de gouvernance de la sécurité et constituent le cadre de référence pour toutes les actions ultérieures.

Le présent document établit la politique de sécurité de l’information de FOUNDSPOT SL et sera complété par le développement de l’organisation de la sécurité.

Prévention, détection, réaction et reprise après incident

PRÉVENTION

Les services doivent éviter, ou du moins prévenir dans la mesure du possible, que les informations ou les services ne soient affectés par des incidents de sécurité.

Pour ce faire, les services doivent mettre en œuvre les mesures de sécurité minimales déterminées par l’ENS, ainsi que tout contrôle supplémentaire identifié à l’issue d’une évaluation des menaces et des risques.

Ces contrôles, ainsi que les rôles et responsabilités de l’ensemble du personnel en matière de sécurité, doivent être clairement définis et documentés.

Afin de garantir le respect de la politique, les services doivent :

  • Autoriser les systèmes avant leur mise en service.
  • Évaluer régulièrement la sécurité, y compris les évaluations des modifications de configuration effectuées de manière routinière.
  • Demander un examen périodique par des tiers afin d’obtenir une évaluation indépendante.

DÉTECTION

Étant donné que les services peuvent se dégrader rapidement en raison d’incidents, allant d’un simple ralentissement à leur arrêt complet, les services doivent surveiller leur fonctionnement en continu afin de détecter les anomalies dans les niveaux de prestation des services et d’agir en conséquence conformément à ce qui est établi par l’ENS, la surveillance étant particulièrement importante lorsque des lignes de défense sont mises en place conformément à l’ENS susmentionné.

Des mécanismes de détection, d’analyse et de rapport seront mis en place pour informer régulièrement les responsables et signaler tout écart significatif par rapport aux paramètres préétablis comme normaux.

RÉACTION

Les services doivent :

  • Mettre en place des mécanismes permettant de réagir efficacement aux incidents de sécurité.
  • Désigner un point de contact pour les communications relatives aux incidents détectés dans d’autres services ou dans d’autres organismes.
  • Mettre en place des protocoles pour l’échange d’informations relatives à l’incident. Cela inclut les communications, dans les deux sens, avec les équipes d’intervention d’urgence.

REPRISE

Afin de garantir la disponibilité des services critiques, les départements doivent élaborer des plans de continuité des systèmes TIC dans le cadre de leur plan général de continuité des activités et de leurs activités de reprise.

Champ d’application

Cette politique s’applique à tous les systèmes TIC de FOUNDSPOT SL qui prennent en charge les services suivants :

Les services et systèmes d’information utilisés pour l’optimisation de la gestion des objets perdus des utilisateurs, y compris l’enregistrement de l’inventaire et les demandes de recherche, de localisation et de remise, en garantissant la conformité légale et la protection des informations sensibles.

Conformément à la classification du système en vigueur, le siège social est situé à Madrid. Calle Alameda 22, 28014.

Elle s’applique également à tous les membres de l’organisation, sans exception.

Mission

FOUNDSPOT SL, dans le cadre des services qu’elle fournit, tels que mentionnés ci-dessus, agit conformément aux principes d’efficacité, de hiérarchie, de décentralisation et de coordination, promeut toutes sortes d’activités et fournit les services qui contribuent à satisfaire les besoins et les aspirations de ses clients.

Pour ces raisons, pour chaque service, FOUNDSPOT SL met tout en œuvre pour fournir un service à la fois fonctionnel et sécurisé.

Cadre réglementaire

Afin d’élaborer le présent guide de sécurité, la législation en vigueur et applicable a été analysée ; celle-ci concerne le déroulement des activités de l’organisation et implique la mise en place explicite de mesures de sécurité dans ses systèmes d’information.

Le cadre juridique applicable en matière de sécurité de l’information est défini par la législation suivante :

  • La loi 11/2007 du 22 juin relative à l’accès électronique des citoyens aux services publics, dans son article 42.2 sur le Schéma national de sécurité, établit, parmi ses principes, la nécessité de disposer d’un cadre de référence définissant les conditions nécessaires à la confiance dans l’utilisation des moyens électroniques.
  • Le décret royal 311/2022 du 5 mai, qui réglemente le Schéma national de sécurité dans le domaine de l’administration électronique, fixe les principes de base et les exigences minimales, ainsi que les mesures de protection à mettre en œuvre dans les systèmes de l’administration.
  • Décret royal 951/2015 du 23 octobre, modifiant le décret royal 3/2010 du 8 janvier, qui réglemente le Schéma national de sécurité dans le domaine de l’administration électronique.
  • Décret royal 311/2022 du 3 mai 2022, régissant le Schéma national d’interopérabilité dans le domaine de l’administration électronique, dont l’objectif est de créer les conditions nécessaires pour garantir un niveau adéquat d’interopérabilité technique, sémantique et organisationnelle des systèmes et applications utilisés par les administrations publiques, permettant l’exercice des droits et l’accomplissement des devoirs par le biais de l’accès électronique aux services publics, tout en favorisant l’efficacité et l’efficience.
  • Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
  • Loi organique 3/2018 du 5 décembre relative à la protection des données à caractère personnel et à la garantie des droits numériques.
  • Décret-loi royal 28/2020 du 22 septembre relatif au travail à distance.

Organisation de la sécurité

La gestion de la sécurité de l’information implique l’existence d’une structure organisationnelle qui, conformément à l’article 10 de l’ENS, définit des responsabilités distinctes en matière d’exigences d’information, d’exigences de service et d’exigences de sécurité.

Cette structure organisationnelle en matière de sécurité de l’information FOUNDSPOT SL est établie comme suit :

Responsable de l’information :

  • Détermine les exigences de sécurité de l’information traitée, selon les paramètres de l’annexe I de l’ENS.
  • Approbation des niveaux de sécurité de l’information. (Cette activité n’est pas délégable).
  • Évaluer les conséquences d’un impact négatif sur la sécurité de l’information, en tenant compte des répercussions sur la capacité de l’organisation à atteindre ses objectifs, la protection de ses actifs, le respect de ses obligations de service, le respect de la légalité et des droits des citoyens.

Responsable du service :

  • Déterminer les niveaux de sécurité des services, conformément aux paramètres de l’annexe I de l’ENS.
  • Approbation des niveaux de sécurité des services. (Cette activité n’est pas délégable.)
  • Intégrer les spécifications de sécurité dans le cycle de vie des services et des systèmes, accompagnées des procédures de contrôle correspondantes.
  • Évaluer les conséquences d’un impact négatif sur la sécurité des services, en tenant compte des répercussions sur la capacité de l’organisation à atteindre ses objectifs, à protéger ses actifs, à respecter ses obligations de service, ainsi que la légalité et les droits des citoyens.

Responsable de la sécurité :

  • Détermine les décisions de sécurité pertinentes pour satisfaire aux exigences établies par les responsables de l’information et des services.
  • Exiger, de manière objective, des organisations qui leur fournissent des services de sécurité qu’elles disposent de professionnels qualifiés et de niveaux adéquats de gestion et de maturité dans les services fournis.
  • Évaluer et choisir, lors de l’acquisition de produits de sécurité liés aux technologies de l’information et de la communication, ceux dont la fonctionnalité de sécurité relative à l’objet de l’acquisition est certifiée, de manière proportionnée à la catégorie du système et au niveau de sécurité déterminés ; sauf dans les cas où les exigences de proportionnalité, au regard des risques encourus, ne le justifient pas selon son appréciation.
  • Étendre les mesures de sécurité prévues à l’annexe II de l’ENS et celles nécessaires pour garantir le traitement adéquat des données à caractère personnel.
  • Remplacer les mesures de sécurité prévues à l’annexe II de l’ENS à condition qu’il soit justifié par des documents qu’elles protègent de manière égale ou supérieure le risque pesant sur les actifs et que les principes de base et les exigences minimales prévus aux chapitres II et III du décret royal soient respectés.
  • Indiquer dans la Déclaration d’applicabilité, de manière détaillée, la correspondance entre les mesures compensatoires mises en place et les mesures de l’annexe II de l’ENS qu’elles compensent.
  • Formaliser et signer la Déclaration d’applicabilité.
  • Analyser les rapports d’auto-évaluation et/ou d’audit et transmettre les conclusions au Responsable du Système afin qu’il adopte les mesures correctives appropriées.
  • Promouvoir la formation et la sensibilisation en matière de sécurité de l’information dans son domaine de responsabilité.

Responsable du Système :

  • Sa fonction principale est de veiller au bon fonctionnement du système d’information.
  • Respecter les mesures de sécurité déterminées par le Responsable de la sécurité.
  • Adopter les mesures correctives appropriées, sur la base des conclusions qu’il reçoit de la part du Responsable de la sécurité, issues de l’analyse qu’il effectue des rapports d’auto-évaluation et/ou d’audit

.

  • Dans le cas des systèmes de catégorie HAUTE, après examen du rapport d’audit, il peut décider de suspendre l’exploitation de certaines informations, de certains services ou du système dans son ensemble, pendant la durée qu’il juge prudente et jusqu’à ce que les modifications prescrites soient satisfaites.

Délégué à la protection des données :

  • Fournir des conseils sur la documentation nécessaire pour démontrer la conformité au RGPD et à la LOPDGDD, y compris, entre autres, les politiques, procédures, contrats, modèles et formulaires, et veiller à ce qu’ils soient tenus à jour.
  • Informer et fournir des conseils d’expert à l’ensemble du personnel concernant son obligation de se conformer aux dispositions du RGPD et de la LOPDGDD applicables en matière de traitement des données à caractère personnel.
  • Contrôler la conformité au RGPD et à la LOPDGDD et informer rapidement les parties prenantes au sein de la Société de tout changement.
  • Servir de point de contact unique auprès de l’autorité de contrôle pour les questions liées au traitement des données à caractère personnel et consulter l’autorité de contrôle, si nécessaire, sur toute autre question pertinente relative aux données à caractère personnel.
  • Servir de point de contact principal pour les employés et toutes les parties prenantes et coopérer avec l’ensemble du personnel sur les questions de protection des données.
  • Fournir des conseils et des orientations sur l’analyse d’impact relative à la protection des données (AIPD), y compris la réalisation ou la supervision de la mise en œuvre de l’AIPD.
  • Assister le responsable du système lors de la notification des violations de la sécurité des données à caractère personnel et dans la prise des mesures nécessaires pour informer les parties prenantes concernées lorsque cela est requis.
  • Superviser le respect des politiques de protection des données et de tout autre document interne lié à la protection des données.
  • Conseiller l’organisation sur les politiques de confidentialité à fournir aux personnes concernées au moment de la collecte de leurs données à caractère personnel.
  • Toutes les autres fonctions propres qui ne sont pas mentionnées ici, découlant de la législation en vigueur en matière de protection des données à caractère personnel.

Responsable du système d’information :

  • Il est chargé du fonctionnement du système d’information, en respectant les mesures de sécurité déterminées par le Responsable de la sécurité.
  • Adopter les mesures correctives appropriées à la suite des conclusions des rapports d’auto-évaluation et/ou des rapports d’audit analysés par le Responsable de la sécurité compétent.
  • Dans le cas des systèmes de catégorie HAUTE, après examen du rapport d’audit, le responsable du système peut décider de suspendre l’exploitation de certaines informations, d’un service ou du système dans son ensemble, pendant la durée qu’il juge prudente et jusqu’à ce que les modifications prescrites soient satisfaites.

Gestion des risques

Tous les systèmes soumis à la présente politique doivent réaliser une analyse des risques, en évaluant les menaces et les risques auxquels ils sont exposés.

Cette analyse sera répétée :

  • régulièrement, au moins une fois par an
  • lorsque les informations traitées changent
  • lorsque les services fournis changent
  • lorsqu’un incident de sécurité grave se produit
  • lorsque des vulnérabilités graves sont signalées

Élaboration de la politique de sécurité de l’information

La présente politique de sécurité de l’information complète les politiques de sécurité applicables au sein de l’organisation dans différents domaines, telles que :

  • Politique d’utilisation appropriée des ressources de l’organisation.
  • Politique relative aux mots de passe.
  • Politique relative aux appareils mobiles.
  • Politique relative aux bureaux propres.
  • Politique relative aux écrans propres.
  • Politique relative au chiffrement.
  • Politique de sauvegarde.
  • Politique d’accès à distance.
  • Politique de télétravail.
  • Politique de suppression des métadonnées.

Cette politique sera mise en œuvre au moyen de règles de sécurité traitant d’aspects spécifiques. Les règles de sécurité seront mises à la disposition de tous les membres de l’organisation qui ont besoin d’en prendre connaissance, en particulier ceux qui utilisent, exploitent ou administrent les systèmes d’information et de communication.

Obligations du personnel

Tous les membres ont l’obligation de connaître et de respecter la présente politique de sécurité de l’information et les règles de sécurité, le comité de sécurité informatique étant chargé de mettre en place les moyens nécessaires pour que ces informations parviennent aux personnes concernées.

Tous les membres assisteront à une session de sensibilisation à la sécurité des TIC au moins une fois par an.

Un programme de sensibilisation continue sera mis en place pour tous les membres de l’organisation, en particulier les nouveaux arrivants.

Les personnes chargées de l’utilisation, de l’exploitation ou de l’administration des systèmes TIC recevront une formation à la gestion sécurisée des systèmes dans la mesure où cela est nécessaire à l’exercice de leurs fonctions.

Cette formation sera obligatoire avant la prise de fonction, qu’il s’agisse d’une première affectation ou d’un changement de poste ou de responsabilités au sein de celui-ci.

Tiers

Lorsque FOUNDSPOT SL fournit des services à d’autres organismes et/ou traite des informations provenant d’autres organismes, ceux-ci seront informés de la présente Politique de sécurité de l’information. Des canaux de communication seront mis en place pour le reporting et la coordination des comités de sécurité informatique respectifs, et des procédures d’intervention seront établies pour réagir aux incidents de sécurité.

Lorsque FOUNDSPOT SL utilise des services de tiers ou cède des informations à des tiers, ceux-ci seront informés de la présente Politique de sécurité et de la réglementation de sécurité applicable à ces services ou informations.

Ce tiers sera soumis aux obligations établies dans ladite réglementation et pourra mettre en place ses propres procédures opérationnelles pour s’y conformer.

Des procédures spécifiques de signalement et de résolution des incidents seront mises en place, garantissant que le personnel tiers est correctement sensibilisé en matière de sécurité, au moins au même niveau que celui établi dans la présente Politique.

Lorsqu’un aspect de la Politique ne peut être respecté par un tiers comme requis dans les paragraphes précédents, un rapport du Responsable de la sécurité sera exigé, précisant les risques encourus et la manière de les traiter.

Ce rapport devra être approuvé par les responsables de l’information et des services concernés avant de pouvoir être mis en œuvre.

Données à caractère personnel

FOUNDSPOT SL traite des données à caractère personnel dans le cadre de son activité quotidienne, ce qui l’oblige à se conformer à la réglementation en vigueur, détaillée au point CADRE RÉGLEMENTAIRE de la présente politique.

Tous les traitements effectués sur des données à caractère personnel seront conformes aux exigences de la réglementation en vigueur, en veillant à ce que ces données soient traitées de manière licite, loyale et transparente vis-à-vis de la personne concernée ; collectées à des fins déterminées, explicites et légitimes et ne soient pas traitées ultérieurement d’une manière incompatible avec ces fins ; adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ; exactes et, si nécessaire, mises à jour, toutes les mesures raisonnables étant prises pour que les données à caractère personnel inexactes au regard des finalités pour lesquelles elles sont traitées soient effacées ou rectifiées sans délai ; conservées de manière à permettre l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités du traitement des données à caractère personnel, et ne pouvant être conservées pendant des durées plus longues, sauf si elles sont traitées exclusivement à des fins d’archivage dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, sans préjudice de l’application des mesures techniques et organisationnelles appropriées imposées par la réglementation applicable en vigueur en la matière afin de protéger les droits et libertés de la personne concernée ; traitées de manière à garantir une sécurité adéquate des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre leur perte, leur destruction ou leur détérioration accidentelle, par l’application de mesures techniques ou organisationnelles appropriées.

Les politiques de confidentialité applicables au cas d’espèce existent et sont à la disposition des personnes concernées, lesquelles peuvent les obtenir gratuitement en adressant une demande écrite à l’adresse e-mail suivante : infodpo@forlopd.es

Approbation et entrée en vigueur

La Politique de sécurité de l’information sera révisée par le Comité de sécurité de l’information à intervalles réguliers, qui ne pourront excéder un an, ou dès que des changements significatifs surviennent, afin de garantir le maintien de son adéquation, de sa pertinence et de son efficacité.

La présente Politique de sécurité de l’information prend effet à compter de cette date et restera en vigueur jusqu’à ce qu’elle soit remplacée par une nouvelle Politique.

Madrid, le 2 mars 2026