NUEVA VERSIÓN DE LA NORMA ISO 20000 PREVISTA PARA ESTE AÑO

Comparte: Facebooktwittergoogle_pluslinkedin

Esta noticia interesa principalmente a aquellas empresas que emplean Tecnologías de la Información como soporte de sus procesos de negocio, puesto que la norma ISO/IEC 20000 regula la implantación de los Sistemas de gestión de servicios de Tecnologías de la Información.

Pues bien, desde su última versión en el año 2011 ya se hacía necesaria una revisión y la publicación de una nueva versión, que tendrá lugar en este año 2018 y que, entre otras novedades, incluirá:

  • Estructura de alto nivel, lo que permitirá una mayor integración con las normas ISO 9001 en su revisión 2015, así como con las normas de Seguridad de la Información ISO 27001 y continuidad del Negocio ISO 22301.
  • Una mejora de la capacidad de adaptación de la gestión a los procesos de negocio cada vez más ágiles y digitalizados.
  • La incorporación de nuevos procesos como: gestión de activos, de la demande y del conocimiento…

¿Y a qué tipo de cliente se enfoca la implantación de un sistema de gestión bajo la norma ISO/IEC 20000?

Un sistema de gestión basado en la Norma ISO/IEC 20000, puede implantarse en cualquier tipo de organización que base su actividad en servicios TI siendo especialmente apropiada para las empresas proveedores de servicios TI o para empresas que cuente con departamento de servicios TI. Cabe mencionar que la Norma ISO/IEC 20000 ya está dando sus frutos dentro de alguno de los sectores más importantes dependientes de las soluciones TI como son los servicios de telecomunicaciones y finanzas….

¿Cuenta con departamentos TI en su empresa o se dedica a prestar servicios TI a empresas externas? Contacte con nuestros técnicos, estarán encantados de asesorarle.

Foto: creativeart

¿TU COMUNIDAD DE PROPIETARIOS CUMPLE CON EL RGPD?

Comparte: Facebooktwittergoogle_pluslinkedin

Como ya hemos ido comentando en varias entradas, el Reglamento General de Protección de Datos (RGPD) ha introducido numerosas novedades sobre el tratamiento de los datos personales.

Uno de los principales cambios que introduce es que las relaciones entre el responsable y el encargado de tratamiento deben formalizarse en un contrato o en un acto jurídico que vincule al encargado respecto al responsable.

En el caso concreto de las Comunidades de propietarios, éstas serán las que actúen como responsable de tratamiento y, si existe la figura de administrador de fincas, éste será el encargado de tratamiento. Deberá existir un contrato de encargo de tratamiento entre ellos que incluirá, según la AEPD (Agencia Española de Protección de Datos), los siguientes aspectos:

  • Objeto, duración, naturaleza y la finalidad del tratamiento.
  • Tipo de datos personales y categorías de interesados
  • Obligación del encargado de tratar los datos personales únicamente siguiendo instrucciones documentadas del responsable
  • Condiciones para que el responsable pueda dar su autorización previa, específica o general, a las subcontrataciones
  • Asistencia al responsable, siempre que sea posible, en la atención al ejercicio de derechos de los interesados…

Además, la comunidad de propietarios, como Responsable del tratamiento, debe garantizar que se cumple con el deber de secreto, confidencialidad, veracidad y seguridad de los datos, y asegurándose de que sean tratados para la finalidad para la que fueron recogidos.

Y, ¿cuáles son los tratamientos más comunes que debe realizar una comunidad de propietarios?

  • Tratamiento de los datos relativos a los propietarios en relación con la gestión de la propia comunidad. En este caso la legitimación para el tratamiento de los mismos no se derivará del consentimiento previo, sino que atenderá al cumplimiento de una obligación legal (el contenido de la Ley de Propiedad Horizontal).
  • Si tienen contratado personal para la realización de trabajos, como puede ser el de portería, el tratamiento de los datos tampoco va a necesitar el consentimiento, sino la ejecución de un contrato.
  • Si disponen de cámaras de videovigilancia, deberá existir acuerdo de la junta de propietarios, siguiendo las reglas que al respecto establece la citada Ley de Propiedad Horizontal. Y además se deberá cumplir con el deber de información.

En resumen, es importante que tanto las Comunidades de Propietarios como los Administradores de Fincas se pongan al día en materia de protección de datos.

Si necesitas más información llámanos.

FOTO: freepik

¿POR QUÉ TODAS LAS EMPRESAS ESTÁN PIDIENDO AUTORIZACIÓN PARA PODER TRATAR DATOS DE CARÁCTER PERSONAL?

Comparte: Facebooktwittergoogle_pluslinkedin

La antigua Ley Orgánica de Protección de datos (LOPD) , que dejó de estar en vigor el pasado 25 de mayo, permitía el consentimiento tácito para el tratamiento de datos, es decir, que si una empresa recibía datos por parte de un cliente, se daba por hecho que ésta podía hacer usos de ellos.

Sin embargo, con la entrada en vigor del Reglamento General de Protección de Datos (RGPD) adquiere gran relevancia el hecho de obtener el consentimiento por parte del interesado para el tratamiento de sus datos personales, dejando de admitirse el consentimiento tácito o sobreentendido.

En el artículo 4.11 del RGPD se define el consentimiento como toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen. Así, de acuerdo con el principio de Responsabilidad Proactiva y al añadir el adjetivo inequívoco, se está obligando a las empresas a disponer de una prueba que demuestre que dispone del consentimiento por parte del interesado para tratar sus datos.

Y ha sido este artículo 4.11, el que ha motivado el bombardeo, vía mail principalmente, que todos estamos recibiendo por parte de distintas empresas, que pretenden conseguir nuestro consentimiento de una manera inequívoca.

Pero, ¿siempre debe obtenerse dicho consentimiento inequívoco?

El RGPD establece en el artículo 6, que el tratamiento sólo será lícito si se cumple al menos una de las condiciones siguientes:

  • el interesado dio su consentimiento
  • el tratamiento es necesario para la ejecución de un contratoen el que el interesado es parte
  • el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
  • el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
  • el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
  • el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Por tanto, el RGPD también define supuestos en los que el tratamiento será lícito sin necesidad de disponer del consentimiento inequívoco, siendo quizá, el más relevante para las pequeñas y medianas empresas, aquel que indica que será lícito el tratamiento que sea necesario para la ejecución de un contrato en el que el interesado sea parte.

Imagen: el Taller del Bit

¿A que tipo de empresas se recomienda la ISO 27000?

Comparte: Facebooktwittergoogle_pluslinkedin

empresas iso 27000

¿A qué empresas se recomienda la implantación de un Sistema de Gestión de la Seguridad de la Información?

Antes de conocer a qué empresas se recomienda la implantación de un Sistema de Gestión de la Seguridad de la Información, es conveniente tener presente qué es la norma ISO 27000 de Seguridad de la Información.

Como su propio nombre indica, la ISO 27000 es una norma que define los requisitos que debe cumplir el Sistema de Gestión de Seguridad de la Información en una empresa u organización.

Por tanto, su implantación ofrece a la empresa la ventaja de proteger su información de manera fiable a través de tres principales objetivos: preservar la confidencialidad de sus datos, conservación de la integridad de sus datos y disponibilidad fácil de la información protegida.

Por todo ello, es evidente que debido al tipo de información con la que trabajan, muchas empresas y organizaciones que tratan asuntos confidenciales en cuanto a datos personales (sanitaria, laboral, médica, financiera…), la aplicación de la ISO 27000 es fundamental.

No obstante, los Sistemas de Gestión de la Seguridad de la Información pueden ser implantados en cualquier organización pública o privada que desee garantizar tanto la preservación como la protección de sus datos.

Imagen | Diego3336

¿Que es la norma ISO 27000 de Seguridad de la Información?

Comparte: Facebooktwittergoogle_pluslinkedin

iso 27000Los sistemas de gestión sectoriales son herramientas que han sido especialmente adaptadas a la actividad principal de cada empresa, lo que a su vez brinda la posibilidad de añadir una certificación específica a la genérica, que encontramos dentro de los diferentes sistemas de gestión.

Uno de estos sistemas son los implantados bajo los requisitos de la norma ISO 22000 de Sistemas de Gestión de la Inocuidad de los Alimentos, sobre la que ya en momentos anteriores nos hemos ocupado de forma extensa.

Pero en lo que se refiere a la seguridad de la información, las empresas tienen a su disposición los Sistemas de Gestión de la Seguridad de la Información, que se implantan bajo los requisitos de la norma ISO 27000.

La ISO 27000 es una norma que define de qué manera se debe implantar un Sistema de Gestión de la Seguridad de la Información en una empresa u organización.

Su implantación ofrece a la organización o empresa la ventaja de proteger su información de la forma más fiable posible, persiguiéndose para ello un total de tres objetivos principales:

  1. Preservar la confidencialidad de sus datos.
  2. Conservar la integridad de sus datos.
  3. Disponibilidad de la información protegida.

No en vano, tal es su importancia que la implantación de este tipo de herramienta garantiza que los riesgos de seguridad de la información son controlados por la organización eficientemente, tanto de forma interna como al resto de las empresas.

Es interesante tener en cuenta que los sistemas de gestión implantados balo los requisitos de la norma ISO 27000 son totalmente compatibles con otros sistemas de gestión como son los sistemas de gestión de la calidad,etc.

El nuevo Reglamento Europeo de Protección de Datos ya esta en vigor

Comparte: Facebooktwittergoogle_pluslinkedin

El pasado 25 de mayo de 2016 entro en vigor el nuevo Reglamento Europeo de Protección de Datos pero no será de aplicación hasta el 25 de mayo de 2018, periodo establecido para que todas las entidades a las cuales, le es de aplicación puedan adaptarse a sus requerimientos y asegurar su cumplimiento a partir de dicha fecha.

Confidencial

Entre los aspectos mas destacables recogidos en el nuevo texto legislativo de aplicación al tratamiento de los datos de carácter personal podemos indicar los siguientes:

– Se incluyen más derechos para los ciudadanos como son el derecho al olvido y a la portabilidad de datos de un usuario de un sistema de tratamiento electrónico a otro.

– Aparece la figura del Delegado de Protección de Datos.

– Se deben realizar análisis de riesgos y evaluación del impacto con objeto de asegurar el cumplimiento de la legislación de aplicación en esta materia.

– Se deben documentar las actividades de tratamiento de datos de carácter personal llevadas a cabo por los Responsables de los Ficheros y por los Encargados de Tratamiento.

– Incremento de las sanciones económicas que conocíamos hasta el momento.

Como hemos comentado al inicio de nuestra publicación, la definición de estos nuevos requisitos implica que las empresas y entidades se vean obligadas a revisar los procedimientos definidos en relación con la protección de datos de carácter personal para adaptarlos a los nuevos requisitos legales de aplicación.

¿Estás seguro de que tu empresa trata de forma correcta los datos de carácter personal que posee? Si la respuesta es No, contacta con Integra, nuestros expertos se encuentran a tu disposición para asesorarte.

Imagen|Prawny

 

La norma IFS Food

Comparte: Facebooktwittergoogle_pluslinkedin

Como hace mucho tiempo que no hablamos de la Norma Mundial de Seguridad Alimentaria IFS Food hemos decidido centrar nuestra entrada de hoy en ella.

Como bien sabemos la norma IFS Food es una norma reconocida por la Global Food Safety Initiative (GFSI) y define los requisitos que deben cumplir las organizaciones que apuestan por la implantación de un Sistema de Gestión de la Seguridad Alimentaria bajo dicha norma con objeto de que estas aseguren la calidad y seguridad alimentaria de sus procesos y productos.

Los Sistemas de Gestión de la Seguridad Alimentaria definidos bajo los requisitos de la norma IFS Food pueden ser implantados en empresas alimentarias que elaboren alimentos o envasen alimentos a granel.IFS Food

A continuación procedemos a detallar los aspectos más significativos recogidos en la norma IFS Food:

– Definición de la sistemática que se sigue para la emisión del certificado IFS Food.

– Potencia la comprensión de los informes de auditoría y de los certificados a nivel internacional ya que obliga a traducir al inglés campos del informe de auditoría, del plan de acciones y del certificado.

– Definición de la sistemática de puntuación que permite identificar y valorar a aquellas organizaciones que implantan mejores prácticas.

– Definición de requisitos adicionales asociados a la calidad de los productos.

– Definición de requisitos orientados a la eficacia de la documentación asociada al Sistema de Gestión de la Seguridad Alimentaria.

– El capitulo 6 “Food Defense” es de obligado cumplimiento y define requisitos específicos relacionados con la seguridad y las medidas de seguridad que se deben implantar para evitar intentos deliberados de contaminación o daño de los productos alimentarios.

– Incluye un capítulo relacionado con los productos alimentarios que pueden ser elaborados por terceros.

¿Está interesado en implantar un Sistema de Gestión de la Seguridad Alimentaria bajo los requisitos de la norma IFS Food y necesita asesoramiento? Contacte con Integra.

Imagen|MaxStraeten

¿Cómo asegurar que tu empresa cumple con la Ley Orgánica de Protección de Datos?

Comparte: Facebooktwittergoogle_pluslinkedin

Para asegurar que tu empresa cumple con la Ley Orgánica de Protección de Datos, en adelante LOPD y teniendo en cuenta que cada empresa tiene sus peculiaridades dependiendo del origen de los datos, de su tipología, de las características relacionadas con el tratamiento de los mismos y del tipo de sistemas y de soportes con los que los manejan, entre otros.

LOPDA continuación de forma breve queremos definir algunos de los términos mas usados, relacionados con la LOPD con objeto de que estas definiciones te permitan familiarizarte con ellos:

Nivel de seguridad: La LOPD define 3 niveles de seguridad: bajo, medio y alto. El nivel de seguridad de aplicación a cada fichero dependerá del tipo de datos que se tratan en cada empresa y a partir de la definición de dicho nivel se podrán definir e implantar las medidas de seguridad de aplicación en cada caso.

Inscripción de ficheros: Cada uno de los ficheros de aplicación a cada empresa debe de ser inscrito en el Registro General de Protección de Datos (RGPD) previa recopilación de los datos personales que los compondrán, tal y como se define en la legislación de aplicación.

Documento de Seguridad: Es un documento de carácter interno que debe definir todo lo relacionado con las medidas, normas, procedimientos, reglas y estándares que siguen las organizaciones para garantizar la seguridad de los datos de carácter personal que tratan.

Contratos con terceros: Siempre que exista una figura externa que pueda tener acceso o tratar datos de carácter personal gestionados por las empresas deberán formalizarse contratos en los que se especifiquen las instrucciones que se deben seguir para asegurar la seguridad de los mismos.

¿Necesitas asegurarte de que tu empresa cumple con la LOPD? A que esperas, contacta con Integra.

Imagen|Alvimann

 

 

AENOR cuenta con una serie de normas para la detección de alérgenos en los alimentos

Comparte: Facebooktwittergoogle_pluslinkedin

La Asociación Española de Normalización  y Certificación (AENOR) publico una serie de normas para la detección de la presencia de alérgenos e ingredientes alérgicos en los alimentos con el objetivo de que los fabricantes del sector conozcan los métodos cualitativos y  cuantitativos adecuados, definidos en las normas técnicas publicadas, para el análisis de la presencia de alérgenos en los productos destinados a alimentación, incrementando los controles existentes en la actualidad.

Entre los requisitos recogidos en las normas publicadas por AENOR cabe destacar los siguientes:

Alérgenos

–         En los alimentos envasados, deberá aparecer la información sobre alérgenos en la lista de ingredientes, destacada mediante una composición tipográfica que la diferencia claramente del resto de la lista de ingredientes

–          En ausencia de lista de ingredientes deberá incluirse la mención “contiene” acompañada de la sustancia o producto determinado.

–          Los alérgenos deberán ser indicados en los alimentos no envasados que lleguen al consumidor final

–          Etc.

Por último queremos dejar constancia de que con el cumplimiento de las normas publicadas por AENOR, los fabricantes se aseguran el cumplimiento de los requisitos indicados en el Reglamento Europeo de Etiquetado de Alimentos, Reglamento (CE) nº 1169/2011.

¿Quieres conocer los requisitos de las normas publicadas por AENOR para la detección de alérgenos? Consúltanos, estaremos encantados de informarte.

Imagen|Deegolden

Garantiza la seguridad de la información de tu empresa

Comparte: Facebooktwittergoogle_pluslinkedin

Cada vez son más las empresas que se fijan como propósito, el poder garantizar la seguridad de la información que manejan para el desarrollo de su actividad cotidiana. Por este motivo se ha incrementando la demanda de consultas que hasta día de hoy, recibíamos sobre la Norma Internacional ISO 27001 de Sistemas de Gestión de la Seguridad de la Información (SGSI).

La norma ISO 27001 define los requisitos necesarios para el establecimiento, la implantación, la correcta operatividad, el monitoreo, la revisión, el mantenimiento y la mejora del Sistema de Gestión de Seguridad de la Información (SGSI) que se implante en cualquier empresa.

Cabe mencionar que toda empresa debe conocer los riesgos a los que se expone en relación al tratamiento de la información que manejan por este motivo, la ISO 27001 a parte de definir todos los requisitos comentados en el apartado anterior también define los controles de seguridad que se deben llevar a cabo en las empresas, adaptando los mismos a las necesidades de estas o de los departamentos específicos que forman parte de ellas.

En la actualidad, las empresas que deciden implantar un Sistema de Gestión de la Seguridad de la Información (SGSI), logran tras dicho proceso, lo siguiente:

  1. Reducir los posibles riesgos que tenían al tratar la información que poseen
  2. Reducir los costes derivados de los riesgos detectados
  3. Asegurar la rentabilidad de las inversiones realizadas en materia de seguridad
  4. Mejorar su posicionamiento
  5. Aumentar su credibilidad en el mercado
  6. Diferenciarse de la competencia
  7. Etc.

Por último queremos dejar constancia de que un SGSI es totalmente integrable con Sistemas de Gestión que ya estén implantados en las empresas que apuestan por esta herramienta, como lo son los Sistemas de Gestión de la Calidad (ISO 9001), Sistemas de Gestión Medioambiental (ISO 14001), etc.

¿Quieres apostar por los SGSI? ¿Necesitas información y no conoces una empresa experta en este tipo de Sistema de Gestión? Integra, es lo que buscabas, contacta con nuestros consultores y te asesoraran tras detectar tus necesidades.

Imagen|Ronnieb