Política de Seguridad de la Información

1. Objetivo, alcance y usuario

AP Interactive Solutions S.L. tiene como misión proporcionar servicios de infraestructura cloud, servicios técnicos de ciberseguridad (auditorías, pentesting, gestión de vulnerabilidades, respuesta a incidentes), desarrollo de software personalizado y servicios gestionados para clientes públicos y privados, así como la operación de plataformas SaaS propias.

El objetivo de AP Interactive es ser un referente en servicios técnicos de ciberseguridad e infraestructura cloud, cumpliendo con los requisitos de las normativas de seguridad como la ISO 27001 y el Esquema Nacional de Seguridad (ENS), estableciendo una mejora continua en el Sistema de Gestión de Seguridad de la Información (SGSI) que minimice riesgos, cumpla con las normativas vigentes y refuerce la confianza de nuestros clientes y socios estratégicos.

Por todo ello, el fin del presente documento es garantizar que se proteja la información, propia y de terceros, a un nivel adecuado. Este documento se aplica a todo el alcance del SGSI; es decir, a todos los tipos de información, independientemente del formato, ya sean documentos en papel o electrónicos, aplicaciones y bases de datos, conocimiento de las personas, etc.

AP Interactive depende de los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o los servicios prestados.

Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Esto implica que la organización debe aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

Disposiciones generales:

• Revisión: esta política será revisada y, si procede, actualizada al menos anualmente o tras cambios significativos en el contexto de la organización o los requisitos normativos.
• Difusión: se comunica a todo el personal y partes interesadas relevantes, asegurando su comprensión y aplicación.
• Aprobación: firmada y aprobada por dirección como muestra de su compromiso.

2. Marco normativo

La base normativa que afecta al desarrollo de las actividades de AP Interactive, en lo que a seguridad de la información se refiere, está constituida por la siguiente legislación:

• Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica.
• Real Decreto 951/2015, de 23 de octubre, Esquema Nacional de Interoperabilidad (ENI).
• Resolución de 13 de abril de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Notificación de Incidentes de Seguridad.
• Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (Reglamento General de Protección de Datos, RGPD).
• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
• Ley 11/2020, de medidas urgentes en el ámbito de la ciberseguridad.
• Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
• Real Decreto Legislativo 1/1996, de 12 de abril, Texto Refundido de la Ley de Propiedad Intelectual.
• Ley 40/2015, de 1 de octubre, del Régimen Jurídico del Sector Público.
• Real Decreto 1553/2005, de 23 de diciembre, por el que se regula el documento nacional de identidad y sus certificados de firma electrónica.
• Texto Refundido de la Ley de Contratos del Sector Público, aprobado por Real Decreto Legislativo 3/2011, de 14 de noviembre, y su normativa de desarrollo.

El mantenimiento del marco normativo será responsabilidad de la empresa, y se mantendrá en un anexo a este documento, incluidas las instrucciones técnicas de seguridad de obligado cumplimiento a iniciativa del Centro Criptológico Nacional (CCN). Asimismo, la empresa será responsable de identificar las guías de seguridad del CCN que serán de aplicación para mejorar el cumplimiento del Esquema Nacional de Seguridad.

3. Cumplimiento de los artículos ENS

AP Interactive, para lograr el cumplimiento de los artículos del Real Decreto 311/2022, ha implementado diversas medidas de seguridad proporcionales a la naturaleza de la información y los servicios a proteger, teniendo en cuenta la categoría de los sistemas afectados y el tamaño de la organización.

Seguridad como proceso integral (art. 6) y mínimo privilegio (art. 20)

La seguridad constituye un proceso integrado por todos los elementos técnicos, humanos, materiales y organizativos relacionados con el sistema. La aplicación del ENS estará presidida por este principio, que excluye cualquier actuación puntual o tratamiento coyuntural. Se prestará la máxima atención a la concienciación de las personas que intervienen en el proceso y a sus responsables jerárquicos, para que ni la ignorancia, ni la falta de organización y coordinación, ni instrucciones inadecuadas, sean fuente de riesgo. Los sistemas se diseñarán para garantizar la seguridad por defecto:

• El sistema proporcionará la mínima funcionalidad requerida para que la organización alcance sus objetivos.
• Las funciones de operación, administración y registro de actividad serán las mínimas necesarias, accesibles solo por personas, emplazamientos o equipos autorizados, pudiendo exigirse restricciones de horario y puntos de acceso.
• Se eliminarán o desactivarán, mediante el control de la configuración, las funciones innecesarias o inadecuadas al fin perseguido.
• El uso ordinario del sistema ha de ser sencillo y seguro, de forma que una utilización insegura requiera un acto consciente del usuario.

Reevaluación periódica (art. 10)

La empresa ha implementado controles y evaluaciones regulares de la seguridad (incluyendo evaluaciones de los cambios de configuración de forma rutinaria) para conocer en todo momento el estado de la seguridad de los sistemas respecto a las especificaciones de los fabricantes, las vulnerabilidades y las actualizaciones que les afecten, reaccionando con diligencia. Antes de la entrada de nuevos elementos, físicos o lógicos, estos requerirán de una autorización formal. Asimismo, se solicitará la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.

Gestión de personal (art. 15) y profesionalidad (art. 16)

Todos los miembros de AP Interactive dentro del ámbito del ENS atenderán a una sesión de concienciación en materia de seguridad al menos una vez al año. Se establecerá un programa de concienciación continua, en particular para los de nueva incorporación. Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas; esta formación será obligatoria antes de asumir una responsabilidad. Dado el tamaño de la empresa, la formación se adaptará al rol específico de cada miembro, siendo más intensiva en desarrollo seguro para desarrolladores y en gestión de riesgos para el Responsable de Seguridad.

Gestión basada en riesgos (art. 7) y análisis y gestión de riesgos (art. 14)

Todos los sistemas afectados por esta Política, así como todos los tratamientos de datos personales, deberán ser objeto de un análisis de riesgos. Este análisis se repetirá:

• Regularmente, al menos una vez al año.
• Cuando cambien la información manejada y/o los servicios prestados de manera significativa.
• Cuando ocurra un incidente grave de seguridad o se detecten vulnerabilidades graves.

El Responsable de Seguridad ENS será el encargado de que se realice el análisis de riesgos, así como de identificar carencias y debilidades y ponerlas en conocimiento del Comité de Seguridad de la Información.

Incidentes de seguridad (art. 25); prevención, detección, reacción y conservación (art. 8)

AP Interactive ha implementado un proceso integral de detección, reacción y recuperación frente a incidentes de seguridad, mediante procedimientos que cubren los mecanismos de detección, los criterios de clasificación, los procedimientos de análisis y resolución, los cauces de comunicación a las partes interesadas y el registro de las actuaciones, que se empleará para la mejora continua. Cuando se produce una desviación significativa de los parámetros preestablecidos como normales, se activan los mecanismos de detección, análisis y reporte necesarios. Las medidas de reacción incluyen:

• Mecanismos para responder eficazmente a los incidentes de seguridad.
• Punto de contacto designado para comunicaciones sobre incidentes.
• Protocolo para el intercambio de información relacionada con el incidente, incluyendo comunicaciones con CCN-CERT.
• Medios y técnicas que permitan garantizar la recuperación de los servicios más críticos.

Líneas de defensa (art. 9) y prevención ante sistemas interconectados (art. 23)

La empresa ha implementado una estrategia de protección basada en múltiples capas (organizativas, físicas y lógicas) de tal forma que, cuando una de las capas falle, se gane tiempo para una reacción adecuada, se reduzca la probabilidad de que el sistema sea comprometido en su conjunto y se minimice el impacto final. Esta estrategia protege el perímetro, en particular si se conecta a redes públicas; se analizarán los riesgos derivados de la interconexión con otros sistemas y se controlará su punto de unión.

Diferenciación de responsabilidades (art. 11) y organización del proceso de seguridad (art. 13)

La empresa ha organizado su seguridad mediante la designación de diferentes roles con responsabilidades claramente diferenciadas, tal y como se recoge en el apartado "Organización de la seguridad".

Autorización y control de los accesos (art. 17)

La empresa ha implementado mecanismos de control de acceso al sistema de información, limitándolos a los estrictamente necesarios y debidamente autorizados.

Protección de las instalaciones (art. 18)

Dado que AP Interactive opera en modelo 100% remoto, la protección de instalaciones se adapta a este contexto mediante:

• Control de acceso físico a equipos personales (cifrado de disco, bloqueo automático).
• Responsabilidad individual de cada miembro sobre la seguridad física de su espacio de trabajo.
• Políticas de teletrabajo seguro.
• Prohibición de trabajar con información sensible en espacios públicos no seguros.

Adquisición de productos y contratación de servicios de seguridad (art. 19)

Para la adquisición de productos, la empresa tendrá en cuenta que dichos productos tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición, salvo en aquellos casos en que las exigencias de proporcionalidad respecto a los riesgos asumidos no lo justifiquen.

Protección de la información almacenada y en tránsito (art. 22) y continuidad de la actividad (art. 26)

La empresa ha implementado mecanismos para proteger la información almacenada o en tránsito, especialmente en entornos inseguros (portátiles, tablets, soportes de información, redes abiertas, etc.). Los sistemas dispondrán de copias de seguridad y de los mecanismos necesarios para garantizar la continuidad de las operaciones en caso de pérdida de los medios habituales de trabajo.

Registros de actividad y detección de código dañino (art. 24)

La empresa ha habilitado registros de la actividad de los usuarios, reteniendo la información necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento a la persona que actúa, con la finalidad exclusiva de lograr el cumplimiento del ENS, con plenas garantías del derecho a la intimidad y de acuerdo con la normativa sobre protección de datos personales.

4. Principios de la Política de Seguridad de la Información

La presente Política responde a las recomendaciones de las mejores prácticas de Seguridad de la Información recogidas en el Estándar Internacional ISO/IEC 27001 y en el Esquema Nacional de Seguridad, así como al cumplimiento de la legislación vigente en materia de protección de datos personales (RGPD). AP Interactive aplica los siguientes principios:

• Alcance estratégico: la seguridad de la información deberá contar con el compromiso y apoyo de los miembros de AP Interactive, coordinada e integrada con el resto de iniciativas estratégicas.
• Seguridad integral: se considerará parte de la operativa habitual, aplicándose durante todo el proceso de diseño, desarrollo y mantenimiento de los sistemas de información.
• Gestión de riesgos: el análisis y gestión de riesgos será parte esencial del proceso, manteniendo un entorno controlado y minimizando los riesgos hasta niveles aceptables.
• Proporcionalidad: las medidas de protección, detección y recuperación serán proporcionales a los riesgos potenciales y a la criticidad y valor de la información y los servicios.
• Mejora continua: las medidas se reevaluarán y actualizarán periódicamente para adecuar su eficacia a la evolución de los riesgos.
• Seguridad por defecto: los sistemas se diseñarán y configurarán para garantizar un grado suficiente de seguridad por defecto.

Puesto que la Seguridad de la Información incumbe a toda la empresa, esta Política deberá ser conocida, comprendida y asumida por todos sus miembros, además de cualquier tercero que acceda a los activos de la compañía.

5. Organización de la seguridad

La organización de la Seguridad de la Información en AP Interactive se establece en el documento interno «Descripción de puestos de trabajo». Para garantizar el cumplimiento de las medidas exigidas reglamentariamente, se han creado los siguientes roles o perfiles de seguridad:

• Responsable de Información: establece los requisitos de seguridad de la información.
• Responsable de los Servicios: establece los requisitos de seguridad de los servicios.
• Responsable de Seguridad: mantiene y verifica el nivel adecuado de seguridad de la información manejada y de los servicios electrónicos prestados.
• Responsable del Sistema: desarrolla, opera y mantiene el sistema de información durante todo su ciclo de vida, y elabora los procedimientos operativos necesarios.

También se ha constituido un Comité de Seguridad de la Información, como órgano colegiado, que atiende las solicitudes en materia de Seguridad de la Información, informa regularmente del estado de la seguridad y asesora en la materia.

6. Marco organizativo

6.1 Gestión de la seguridad de los recursos humanos

La gestión de personal se realizará teniendo en cuenta los criterios de seguridad establecidos en esta Política, salvaguardando sus requisitos en todo momento, incluyendo las fases previa a la contratación, de contratación y de desistimiento de contratos.

6.1.1 Formación y concienciación. AP Interactive asegurará que los miembros reciben un nivel de formación y concienciación adecuado en materia de Seguridad de la Información, especialmente en confidencialidad y prevención de fugas de información. Los miembros tienen la obligación de obrar con diligencia respecto a la información.

6.1.2 Política de escritorio limpio.

• Se bloqueará la sesión de los equipos al dejar el escritorio, manual o automáticamente.
• Se posicionarán las pantallas de forma que no sean visibles por personas no autorizadas y se mantendrá el puesto de trabajo ordenado y despejado de documentos o soportes accesibles por terceros.

6.1.3 Trabajo remoto / teletrabajo. Todos los miembros trabajan desde ubicaciones remotas, por lo que se establecen las siguientes medidas:

• La VPN corporativa se utiliza para la gestión de servidores.
• El acceso a otros sistemas corporativos (repositorios, cloud, etc.) se realiza mediante conexiones seguras (HTTPS, SSH).
• Cualquier colaborador externo que requiera acceso deberá contar con autorización del Responsable de Seguridad.

El equipo utilizado para la conexión en remoto podrá ser propiedad de los socios, pero deberá cumplir: A) capacidad de conexión a través de VPN; B) sistema operativo actualizado con los últimos parches; C) software antivirus instalado; D) firewall/cortafuegos personal instalado. El servicio de teletrabajo se monitorizará y controlará, registrándose tanto la conexión como la actividad. Para más detalle, la organización cuenta con la Política de teletrabajo y dispositivos móviles.

6.2 Gestión de activos

Se mantendrán identificados e inventariados los activos de información necesarios para la prestación de los procesos de negocio, manteniendo el inventario actualizado. Los activos se clasificarán según el tipo de información que traten. Cada activo tendrá un responsable o propietario encargado de su gestión durante todo el ciclo de vida, de mantener un registro formal de accesos autorizados y de asegurar que está inventariado, correctamente clasificado y adecuadamente protegido.

6.2.1 Gestión de dispositivos personales. Los miembros del equipo utilizan equipos personales para el trabajo diario, debiendo cumplir:

• Sistema operativo actualizado con los últimos parches de seguridad.
• Bloqueo automático de sesión tras 5 minutos de inactividad.
• Firewall/cortafuegos personal activado.
• Reporte al Responsable de Seguridad de cualquier incidencia que afecte a la confidencialidad, integridad o disponibilidad de estos dispositivos.

6.2.2 Gestión del ciclo de vida de la información. El ciclo de vida de un activo de información consta de las fases de: (1) creación o recolección, (2) distribución, (3) uso o acceso, (4) almacenamiento y (5) destrucción. Los periodos de conservación se basarán en los requisitos normativos, legales y de negocio; cuando no se exija su conservación, la información se desechará mediante medios que garanticen su confidencialidad durante el proceso de destrucción.

6.2.3 Gestión de copias de seguridad.

• Se realizarán copias de seguridad de aplicaciones, ficheros y bases de datos con periodicidad al menos semanal, salvo que no se hubiese producido ninguna actualización; se podrá aumentar la frecuencia para información de impacto alto.
• Las copias recibirán las mismas protecciones de seguridad que los datos originales, con los controles de acceso adecuados.
• Siempre que sea posible, la información en las copias estará cifrada; obligatorio para determinada información confidencial.
• Se realizarán pruebas de restauración periódicas y documentadas.
• Se establecerá un periodo de retención hasta su destrucción, ubicando las copias en lugares seguros con acceso restringido, preferentemente en un centro distinto al que las generó.
• Existirá una copia adicional de la información sensible protegida ante escritura, para garantizar su integridad frente a incidentes como un ransomware.

6.3 Clasificación de la información

Se define un modelo de clasificación de la información que permite implantar las medidas técnicas y organizativas necesarias para mantener su disponibilidad, confidencialidad e integridad. El detalle completo figura en el documento interno «Política de clasificación de la información»; a continuación, un resumen.

6.3.1 Tipos de información. La información se clasifica según el soporte: soportes lógicos (medios ofimáticos, correo electrónico o sistemas de información a medida o de terceros).

6.3.2 Niveles de clasificación:

• Uso público
• Uso interno
• Confidencial
• Reservada

6.3.3 Gestión de información privilegiada. La información confidencial o reservada se tratará con especial cuidado, con medidas de seguridad adicionales, enviándose cifrada y mediante protocolos seguros.

6.3.4 Etiquetado de la información. Se etiquetarán los documentos y materiales (incluidos anexos, copias, traducciones o extractos) según los niveles de clasificación, salvo la información de "Uso público". El etiquetado reflejará el esquema de clasificación, será fácilmente reconocible y se acompañará de orientación sobre su colocación y de las excepciones permitidas.

6.3.5 Manipulación de la información. Se desarrollarán procedimientos adecuados para la correcta manipulación de la información según su clasificación, custodiando la información privilegiada durante todo su ciclo de vida.

6.3.6 Privacidad de la información. AP Interactive se compromete a proteger la privacidad de: datos personales de clientes (RGPD), datos personales de empleados (RGPD) e información confidencial de clientes (acuerdos de confidencialidad, NDA). Para más detalle, ver la Política de Privacidad.

6.4 Prevención de fugas de información

La fuga de información es una salida no controlada (intencionada o no) que provoca que llegue a personas no autorizadas o que su propietario pierda el control sobre el acceso. AP Interactive define procedimientos para evitar estas situaciones y para actuar cuando se notifique una fuga. Todos los miembros reciben formación sobre prevención de fugas, incluyendo: manejo de dispositivos de alta criticidad, monitorización de red (detección de transferencias anómalas), uso del correo electrónico, transmisión oral de información, uso de dispositivos móviles, control de dispositivos extraíbles y uso de Internet.

6.5 Control de acceso

Todos los sistemas de información contarán con un sistema de control de acceso, enfocado a asegurar el acceso de los usuarios y prevenir accesos no autorizados (incluyendo protección mediante contraseñas). El control de acceso se entiende desde la perspectiva lógica. Para más detalle, la organización cuenta con el documento interno «Política de Control de Acceso».

6.5.1 Derechos de acceso. Se otorgarán únicamente los privilegios necesarios para desempeñar cada función, en base a:

• Control de acceso basado en roles: perfiles de acceso por aplicación y/o sistema asignados a los usuarios.
• Necesidad de saber: acceso solo cuando exista una necesidad legítima para la actividad.
• Privilegios mínimos: los permisos serán los mínimos.
• Segregación de funciones: correcta separación de funciones al asignar derechos de acceso.

6.5.2 Control de acceso lógico. Se establecerá una política de contraseñas alineada con las buenas prácticas de seguridad, que definirá los requisitos y plazos de mantenimiento de las contraseñas, detallada en el documento interno «Política de uso aceptable», y conocida por todos los miembros.

6.6 Seguridad en la nube (cloud)

AP Interactive mantendrá una política de trabajo en la nube que establezca las medidas adecuadas para la confidencialidad, integridad y disponibilidad de la información, según el modelo de servicio:

• Infraestructura: el proveedor monitoriza el entorno para detectar cambios no autorizados; fuertes niveles de autenticación y control de acceso para administradores; instalaciones y configuraciones registradas y conectadas para garantizar la trazabilidad.
• Configuración segura: hardening de recursos cloud.
• Cifrado: datos en tránsito y en reposo.
• Backup y DR: estrategias de recuperación en la nube.
• Plataforma: mecanismos de seguridad correspondientes al ciclo de vida del software seguro (ver apartado 6.9).
• Software: empresa y proveedor seguirán OWASP como guía para la seguridad de las aplicaciones.

6.7 Seguridad operativa

Todos los servicios que procesan o almacenan información propia contarán con las medidas de seguridad oportunas que optimicen su nivel de madurez (monitorización, control de cambios, revisiones, etc.). Las redes se gestionarán, controlarán y monitorizarán adecuadamente para protegerse de las amenazas, incluyendo los controles de acceso a la red.

6.8 Seguridad en las telecomunicaciones

Se establece el uso obligatorio de VPN corporativa, firewalls para filtrado de datos, IDS/IPS para detección y prevención de intrusiones, cifrado TLS/SSL para comunicaciones y autenticación multifactor (MFA) en servicios críticos. Las comunicaciones se realizarán exclusivamente a través de redes seguras, quedando prohibido el uso de redes públicas sin protección VPN. Todos los miembros utilizarán únicamente canales autorizados y reportarán inmediatamente cualquier anomalía.

6.9 Seguridad en el ciclo de vida del desarrollo de sistemas

Toda la adquisición, desarrollo y mantenimiento de los sistemas contará con unos requisitos mínimos de seguridad acordes con las buenas prácticas del sector, incluyendo la gestión de pruebas, el seguimiento de los cambios y el inventario del software. AP Interactive tendrá en cuenta la seguridad de la información en sus procesos de selección, desarrollo e implementación de aplicaciones, productos y servicios.

6.10 Seguridad en los proveedores

Se evaluará la criticidad de todos los servicios susceptibles de subcontratación para identificar los relevantes desde el punto de vista de la seguridad. Se cuidarán los procesos de selección, los requerimientos contractuales (incluida la terminación), la monitorización de los niveles de servicio, la devolución de datos y las medidas de seguridad del proveedor, que serán al menos equivalentes a las de esta Política. Para más detalle, la organización cuenta con el documento interno «Política de compras, gestión de proveedores y terceros».

6.11 Gestión de incidentes

Los miembros tienen la obligación de identificar y notificar al Responsable de Seguridad cualquier incidente o delito que pudiera comprometer la seguridad de los activos de información. Se definirá un procedimiento de gestión de respuesta ante incidentes, con categorización, análisis de impactos de negocio y escalado. Para más detalle, la organización cuenta con el documento interno «Política de gestión de incidentes».

6.12 Continuidad de negocio

AP Interactive dispondrá de un Plan de Continuidad de Negocio para garantizar la continuidad de sus servicios esenciales o críticos ante posibles escenarios de crisis. Este Plan se actualizará y probará periódicamente, y se complementará con un Plan de Recuperación ante Desastres alineado con la continuidad de negocio. La empresa formará a sus empleados en materia de Continuidad de Negocio, revisando dicha formación periódicamente.

6.13 Gestión de claves criptográficas

Se establecen los estándares para asegurar la creación, uso, almacenamiento y destrucción seguros de las claves criptográficas que protegen la información confidencial, abarcando todo su ciclo de vida. La responsabilidad de la gestión de claves recae en el Responsable del Sistema, que asegura que las claves sean accesibles únicamente para usuarios y sistemas autorizados, incluyendo la generación, distribución, almacenamiento, uso, renovación, revocación y destrucción de las claves.

6.14 Cumplimiento regulatorio de sistemas

AP Interactive dotará los recursos necesarios para dar cumplimiento a toda la legislación y regulación aplicable a su actividad en materia de seguridad de la información, estableciendo la responsabilidad de dicho cumplimiento sobre todos sus miembros.

6.15 Auditorías de seguridad y gestión de vulnerabilidades

Se realizará una identificación periódica de vulnerabilidades técnicas de los sistemas y aplicaciones, según su exposición, aplicando las medidas correctoras necesarias tan pronto como sea posible. La identificación, gestión y corrección se hará conforme a un enfoque basado en riesgos, teniendo en cuenta la criticidad y la exposición de los activos.

6.16 Gestión de excepciones

Cualquier excepción a esta Política deberá registrarse e informarse al Responsable de Seguridad. Las excepciones se analizarán para evaluar el riesgo que podrían introducir y, en base a su categorización, deberán ser asumidas por el peticionario junto con los responsables de negocio.

6.17 Sanciones disciplinarias

Cualquier violación de esta Política puede resultar en las acciones disciplinarias correspondientes de acuerdo con el proceso interno de AP Interactive. Es responsabilidad de todos los miembros notificar al Responsable de Seguridad cualquier evento o situación que pudiera suponer un incumplimiento de las directrices definidas.