Política de seguridad

Realizado por Revisado y aprobado por
Responsable de Seguridad Comité de Seguridad
Edición Fecha revisión Observaciones Aprobado
1 29/10/2025 Versión inicial. Implantación 30/10/2025

ÍNDICE

1. OBJETO

2. ÁMBITO DE APLICACIÓN

3. OBJETIVOS DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

4. MARCO NORMATIVO

5. SISTEMA DE GESTIÓN

5.1. OBJETIVOS Y SU PLANIFICACIÓN

5.2. ESTABLECIMIENTO, DESPLIEGUE Y MEJORA DEL SISTEMA DE GESTIÓN

5.3. EVALUACIÓN

6. ORGANIZACIÓN DE LA SEGURIDAD

6.1. COMITÉS: FUNCIONES Y RESPONSABILIDADES

6.2. ROLES: FUNCIONES Y RESPONSABILIDADES

6.3. RESOLUCIÓN DE CONFLICTOS.

7. GESTIÓN DE RIESGOS DE SEGURIDAD

8. INCIDENCIAS DE SEGURIDAD

8.1. DETECCIÓN

8.2. PREVENCIÓN

8.3. RESPUESTA

8.4. RECUPERACIÓN

9. CONCIENCIACIÓN Y FORMACIÓN

10. DESARROLLO DE LA POLÍTICA

11. OBLIGACIONES DEL PERSONAL

12. TERCERAS PARTES

13. ACEPTACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

14. DIFUSIÓN

15. REVISIÓN


OBJETO

La Dirección de NUBA EXPEDICIONES, S.L. (en adelante NUBA), dentro de la estrategia definida para el desarrollo del negocio, considera la seguridad de la información un aspecto fundamental para garantizar la consecución de los objetivos de la organización y la adecuación a la legislación vigente. Por ello, se compromete a mantener un nivel de seguridad adecuado y alineado al negocio, en los procesos asociados a los servicios prestados por la organización, con objeto de ofrecer a sus clientes internos y externos las mayores garantías en cuando a la calidad de dichos servicios.

La Dirección de NUBA se compromete a gestionar y proteger su información y sus servicios de forma adecuada mediante la implementación, mantenimiento y mejora de un Sistema de Gestión de Seguridad de la Información que cumpla los requisitos del Esquema Nacional de Seguridad (ENS en adelante), así como de sus partes interesadas, y dentro del marco regulatorio legal y vigente del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.

El presente documento constituye la política de Seguridad de la Información de NUBA que establece las directrices y principios que regirán el modo en que NUBA gestionará y protegerá su información y sus servicios a través de su Sistema de Gestión interno.

ÁMBITO DE APLICACIÓN

El alcance de esta política comprende los sistemas de información que dan soporte al servicio de agencia de viajes a empresas y particulares y a la consultoría de organizaciones para la atracción de turistas, en la sede de la Calle Serrano 96, Madrid, conforme a la categorización del sistema vigente, a fecha de emisión del certificado.

El alcance de esta política incluye a todo el personal perteneciente a la organización NUBA, así como al personal subcontratado o los suministradores que están ubicados en las instalaciones de NUBA, o que utilizan o se conectan a cualquier sistema perteneciente a NUBA.

El alcance de esta política comprende el conjunto de servicios relacionados con el servicio de agencia de viajes a empresas y particulares y a la consultoría de organizaciones para la atracción de turistas que se prestan por los departamentos o áreas de NUBA, a los clientes externos.

Esta versión de la Política de Seguridad de la Información y Continuidad de Negocio es efectiva desde el 30 de octubre de 2025, fecha de su aprobación por el Comité de Seguridad de NUBA, hasta que sea reemplazada por una nueva versión y su cumplimiento es obligatorio a partir de dicha fecha, de forma indefinida, para todo el personal dentro del alcance.

OBJETIVOS DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

NUBA es una empresa con una gran experiencia en el de viajes exclusivos y a medida, desde hace más de 30 años.

Para el cumplimiento de su Propósito, la prestación de los servicios y el cumplimiento de sus objetivos, NUBA depende de sistemas TIC. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la confidencialidad, disponibilidad, integridad, autenticidad y trazabilidad de la información tratada o los servicios prestados.

Con la implementación del ENS se fortalece la seguridad de los servicios, así como de la información y datos que incluyen dichos servicios y que son necesarios para su correcta y adecuada prestación, por la estrecha relación entre ambos y los elementos adicionales que mejoran notablemente la gestión de la seguridad que es necesaria para NUBA, como parte del cumplimiento satisfactorio de su misión.

El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.

Dentro de este contexto, los objetivos de la presente Política de Seguridad de la Información son:

  • Garantizar los aspectos de confidencialidad, disponibilidad, integridad, autenticidad y trazabilidad de la información.
  • Gestionar el riesgo de seguridad existente hasta los umbrales establecidos por la Dirección, en base a la prestación del servicio a clientes.
  • Implantar un Sistema de Gestión que permita gestionar y proteger la información y servicios que presta la compañía.
  • Implantar un conjunto de medidas o controles de seguridad adecuados, determinadas por el ENS, así como cualquier control adicional identificado, como parte del Sistema de Gestión para asegurar la protección ante amenazas que puedan incidir en la autenticidad, trazabilidad, confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios, a través de la evaluación de amenazas y riesgos.
  • Nombrar a los responsables de la implementación y gestión de la seguridad de la información, que incluya un responsable del Sistema, encargado de gestionarlo y velar por el desarrollo, mantenimiento y mejora del mismo.
  • Nombrar un Responsable de Seguridad y asegurar que dispone de los recursos necesarios para llevar a cabo los controles de seguridad de la información necesarios.
  • Gestionar la prestación y continuidad de los servicios realizados a los clientes de forma eficaz y eficiente, dentro de un ciclo de vida que permita la mejora continua de los procesos implantados y del Sistema en general.
  • Asegurar que los requisitos acordados con los clientes se cumplen y se mantienes.
  • Establecer periódicamente un conjunto de objetivos e indicadores en materia de gestión de seguridad de la información, que permitan a la Dirección llevar a cabo un adecuado seguimiento del nivel de seguridad y cumplimiento de los objetivos.
  • Formar y concienciar a todos los empleados en materia de seguridad de la información, garantizar que el personal de la organización dentro del alcance dispone del suficiente conocimiento sobre las políticas y los controles de seguridad de la información y asegurar que todos los empleados conocen sus funciones y obligaciones de seguridad de la información y son responsables de cumplirlas.
  • Garantizar servicio ininterrumpido, alta satisfacción del cliente y rápida resolución de incidencias, asegurando que los incidentes de seguridad de la información son correctamente identificados, gestionados y resueltos.
  • Cumplir con todos los requisitos legales, normativos, reglamentarios aplicables y obligaciones contractuales y otros requisitos aplicables relacionados con la seguridad de la información.
  • Asegurar la continuidad de los procesos de negocio incluidos dentro del alcance.

MARCO NORMATIVO

NUBA se esfuerza en cumplir con toda la legislación aplicable a su actividad, ya sea de carácter general o específico. Por todo ello, NUBA podrá ser requerida por los órganos administrativos pertinentes a proporcionar los registros electrónicos o cualquier otra información relativa al uso de los sistemas de información.

Esta política se sitúa dentro del marco jurídico definido por las leyes y reales decretos siguientes:

  • Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI-CE).
  • Real Decreto 13/2012, de 30 de marzo, por el que se modifica el texto correspondiente al apartado segundo del artículo 22 de la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (o LSSI-CE).
  • Ley 9/2014, de 9 de mayo, General de Telecomunicaciones (aunque fue derogada en gran parte por la Ley 11/2022, algunas disposiciones adicionales y transitorias siguen vigentes) y Ley 11/2022, de 28 de junio, General de Telecomunicaciones en España.
  • Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el Texto Refundido de la Ley de Propiedad Intelectual.

NUBA trata datos de carácter personal que se encuentran incorporados en los ficheros correspondientes, junto con los responsables correspondientes, en el documento de seguridad de tratamiento de datos de carácter personal, al que tendrán acceso sólo las personas autorizadas. Todos los sistemas de información de NUBA se ajustarán a los niveles de seguridad requeridos por la normativa relacionada:

  • Reglamento Europeo de Protección de Datos 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos, «RGPD»).
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) que adapta el ordenamiento jurídico español al RGPD.

Por último, al comprometerse NUBA a implantar los requisitos del ENS y establecer un Sistema de Gestión basado dichos requisitos, la siguiente legislación también le es de aplicabilidad:

  • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.

La implantación de dichas leyes y decretos se completa en los documentos del Sistema de Gestión que cumplen los requisitos requeridos por el ENS.

 

SISTEMA DE GESTIÓN

La Dirección de NUBA se compromete a destinar los recursos y medios necesarios para establecer, implantar, mantener y mejorar el Sistema de Gestión y los controles de seguridad necesarios, manteniendo un adecuado balance entre coste y beneficio, así como a demostrar liderazgo y compromiso respecto a este.

OBJETIVOS Y SU PLANIFICACIÓN

Los objetivos de seguridad de la información se establecerán en las funciones y niveles pertinentes, enfocados a la mejora y utilizando como marco de referencia:

  • Cambios en las necesidades de las partes interesadas que lleven a una mejora del alcance del sistema.
  • Requisitos de seguridad de la información y los resultados de la apreciación y del tratamiento de los riesgos para garantizar la confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad de la información.
  • Factores internos y externos.
  • La mejora de la eficacia de la formación y concienciación del personal que trabaja en la entidad y afecta a su desempeño en seguridad de la información.

Asimismo, la planificación para la consecución de los objetivos de seguridad de la información establecidos se realizará considerando las acciones a realizar y su responsable, los recursos y plazos necesarios y los indicadores para evaluar el resultado/cumplimiento.

ESTABLECIMIENTO, DESPLIEGUE Y MEJORA DEL SISTEMA DE GESTIÓN

El establecimiento y despliegue del Sistema de Gestión de NUBA se iniciará a partir del Análisis de Riesgos, que permitirá determinar el nivel de riesgo de seguridad de la información en que se encuentra NUBA e identificar los controles de seguridad necesarios para el tratamiento del riesgo y llevarlo a un nivel aceptable, así como las oportunidades de mejora, considerando las cuestiones internas y externas y los requisitos de las partes interesadas.

Los controles de seguridad deberán implantarse, mantenerse y mejorarse continuamente, y estar disponibles como información documentada, mediante procedimientos, normativas, instrucciones técnicas, y cualquier otra documentación que así se considere, revisados y aprobados por el Comité de Seguridad de NUBA.

Se deberá comunicar la información documentada de los controles de seguridad al personal que trabaja en NUBA (empleados y proveedores), que tendrá la obligación de aplicarla en la realización de sus actividades laborales, comprometiéndose de ese modo, al cumplimiento de los requisitos del Sistema de Gestión.

EVALUACIÓN

Se realizarán auditorías periódicamente que revisen y verifiquen el cumplimiento del Sistema de Gestión con los requisitos aplicables dentro del marco regulatorio del ENS, por lo que, en caso necesario, el personal afectado por el alcance deberá colaborar en estas, así como en la aplicación de las acciones correctivas que se deriven para el mejoramiento continuo. Se definirán criterios de cualificación para las personas que realicen dichas auditorías.

ORGANIZACIÓN DE LA SEGURIDAD

COMITÉS: FUNCIONES Y RESPONSABILIDADES

Con objeto de garantizar el cumplimiento de los intereses de la Dirección y asegurar una correcta gestión de la seguridad de la Información se ha constituido el Comité de Seguridad, que responde a la Dirección.

El Comité de Seguridad es el órgano con mayor responsabilidad en la gestión de la seguridad de la información dentro del Sistema de Gestión implementado, de forma que todas las decisiones más importantes relacionadas con la seguridad de la información se acuerdan por este Comité. Es un órgano autónomo, ejecutivo y con autonomía para la toma de decisiones y que no tiene que subordinar su actividad a ningún otro elemento de NUBA. El Comité de Seguridad mediará y resolverá cualquier conflicto que pudiera surgir garantizando la seguridad de la información y el correcto funcionamiento del sistema de gestión implementado.

Las competencias del Comité de Seguridad y los miembros que forman parte de él se encuentran detallados en la documentación de funciones y responsabilidades del personal de NUBA.

ROLES: FUNCIONES Y RESPONSABILIDADES

Los roles establecidos en la organización relacionados con la seguridad de la información se describen en los correspondientes documentos del Sistema de Gestión de la organización.

RESOLUCIÓN DE CONFLICTOS.

En caso de conflicto entre los diferentes responsables de NUBA, éste será resuelto por el superior jerárquico de los mismos. En defecto de lo anterior, prevalecerá la decisión del Comité de Seguridad, elevando aquellos casos en los que no tenga suficiente autoridad para decidir.

GESTIÓN DE RIESGOS DE SEGURIDAD

Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:

  • Regularmente, al menos una vez al año.
  • Cuando cambie la información manejada o los servicios prestados.
  • Cuando ocurra un incidente grave de seguridad.
  • Cuando se reporten vulnerabilidades graves.

Para la armonización de los análisis de riesgos, el Responsable de Seguridad, con el apoyo, cuando sea necesario, del Comité de Seguridad, establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. Los criterios de evaluación de riesgos detallados se especificarán en la metodología de evaluación de riesgos que elaborará NUBA, basándose en estándares y buenas prácticas reconocidas.

El análisis de riesgos será la base para determinar las medidas de seguridad que se deben adoptar, además de los requerido como mínimo por parte del ENS. Aquellos controles que no sean de aplicación obligada por motivos legales, normativos o de negocio se aplicarán en base a la gestión de riesgos de la organización y los umbrales definidos y aprobados por el Responsable de Seguridad.

El Responsable de Seguridad realizará el análisis de los riesgos, así como el plan de tratamiento de los mismos, para generar el documento de aplicabilidad de los controles y medidas de seguridad. El Comité de Seguridad aprobará el análisis y tratamiento de los riesgos, así como la declaración de aplicabilidad. Deberán tratarse, como mínimo, todos los riesgos que puedan impedir la prestación de los servicios o el cumplimiento de la misión de la organización de forma grave.

Los riesgos residuales esperados sobre cada Información o Servicio tras la implementación de las medidas de seguridad previstas serán determinados por el Responsable de Seguridad y presentados al Comité de Seguridad, para que éste proceda, en su caso, a evaluar, aprobar o rectificar las opciones de tratamiento propuestas. Dichos riesgos residuales deberán ser aceptados previamente por los responsables correspondientes.

INCIDENCIAS DE SEGURIDAD

DETECCIÓN

Los departamentos de NUBA deben evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad.

PREVENCIÓN

Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una disminución hasta el cese del nivel de prestación, los servicios deben monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia.

RESPUESTA

Se han establecido mecanismos de detección, análisis y reporte para que se pueda informar a los responsables tanto regularmente como cuando se produzca una desviación significativa de los parámetros que se hayan preestablecido como normales.

RECUPERACIÓN

Para garantizar la disponibilidad de los servicios críticos, se han desarrollado planes de restauración de los sistemas como parte de su plan de recuperación.

CONCIENCIACIÓN Y FORMACIÓN

Se ha establecido un Plan de Formación y Concienciación en materia de Seguridad de la Información, que ayuda a todo el personal implicado a conocer y cumplir las actividades de gestión definidas, y a participar de manera activa a asegurar la seguridad de la organización.

DESARROLLO DE LA POLÍTICA

La Política de Seguridad de la Información se desarrolla por medio de unas políticas, normativas o procedimientos detallados que afronten aspectos específicos de seguridad en general, cuya estructura, gestión y acceso están descritos en la documentación del Sistema y en concreto en el procedimiento de gestión de la información documentada y con los ficheros y tratamientos automatizados que contengan datos de carácter personal. Dicha documentación detallada estará a disposición de todos los miembros de la organización que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones.

La Política de Seguridad de la Información se desarrolla aplicando los siguientes principios mínimos:

  • Organización e implantación del proceso de seguridad.
  • Análisis y gestión de los riesgos.
  • Gestión de personal.
  • Profesionalidad.
  • Autorización y control de los accesos.
  • Protección de las instalaciones.
  • Adquisición de productos de seguridad y contratación de servicios de seguridad.
  • Mínimo privilegio.
  • Integridad y actualización del sistema.
  • Protección de la información almacenada y en tránsito.
  • Prevención ante otros sistemas de información interconectados.
  • Registro de actividad.
  • Incidentes de seguridad.
  • Continuidad de la actividad.
  • Mejora continua del proceso de seguridad.

La documentación de seguridad estará disponible en el SharePoint de NUBA.

OBLIGACIONES DEL PERSONAL

Los directores y responsables de las direcciones, áreas y departamentos de NUBA incluidos dentro del alcance de esta política serán los responsables de asegurar su cumplimiento de dichas políticas dentro de sus departamentos.

Todos los trabajadores de NUBA tienen la obligación de conocer esta Política de Seguridad de la Información y la normativa y políticas de seguridad que la desarrollan, que son de obligado cumplimiento dentro del alcance identificado, siendo responsabilidad del Comité de Seguridad y de la Dirección de la empresa disponer los medios necesarios para que la información llegue a los afectados.

Todo el personal contratado deberá recibir y firmar un compromiso de cumplimiento de la Política de Seguridad de la Información y de la normativa de seguridad, y deberá recibir formación o concienciación relativa a la seguridad de la Información, en función de cuál sea su puesto de trabajo.

TERCERAS PARTES

Cuando NUBA preste servicios a otras organizaciones o maneje información de otras organizaciones, se les hará partícipes de esta Política de Seguridad de la Información, se establecerán canales para reporte y coordinación del Comité de Seguridad y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

Cuando NUBA utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad de la Información y de la normativa de seguridad para que estén informados acerca de lo que aplica a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla o asumiendo los procedimientos de NUBA para la gestión. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política.

Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.

ACEPTACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Este documento y cualesquiera otras normas, procedimientos, estándares o documentos relacionados con la seguridad de los sistemas de información y los datos que tratan, son propiedad de NUBA y, por lo tanto, tienen carácter confidencial estando únicamente permitida su utilización y difusión con carácter interno o externamente cuando así sea decidido por la Dirección de la empresa.

El incumplimiento de cualquiera de los principios recogidos en esta Política, dará lugar a una falta, que atendiendo a su importancia, reincidencia e intención se clasificará como leve, grave o muy grave, pudiendo ser sancionado según la legislación vigente, y pudiendo NUBA ejercitar tantas acciones como sean necesarias para la reclamación de daños y perjuicios.

DIFUSIÓN

La presente Política de Seguridad de la Información, aprobada por la Dirección, es conocida y suscrita por todo el personal de la organización, así como por los proveedores o las terceras partes que interactúen con la organización, conforme a las exigencias de la Dirección. Tras cada revisión, la Política será nuevamente publicada y comunicada al personal dentro del alcance y a otras partes interesadas, cuando aplique.

La presente Política se mantendrá publicada en el SharePoint de NUBA y será difundida externamente a través de la página web de NUBA.

REVISIÓN

Esta Política de Seguridad de la Información será revisada como mínimo anualmente o cada vez que se produzcan cambios importantes organizativos o en la infraestructura.

Será misión del Comité de Seguridad la revisión esta Política de Seguridad de la Información y la propuesta de revisión o mantenimiento de la misma. La Política será aprobada por la Dirección de NUBA y difundida para que la conozcan todas las partes afectadas.