Política Corporativa

INTRODUCCIÓN

El Grupo Redsys está conformado por distintas sociedades cuyos objetos sociales se centran, principalmente, en la aportación al mercado de soluciones tecnológicas, comunicaciones e I+D en el sector de los medios de pago y sector sanitario. Estas sociedades son:

  • Redsys Servicios de Procesamiento, S.L.: Redsys opera en el sector de los medios de pago siendo el referente nacional en la prestación de servicios operativos e informáticos relacionados con la utilización de tarjetas u otros medios de pago. Líder en el sector de procesamiento de pagos en España, la capacidad informática y operativa de Redsys le permite autorizar, procesar y liquidar un amplio volumen de transacciones con tarjeta que se realizan cada día en España, en tiempo real y de manera segura.

    La misión de Redsys es la prestación de servicios de medios de pago, de calidad, flexibles, innovadores y sostenibles en el tiempo, operando en todo el ciclo de vida de la transacción, desde su adquirencia a su autorización, prestando además servicios de atención al cliente y fraude.

    Una de las principales contribuciones de Redsys al sector financiero español es el establecimiento de un sistema de autorización mayoritariamente on-line. Este sistema permite que los terminales se conecten directamente a la Entidad Emisora de la tarjeta para solicitar autorización en tiempo real. De este modo, se garantiza un mayor nivel de seguridad en las transacciones, situando los niveles de fraude de España en uno de los más bajos del mundo.

  • Redsys Salud, S.L.: Adicionalmente al sector financiero, Grupo Redsys ofrece sus servicios de procesamiento al sector sanitario a través de Redsys Salud, que da servicio a todos los actores que forman el ecosistema del negocio de la salud: compañías aseguradoras sanitarias, hospitales, clínicas, médicos…

    Redsys Salud presta servicios tecnológicos innovadores, seguros y versátiles tales como la facturación electrónica, la citación online, la identificación del asegurado vía móvil, el sistema de e-receta (receta electrónica) o vídeo-consulta médica.

  • Redsys Servicios de Procesamiento Latinoamérica, S.A.C. (Perú) y Redsys Servicios de Procesamiento Colombia, S.A.S. (Colombia): ambas sociedades se centran en la prestación de servicios de gestión de red, incluyendo la puesta a disposición (mediante el alquiler, la compraventa o cualquier otro negocio jurídico similar) de terminales de puntos de venta u otros dispositivos análogos o similares, así como la prestación de servicios de instalación, mantenimiento y/o soporte en relación con dichos dispositivos y sistemas, además de la prestación de cualquier otro tipo de servicio accesorio o relacionado con los anteriores, entre otras activades de gran calado en el sector de los medios de pago internacionales.
  • Gestora Patrimonial Calle Francisco Sancha 12, S.L. (GEFRASAN): El objeto social de la Sociedad es la adquisición, tenencia, administración, gestión, arrendamiento, explotación, disposición por cualquier título y enajenación de toda clase de bienes inmuebles o derechos reales sobre los mismos, cualquiera que sea su destino, por cuenta propia y sin intermediación, la prestación de servicios relacionados con medios de pago, así como otros servicios administrativos y auxiliares, y la tenencia y administración de derechos, obligaciones, bonos, valores mobiliarios de renta fija o variable, públicos o privados, acciones y participaciones en toda clase de sociedades.

Podrá desarrollar dichas actividades tanto en territorio nacional como en el extranjero.

COMPROMISOS DE GRUPO REDSYS

La Dirección de Grupo Redsys reconoce, mediante el presente documento, que el riesgo es inherente a su negocio y que la gestión de riesgos es fundamental para lograr sus objetivos y ejecutar sus estrategias con éxito.

Por ello, se compromete a mantener el nivel de riesgo dentro de los límites que considera aceptables, con el fin de garantizar en todo momento la confidencialidad, la integridad y la disponibilidad de la información y los datos de carácter personal tratados, así como la continuidad de los servicios de negocio que se prestan en la compañía, poniendo especial atención sobre aquellos que son críticos, para asegurar la prestación de unos servicios de pago de calidad, flexibles, innovadores, eficientes y sostenibles en el tiempo, que hagan a Grupo Redsys líder en los mercados donde sirve a sus clientes, al representar la mejor opción en la prestación de servicios de pago. 

OBJETIVOS DE LA POLÍTICA

Para hacer patente los compromisos de Grupo Redsys, esta Política tiene por objeto:

  • Proteger la información y los datos de carácter personal de Grupo Redsys y de sus clientes, junto con las tecnologías utilizadas para su transmisión, procesamiento o almacenamiento, frente a amenazas internas o externas, deliberadas o accidentales, con el fin de asegurar su confidencialidad, integridad y disponibilidad.
  • Identificar los riesgos existentes y aquellos que puedan aparecer, tratándolos de una manera planificada, para que produzcan el mínimo impacto en el negocio si éste se materializase.
  • Extender la cultura de riesgo, aportando mayor valor al negocio, e integrar la visión del riesgo-oportunidad a través de la definición de la estrategia y la cantidad de riesgo que la organización asume, y la incorporación de esta variable a las decisiones estratégicas, tácticas y operativas, tanto a nivel técnico como organizativo o procedimental.
  • Evitar interrupciones en los servicios prestados por Grupo Redsys como consecuencia de incidencias o, al menos, minimizar el impacto y tiempo de recuperación, especialmente en los servicios críticos para el negocio y en aquellos servicios esenciales para la sociedad.
  • Mejorar continuamente la efectividad, eficiencia y calidad de los servicios y del sistema de gestión.
  • Cumplir con los requerimientos regulatorios, legales y obligaciones contractuales que resulten aplicables a Grupo Redsys, y velar por el cumplimiento de terceros y encargados de tratamiento en quién se deleguen actividades.
  • Asegurar que los servicios están alineados con las necesidades de los clientes.
  • Garantizar la debida diligencia y acreditar el principio de responsabilidad proactiva en materia de protección de datos basada en la mejora continua.
  • Establecer un programa de formación y concienciación continua, que garantice que todo el personal y colaboradores son conscientes de sus deberes y obligaciones en materia de gestión de riesgos, seguridad de la información, continuidad de negocio y gestión de servicios, en particular, de los riesgos asociados a la información que manejan en su trabajo y los mecanismos que emplear para protegerla.
  • Consideración de la seguridad y la continuidad de negocio como parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por la definición de requisitos en la planificación, las decisiones de desarrollo o adquisición y las actividades de explotación.
  • Velar por la óptima configuración, localización, trazabilidad y aseguramiento de las condiciones ambientales y de seguridad física para el adecuado funcionamiento de los elementos físicos del sistema IT del Grupo Redsys, que sirve de soporte a todos los servicios que el grupo presta.

ALCANCE

Esta Política afecta a todos los servicios prestados por Grupo Redsys, incluyendo a todas las sociedades que lo integran, así como a todo tratamiento de información y datos de carácter personal en los servicios de Grupo Redsys, bien sea información propia, de sus clientes o de terceras partes implicadas en la prestación del servicio y con independencia de la forma en que sea transmitida, procesada o almacenada, o del soporte en el que se encuentre.

Toda persona que trabaje en o para Grupo Redsys o que necesite acceder a la información y/o sistemas de Grupo Redsys, debe cumplir de manera obligatoria con lo establecido en esta Política, así como con toda la normativa que de ella se deriva.

Cuando Grupo Redsys preste servicios o gestione información de terceros, les hará partícipes de esta Política. Para ello, se establecerán canales de coordinación y procedimientos de actuación ante incidencias o brechas de seguridad.

Cuando Grupo Redsys utilice servicios de terceros o les ceda información, les hará partícipes de esta Política y de la normativa que aplique a dichos servicios o información, que tienen obligación de cumplir y supervisará el nivel de cumplimiento establecido. Se establecerán procedimientos de actuación ante incidencias y mecanismos de control del cumplimiento de los terceros. 

FUNDAMENTOS Y PRINCIPIOS

A la hora de definir esta Política, la Dirección toma como base los siguientes principios básicos:

  • Gestión de riesgos: Se identifican y analizan los riesgos y se acometen acciones de mitigación sobre los mismos en base a la necesidad de reducción de riesgos de la organización. Las medidas que se apliquen han de ser proporcionales al riesgo.
  • Seguridad integral: Se considera la seguridad como un proceso globalizador, que abarca aspectos físicos, lógicos, organizativos y humanos, posibilitando la definición de una estrategia única de protección.
  • Identificación, protección, detección, respuesta y recuperación: no todas las medidas están enfocadas a los mismos objetivos.
    • Las medidas de identificación permiten tener el conocimiento de los activos y funciones para gestionar los riesgos de la organización.
    • Las medidas de protección tienen como fin evitar que se produzcan incidentes o minimizar su ocurrencia.
    • Las medidas de detección sirven para identificar eventos potencialmente peligrosos.  Deben ir acompañadas de medidas de respuesta.
    • Las medidas de respuesta atajan el evento detectado, minimizando los daños que hayan podido ocurrir.
    • Las medidas de recuperación permiten restablecer la información o los servicios que hayan podido resultar afectados por un incidente.
  • Seguridad en profundidad: Se debe contar con sucesivas capas de protección de manera que un incidente no sea capaz de desarrollar todo su potencial dañino en caso de que ocurra. Para ello, las líneas de defensa han de estar constituidas por medidas de naturaleza organizativa, física y lógica.
  • Gestión de la calidad: Se planifican los planes de mejora y evolución de los servicios y se mide su nivel de calidad y eficiencia. La estrategia de la evolución ha de cubrir las necesidades del negocio de Grupo Redsys y las expectativas de los clientes.
  • Reevaluación periódica de las medidas: Para verificar que siguen siendo las adecuadas, tanto respecto a los riesgos identificados como a los nuevos riesgos que se identifiquen, y que mantienen su eficacia. Al menos, anualmente.
  • Segregación de funciones: Separación de responsabilidades que evite conflictos de interés que puedan ir en detrimento de la seguridad.
  • Mejora continua: el proceso de seguridad integral implantado es constantemente actualizado y mejorado de forma continua.

DIRECTRICES

Mediante la presente Política, la Dirección General de Grupo Redsys establece las siguientes directrices y se compromete con su aplicación:

  • La Dirección debe garantizar que las competencias en materia de riesgos, seguridad de la información, privacidad, continuidad de negocio y gestión de servicios, estén asignadas a uno o varios grupos que funcionen como órgano director con el cual se haga patente el compromiso de la Dirección General mediante la dotación de los medios y facultades necesarias para la realización de sus funciones.

  • Definición e implantación de la adecuada organización, reparto de las responsabilidades y asignación eficaz de los recursos necesarios para cumplir la presente Política en todos los procesos realizados en Grupo Redsys y en la gestión de sus activos.

  • La gestión de los riesgos, la seguridad de la información, la calidad y la continuidad de negocio como procesos de mejora continua, mediante la implantación y mantenimiento de un Sistema de Gestión Integrado (SGI) que incluye la Gestión de Riesgos, Seguridad de la Información, Privacidad, Continuidad de Negocio y Gestión de Servicios, basados en los estándares ISO 31000, ISO 27001, ISO 27701, ISO22301 e ISO 20000.

  • Evaluación y gestión de riesgos en todo nuevo proyecto. Revisión, al menos anual, de los procesos y sistemas existentes o cuando haya un cambio importante en la infraestructura o cuando ocurra un incidente grave.

  • Evaluación y gestión de riesgos sobre los tratamientos de datos personales. Revisión, al menos anual, de los procesos y sistemas vinculados a los tratamientos de datos o cuando haya un cambio importante en la infraestructura o cuando ocurra un incidente grave.

  • Los niveles de servicio establecidos para cada uno de los servicios estarán documentados y en ellos se especificarán los niveles que cumplir. Dichos niveles de servicio estarán respaldados por mecanismos adecuados que garanticen su cumplimiento y se pondrán en conocimiento de los clientes. Todo el personal velará por que los servicios prestados cumplan con tales acuerdos de nivel de servicio.

  • Todos los servicios provistos por Grupo Redsys estarán adecuadamente presupuestados y contabilizados. Sus costes serán controlados financieramente y se corregirán apropiadamente las desviaciones detectadas.

  • Celebración de reuniones periódicas con los clientes para identificar sus necesidades, efectuar un seguimiento del nivel de satisfacción en relación con los servicios prestados, e identificar cualquier cambio o petición de mejora sobre los servicios ofrecidos, así como eventuales reclamaciones que puedan ser presentadas en relación con los mismos.

  • Definición, implantación y revisión de los controles organizativos, procedimentales y técnicos necesarios para garantizar la confidencialidad, integridad y disponibilidad de la información gestionada en Grupo Redsys, así como los flujos de información desde y hacia el exterior.

  • Definición, implantación y revisión de los controles organizativos, procedimentales y técnicos necesarios para garantizar el cumplimiento de la normativa de privacidad que aplica sobre los tratamientos de datos personales gestionados en Grupo Redsys, así como delegados en encargados de tratamiento.

  • La Dirección asegurará que únicamente realizará tratamientos de datos de carácter personal (tanto en su condición de responsable del tratamiento como en su condición de encargado) sobre una base de legitimación lícita de conformidad con lo previsto en la normativa aplicable a esta materia, solicitando el consentimiento en los procesos de recolección de datos personales que sean aplicables a través de los mecanismos definidos para cada actividad.

  • Identificación inequívoca del usuario en el acceso a los sistemas e información y asignación de permisos en base a los principios de “mínimo privilegio” y “necesidad de conocer”[1]. Asignación de privilegios especiales (administrador, root o similar) de forma restringida y controlada y nunca por defecto.

  • Monitorización del uso de los sistemas de información para la rápida detección de actividad maliciosa o de anomalías en los niveles de prestación de los servicios, así como para evaluar la eficacia y eficiencia de los controles implantados.

  • Notificación inmediata por parte de todos los usuarios (cualquier usuario), al área de Seguridad Corporativa, de cualquier violación de la seguridad, confirmada o sospechosa, y/o comportamiento anómalo que pudiera afectar al servicio.

  • Aplicación de un enfoque consistente y efectivo en la gestión de los incidentes, incluyendo el registro de éstos, junto con el método de resolución adoptado, en la herramienta corporativa definida para tal fin.

  • Comunicación correcta y eficiente de las incidencias que puedan ocasionar interrupciones en los servicios prestados por Grupo Redsys, tanto a las partes interesadas como a las partes afectadas. Cumplimiento de los requerimientos de seguridad en materia de protección de datos de carácter personal conforme a la legislación vigente en esta materia y de tratamiento de datos de tarjeta (PCI), así como de los derivados de las leyes, regulaciones (Esquemas de Medios de Pago, Banco Central Europeo) u obligaciones contractuales que resulten aplicables a Grupo Redsys.

  • Todos los problemas identificados, tanto con motivo de las actividades de identificación preventiva, como aquellos generados a partir de la gestión de las incidencias, serán adecuadamente analizados hasta identificar la causa subyacente del error y se aplicarán las soluciones necesarias para subsanar o paliar sus efectos.

  • Definición y desarrollo de un proceso de seguridad holístico y una estrategia de protección integral de los sistemas de información orientada a garantizar, en términos adecuados, la continuidad de los servicios de Grupo Redsys críticos para el negocio o esenciales para la sociedad.

  • Aprobación y ejecución de un plan de pruebas de continuidad global y periódico que minimice el riesgo de indisponibilidad de los servicios críticos de Grupo Redsys.

  • Se llevará a cabo un adecuado registro y mantenimiento de los elementos de configuración (CIs) y las características necesarias para la gestión de los servicios, identificando las relaciones de los CIs con cada uno de los servicios. Periódicamente, de manera planificada, se verificará la exactitud de la información de configuración, corrigiendo cualquier desajuste que se identifique.

  • Cualquier cambio en los servicios deberá ser iniciados por una petición formal de cambio y autorizado de acuerdo con la Política y el procedimiento de gestión de cambios y entregas de Grupo Redsys.

  • Realización periódica de auditorías con la finalidad de verificar el correcto funcionamiento de los sistemas de gestión y controles de seguridad, privacidad y continuidad, determinando el grado de cumplimiento y estableciendo las acciones de mejora y medidas correctivas necesarias para el cumplimiento de las políticas y procedimientos.

[1] Cada usuario accederá únicamente a aquellos recursos que necesite para realizar su trabajo y con los mínimos permisos posibles.

RESPONSABILIDADES POR INCUMPLIMIENTO

La realización de alguna actividad que suponga un incumplimiento de esta Política y que se encuentre regulada en la legislación correspondiente, tendrá como consecuencia la aplicación de las responsabilidades legales correspondientes.

En el supuesto de que se produzca un incumplimiento de esta Política no regulado en disposiciones legales, esta acción será tratada por la Dirección de Grupo Redsys, aplicándose las sanciones que disponga el régimen disciplinario de Grupo Redsys y el convenio aplicable.

En el caso de personal de terceras empresas, serán de aplicación las medidas previstas en el contrato que se harán efectivas frente a la persona jurídica.

  • Procedimiento

    (1)* Redsys, S.L. es responsable del uso de cookies en su sitio web para las siguientes finalidades:

    Cookies técnicas (estrictamente necesarias):

    Son utilizadas para permitir al Usuario la navegación a través de la página web, y la utilización de las opciones o servicios que en ella existen. Nos permiten identificar la sesión o controlar el acceso a áreas restringidas.

    Acepto el uso de cookies técnicas

    Cookies de análisis (de terceros):

    Son aquéllas que permiten el seguimiento y análisis del comportamiento de los usuarios en el sitio web. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad del sitio web para la elaboración de perfiles de navegación con el fin de introducir mejoras basadas en el análisis de los datos de uso que hacen los Usuarios del servicio.

    Acepto el uso de cookies de terceros 

    Más información en nuestra Política de Cookies

    Al pulsar “Guardar”, se guardará la selección de cookies que hayas realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies.

    (2)* Redsys es una organización diversa y comprometida con la diversidad. El lenguaje usado en los contenidos de esta web tiene como objetivo facilitar la lectura y la comprensión, por lo que, en ningún caso, deben considerarse discriminatorios.