POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN ENS

Texto aprobado el día 06 de octubre de 2025 por la Dirección de RED LEMON TECHNOLOGIES, S.L.  

Esta Política de Seguridad de la Información entra en vigor en la fecha de su aprobación y permanecerá  vigente hasta su sustitución por una nueva Política. 

RED LEMON TECHNOLOGIES, S.L. depende de sus sistemas de información para alcanzar sus objetivos.  Estos sistemas se administran con diligencia, aplicando medidas proporcionales al riesgo para proteger  la autenticidad, trazabilidad, integridad, confidencialidad y disponibilidad de la información y la  continuidad de los servicios.  

La seguridad se integra en todo el ciclo de vida, con enfoque preventivo, vigilancia continua y  respuesta ágil a incidentes, incluyendo su planificación y contratación. 

Esta Política aplica a El sistema de información utilizado por Red Lemon Technologies, S.L. que soporta  la prestación de los siguientes servicios de seguridad gestionada:  

• SIaaS (SIEM as a Service): servicio de recolección, normalización, correlación, monitorización  continua 24×7 y generación de alertas de seguridad sobre los eventos recibidos de los sistemas  de los clientes, mediante una plataforma SIEM en modalidad Cloud/SaaS, proporcionada por  un proveedor certificado en ENS nivel ALTO y ubicado en territorio español. 
• SOAR (Security Orchestration, Automation and Response): servicio complementario de análisis  avanzado, automatización de respuesta y generación de informes de seguridad, integrado con  la plataforma SIEM.  

Quedan excluidos del alcance otros servicios distintos de SIaaS o SOAR, así como las actividades  internas de Red Lemon Technologies, S.L. no relacionadas con la prestación de dichos servicios. El  presente alcance se formula conforme a la Declaración de Aplicabilidad vigente  

• Garantizar Confidencialidad, Integridad, Disponibilidad, Autenticidad y Trazabilidad de la  información y la continuidad de los servicios. 
• Implementar medidas de seguridad según el riesgo y seguridad por defecto.
• Asegurar trazabilidad, mínimo privilegio y deber de confidencialidad.
• Desplegar seguridad física adecuada a los riesgos.
• Proteger la seguridad de comunicaciones y datos en tránsito.
• Controlar adquisición, desarrollo y mantenimiento en todas las fases del ciclo de vida,  garantizando seguridad desde el diseño.
• Controlar el cumplimiento de medidas en la prestación de servicios y en la incorporación de  nuevos componentes.
• Gestionar incidentes (detección, contención, mitigación, resolución y no repetición).
• Proteger datos personales conforme a RGPD/LOPDGDD. 
• Supervisar continuamente el sistema y mejorar de forma continua.

• Alcance estratégico y compromiso de toda la organización.
• Seguridad integral (técnica, humana, organizativa y física). 
• Gestión basada en riesgos y proporcionalidad. 
• Prevención, detección, respuesta y conservación. 
• Líneas de defensa (seguridad en capas). 
• Vigilancia continua y reevaluación periódica. 
• Seguridad por defecto y desde el diseño. 

• Real Decreto 311/2022, de 3 de mayo (ENS).
• RGPD (Reglamento (UE) 2016/679) y LOPDGDD (LO 3/2018). 
• LSSI (Ley 34/2002). 
• eIDAS (Reglamento (UE) 910/2014). 
• PRL (Ley 31/1995 y RD 39/1997). 
• Ley de Competencia Desleal (Ley 3/1991, de 10 de enero) 

Dado el tamaño y estructura de RED LEMON TECHNOLOGIES, S.L., la Dirección de la empresa actúa como Comité de Seguridad de la Información, apoyándose en un consultor externo para tareas de asesoramiento especializado.

En el marco del ENS, el Comité de Seguridad de la Información estará formado por:

• Responsable de la Información (RINFO)
• Responsable de los Servicios (RSER)
• Responsable de la Seguridad (RSEG)
• Responsable del Sistema (RSIS)
• Delegado de Protección de Datos (DPD)
• Dirección de la empresa.

Por limitaciones de personal, actualmente los roles de RSEG, RSIS, RINFO, RSER y DPD son desempeñados por el Director de RED LEMON TECHNOLOGIES, S.L., que cuenta con formación acreditada como Delegado de Protección de Datos, estableciéndose procedimientos de revisión y supervisión para asegurar la adecuada gestión de la seguridad de la información

Entre sus funciones principales se encuentran:

• Supervisar análisis de riesgos y evolución de indicadores de seguridad.
• Revisar incidentes de seguridad y de protección de datos y su gestión.
• Controlar la Declaración de Aplicabilidad (SoA) y el grado de implantación de medidas ENS.
• Aprobar y seguir auditorías internas y externas y las acciones correctoras.
• Revisar y validar planes de continuidad y recuperación (PCA/DRP).
• Evaluar proveedores críticos y garantizar que cumplen requisitos ENS.
• Proponer cambios a la Política de Seguridad y elevar incidencias relevantes a la Dirección (en este caso la Dirección misma actúa como órgano decisor).
• Resolver discrepancias entre responsables.

– RINFO/RSER/RSEG/RSIS/DPD: EN RED LEMON TECHNOLOGIES, S.L. las funciones de RINFO, RSER, RSEG, RSIS y DPD son asumidas por el Director, que cuenta con formación acreditada como Delegado de Protección de Datos, con apoyo de un consultor externo para tareas de asesoramiento especializado.

Los roles de seguridad establecidos en el ENS (Responsable de Seguridad – RSEG, Responsable del Sistema de Información – RSIS, y Responsable del Servicio/Información) son designados por la Dirección.

Por limitaciones de tamaño, determinados roles pueden ser asumidos por la misma persona, garantizando la independencia de criterio mediante revisiones periódicas y la participación de la Dirección en las decisiones relevantes.

Los nombramientos se revisarán al menos cada dos años o antes si hay cambios relevantes, y se documentarán suplencias para ausencias prolongadas o críticas.

En caso de discrepancias entre los responsables designados (RSEG, RSIS, RINFO/RSER), estas serán resueltas por la Dirección de RED LEMON TECHNOLOGIES, S.L. Cuando proceda, podrán establecerse particularidades específicas para servicios sujetos a normativas especiales.

RED LEMON TECHNOLOGIES, S.L. trata los datos personales conforme al Registro de Actividades de Tratamiento. Se evalúan los riesgos y, cuando procede, se elaboran planes de actuación para la corrección de dichos riesgos; para tareas de asesoramiento especializado y apoyo en la implantación de medidas, se cuenta con un consultor externo. La Dirección fija la valoración de referencia por tipos de información/servicio, promueve inversiones horizontales y coordina los planes de tratamiento del riesgo.

Todos los sistemas sujetos a esta Política realizarán análisis de riesgos:

• Anualmente;
• Cuando cambie la información o los servicios;
• Tras un incidente grave o una vulnerabilidad crítica;
• Ante modificaciones relevantes en RGPD/EIPD.

La Dirección de RED LEMON TECHNOLOGIES, S.L. fijará una valoración de referencia por tipos de información y servicio y promoverá inversiones horizontales. Se tendrán en cuenta los riesgos en protección de datos. Las funciones de asesoramiento especializado en materia de seguridad y protección de datos son realizadas por un consultor externo que apoya al Responsable de Seguridad. Asimismo, se coordinarán los planes de tratamiento del riesgo.

Esta Política de Seguridad de la Información complementa/se integra junto con otras políticas de RED LEMON TECHNOLOGIES, S.L. en diferentes materias: Política de Control de Accesos, Política de Copias de Seguridad, Política de Gestión de Contraseñas, Política de Teletrabajo, entre otras.

La normativa estará disponible para los usuarios que deban conocerla.

Todo el personal debe conocer y cumplir esta Política y su normativa.

Se impartirá concienciación anual a todo el personal y formación previa a asumir responsabilidades de uso/operación/administración. La formación es obligatoria en onboarding y ante cambios de puesto o responsabilidades.

En los servicios prestados a terceros o con información de terceros se compartirá esta Política y las normas aplicables, respetando en todo momento la normativa de protección de datos RED LEMON TECHNOLOGIES, S.L. actúe como encargado.

En la contratación de terceros se exigirá el cumplimiento del ENS, la inclusión de cláusulas de seguridad, puntos de contacto para notificación de incidentes, derecho de auditoría, así como requisitos específicos para servicios en la nube y, cuando aplique, para IA.

Si un tercero no satisface alguno de estos aspectos, el Responsable de Seguridad elaborará un informe de riesgos con el apoyo del consultor externo. La Dirección decidirá si autoriza o no la contratación del tercero, asumiendo los riesgos detectados.

RED LEMON TECHNOLOGIES, S.L. dispondrá de un procedimiento para la gestión ágil de eventos e incidentes que amenacen la información y los servicios, coordinado con otras normas aplicables (por ejemplo, RGPD), con notificación a las autoridades competentes cuando proceda.

Este procedimiento se integrará con otros relacionados con incidentes de seguridad que pudieran derivarse de otras normativas aplicables (como la de protección de datos personales), con el fin de coordinar la respuesta desde los diferentes enfoques normativos y comunicar a los organismos de control sin dilaciones indebidas y, cuando sea preciso, a las Fuerzas y Cuerpos de Seguridad del Estado o a los juzgados.

La Dirección, en su calidad de Responsable de Seguridad (RSEG) y del Sistema de Información (RSIS), con el apoyo del consultor externo, será la responsable de activar y coordinar este procedimiento.

La Dirección de RED LEMON TECHNOLOGIES, S.L., en su calidad de Responsable de Seguridad y del Sistema de Información, podrá introducir ajustes en esta Política cuando se detecten ineficiencias y la revisará al menos una vez al año.

Los cambios sustanciales o que afecten a principios o responsabilidades requerirán su aprobación expresa por la Dirección.

La sustitución de la Política será propuesta por la Dirección con el apoyo del consultor externo y comunicada por los canales establecidos a todas las partes interesadas.