1. Introducción

La Dirección de EVENBYTES S.L. entiende que el sistema de información que da soporte a la prestación de sus actividades es un activo fundamental.

Dado el impacto que tiene este sistema en el desarrollo y prestación de servicios, EVENBYTES mantiene un firme compromiso con la protección de sus activos más significativos. Este compromiso forma parte de una estrategia orientada a la continuidad del negocio, la gestión de riesgos y el fortalecimiento de una cultura sólida de seguridad de la información.

La satisfacción de nuestros clientes y la confidencialidad de la información son la piedra angular de nuestra política.

 

Marco de Seguridad Integral

EVENBYTES ha establecido la implantación, operación y mantenimiento de un Marco de Seguridad Integral, alineado con los requisitos de UNE-ISO/IEC 27001:2023, del Esquema Nacional de Seguridad (ENS), conforme al Real Decreto 311/2022, y la Directiva NIS2, garantizando la gestión de riesgos, la resiliencia y la continuidad del servicio.

Este marco se fundamenta en los siguientes principios clave:

  • Enfoque basado en riesgos: gestión sistemática y proactiva de amenazas y vulnerabilidades, asegurando una defensa en profundidad frente a amenazas cibernéticas.
  • Cumplimiento normativo: conformidad con ISO 27001, el ENS y la NIS2, así como con los requisitos legales y reglamentarios aplicables.
  • Mejora continua de la ciberseguridad: resiliencia organizativa mediante supervisión, auditoría y actualización constante de los controles de seguridad.
  • Fortalecimiento de la seguridad en la cadena de suministro: se exige a terceros el cumplimiento de estándares equivalentes en materia de seguridad.

 

2. Alcance

La organización establece esta Política de Seguridad de la Información para los sistemas de información y servicios esenciales de EVENBYTES que estén dentro del ámbito de aplicación de ISO 27001, del Esquema Nacional de Seguridad (ENS) y la Directiva NIS2.

Los sistemas de información que dan soporte a los servicios/actividades de:

  • Desarrollo, implementación, instalación, mantenimiento y soporte de apps, sistemas informáticos y productos propios objeto de contratación por parte de empresas privadas, Administraciones Públicas y organismos públicos
  • Desarrollo de software en la nube
  • Proyectos de datos (Ingeniería de dato, Inteligencia de Negocio e Inteligencia Artificial)
  • Gestión documental
  • Transformación digital
  • Optimización de procesos
  • ORIGAMEE, Metadrive, Drivewatcher
  • Resellers licencias Google

El alcance de esta política se aplica a todos los sistemas de información, procesos y actividades de EVENBYTES que den soporte a los servicios mencionados, sin limitación alguna. También se extiende a todos los empleados y partes interesadas, quienes deberán cumplir con los principios de seguridad de la información, los procedimientos operacionales y los requisitos legales y normativos aplicables.

 

3. Marco Normativo

EVENBYTES se compromete a cumplir con toda la normativa aplicable a su actividad, incluyendo legislación general y específica en materia de seguridad de la información, ciberseguridad y protección de datos.

Normativa Nacional

  • Real Decreto 311/2022, de 3 de mayo: Regula el Esquema Nacional de Seguridad (ENS).
  • Ley Orgánica 3/2018, de 5 de diciembre: Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
  • Real Decreto-ley 12/2018, de 7 de septiembre: Seguridad de redes y sistemas de información.
  • Real Decreto 43/2021, de 26 de enero: Medidas de ciberseguridad y obligaciones de notificación de incidentes.
  • Guías CCN-STIC (Serie 800): Recomendaciones del Centro Criptológico Nacional para la implementación del ENS.

Normativa Europea

  • Directiva (UE) 2022/2555 (NIS2): Requisitos de seguridad para operadores de servicios esenciales y empresas de sectores estratégicos.
  • Reglamento (UE) 2016/679 (RGPD): Protección de datos personales en la Unión Europea.
  • Reglamento (UE) 2019/881 (Reglamento de Ciberseguridad): Marco para la certificación de la seguridad de las TIC.
  • Reglamento (UE) 2690/2024: Disposiciones de aplicación de la Directiva NIS2 en materia de gestión de riesgos de ciberseguridad.

 

4. Roles: Funciones y Responsabilidades

4.1. Responsable de Información

El Responsable de Información es el encargado de establecer los requisitos de seguridad para la información tratada en los sistemas de la organización, asegurando su adecuada clasificación, protección y cumplimiento normativo.

4.2. Responsable del Servicio

El Responsable del Servicio define y supervisa los requisitos de seguridad de los servicios prestados, garantizando su resiliencia y alineación con ENS y NIS2.

4.3. Responsable de Seguridad / SGSI

El Responsable de Seguridad garantiza la aplicación de las medidas de seguridad establecidas tanto en Anexo Normativo A (UNE-ISO/IEC 27002:2023), como en el Anexo II del ENS, supervisando su implementación y asegurando la alineación con NIS2. Gestiona el Registro de Incidentes y Riesgos, coordina la respuesta ante ciberincidentes y notifica incidentes graves a CCN-CERT o INCIBE en un plazo máximo de 24 horas desde su detección.

4.4. Responsable del Sistema

El Responsable del Sistema es el encargado de gestionar y supervisar el ciclo de vida del sistema de información, asegurando su alineación con las medidas de seguridad de ISO 27001, ENS (RD 311/2022) y la Directiva NIS2. Las actualizaciones críticas se implementarán en un plazo máximo de 30 días desde su publicación.

 

5. Gestión de Vulnerabilidades

EVENBYTES establecerá un proceso continuo de detección, análisis y gestión de vulnerabilidades en sus sistemas de información, empleando herramientas tipo SonarQube, Jenkins, Nessus y pruebas de penetración basadas en estándares reconocidos (OWASP, MITRE ATT&CK). Se realizarán revisiones trimestrales.

Plazos de corrección

Criticidad Plazo máximo de corrección Notificación interna
Crítica 30 días 24 horas
Alta 60 días 48 horas
Media / baja 90 días

 

En caso de vulnerabilidades críticas que puedan comprometer la seguridad de la organización, EVENBYTES notificará a las autoridades competentes (CCN-CERT o INCIBE) conforme a la Directiva NIS2 y el RD 311/2022.

 

6. Datos de Carácter Personal

EVENBYTES trata datos de carácter personal y mantiene un registro de actividades de tratamiento, accesible únicamente para personas autorizadas. Este registro recoge los tratamientos realizados, los datos afectados y los responsables de su gestión.

Todos los sistemas de información de EVENBYTES se ajustarán a los niveles de seguridad requeridos por la normativa vigente para garantizar la confidencialidad, integridad y disponibilidad de los datos personales, conforme al RGPD, la LOPDGDD y las medidas establecidas en el ENS.

EVENBYTES cuenta con un Responsable de Protección de Datos (RPD/DPO), cuya función es garantizar el cumplimiento de la normativa en materia de protección de datos personales. El RPD/DPO actúa como punto de contacto con la Agencia Española de Protección de Datos (AEPD).

 

7. Obligaciones del Personal

Todos los trabajadores de EVENBYTES tienen la obligación de conocer y cumplir con esta Política de Seguridad de la Información. Se establecerá un programa de concienciación continua sobre seguridad de la información, dirigido a todos los miembros de EVENBYTES, con especial atención a los nuevos empleados.

El personal con funciones en el uso, operación o administración de sistemas TIC dentro del alcance del ENS deberá recibir formación específica en seguridad antes de asumir sus responsabilidades.

 

8. Terceras Partes

Las terceras partes que accedan a los sistemas de EVENBYTES o gestionen información de la organización deberán cumplir con los requisitos de seguridad equivalentes a los establecidos en el ENS y la Directiva NIS2. Para ello, deberán:

  • Firmar acuerdos de confidencialidad y protección de la información, garantizando el cumplimiento de la normativa aplicable.
  • Aplicar medidas de seguridad alineadas con ISO 27001, ENS y NIS2, incluyendo controles técnicos, organizativos y de gestión de riesgos adecuados.
  • Someterse a auditorías periódicas cuando sea aplicable, para verificar su alineación con las medidas de seguridad exigidas.

 

9. Historial de Revisiones

Esta Política será revisada al menos una vez al año, o siempre que se produzcan cambios normativos, tecnológicos o estratégicos que impacten en la seguridad de la información.

 

Revisión Fecha Razón de modificación
1.0 17/09/2025 Creación del documento
2.0 21/05/2026 Actualización del documento

 

La Gerencia se asegura que la Política de Seguridad de la Información es entendida, implantada y mantenida al día en todos los niveles de la Organización.

En Santander, a 21 de mayo de 2026

Fdo.: Jacinto Antonio Pelayo · CEO · Evenbytes S.L.

info@evenbytes.com

Avda Santa Cruz, Urb. Bezanabella, 70.
Santa Cruz de Bezana, 39100. Cantabria. Spain

+34 942 02 04 24