Sistema de Gestión Integrado

Sistema de Gestión Integrado (SGI) de acuerdo con las exigencias de las normas internacionales ISO 9001, ISO 13485, ISO/IEC 20000-1, ISO/IEC 27001 e ISO 22301, y capacidad de automejora a través de la colaboración.

El cambio como estrategia de crecimiento
Crear valor a través de la prevención, satisfacción, motivación
Las normas antes mencionadas proporcionan los requisitos para la implementación, el desarrollo y la mejora de un sistema de gestión de la calidad (ISO 9001 e ISO 13485), de un sistema de gestión de los servicios TI (ISO/IEC 20000-1), de un sistema de gestión de la seguridad de la información (ISO/IEC 27001), además de un sistema de gestión de la continuidad del negocio (business continuity) (ISO 22301).El Manual de Gestión Integrada describe el conjunto de dichos sistemas de gestión, los procesos en el ámbito de cada sistema y las empresas del Grupo a las que se aplican las normas indicadas.
Política de Calidad (ISO 9001)

Nuestro grupo desde siempre se ha centrado en el desarrollo de competencias y soluciones y en el suministro de servicios de consultoría y de integración de sistemas que permitan, a nuestros clientes, transformar las necesidades de cambio en oportunidades de crecimiento.

Para alcanzar estos objetivos es necesario desarrollar métodos de trabajo y procesos capaces de conjugar estandarización con flexibilidad y capacidad de automejora y es necesario, igualmente, mantener una fuerza de trabajo muy competente, responsable y motivada.

Para alcanzar estos objetivos es necesario desarrollar métodos de trabajo y procesos capaces de conjugar estandarización con flexibilidad y capacidad de automejora y es necesario, igualmente, mantener una fuerza de trabajo muy competente, responsable y motivada.

El Sistema de Gestión de Calidad, basado en un enfoque consagrado a la prevención de la no conformidad, se monitoriza sistemáticamente, para evaluar su eficacia, a través de auditorías internas.

En concreto, la Administración se compromete a:

  • garantizar la eficiencia del Sistema de Gestión de la Calidad;
  • promover la estrategia de procesos y la gestión de los riesgos que pueden influir en la conformidad de los productos/servicios y la capacidad de aumentar la satisfacción de los clientes;
  • comunicar la importancia de satisfacer las exigencias del cliente, los requisitos legales y reglamentarios, así como las obligaciones contractuales;
  • determinar y comunicar la política y los objetivos para la calidad;
  • comunicar a la organización la importancia de lograr los objetivos establecidos y cumplir con la conformidad de las políticas, las responsabilidades legales y las exigencias de mejoras continuas;
  • garantizar la disponibilidad de recursos para determinar, realizar, dirigir, controlar, revisar y mantener en activo, actualizado y mejorar el Sistema de Gestión de Calidad;
  • fijar los criterios de aceptación de los riesgos y los niveles de riesgo aceptables;
  • realizar revisiones periódicas del Sistema de Gestión de la Calidad para garantizar que se alcancen los resultados esperados y se promocione una mejora continua.

Los objetivos estratégicos de la política, los cuales interactúan entre sí de forma sinérgica, son:

  • garantizar que se definan y se satisfagan las necesidades de los clientes con el fin de aumentar su satisfacción (Customer Satisfaction) e incrementar su fidelización;
  • aumentar la comprensión y la motivación del personal, con respecto a las metas y los objetivos empresariales, y su aporte a la mejora continua de la organización (Employee Satisfaction);
  • mejorar la profesionalidad del personal y su empleo de forma eficaz y eficiente;
  • incrementar la ventaja competitiva de la empresa de forma eficaz y eficiente mejorando los resultados operativos y las cuotas de mercado;
  • desarrollar la capacidad de crear valor tanto optimizando los costes y los recursos como aumentando la velocidad de respuesta al mercado.

Para sistematizar la planificación y la obtención de dichos objetivos y hacerlos visibles a los Clientes, la Dirección, además de garantizar su soporte y el uso de todos los recursos financieros y profesionales necesarios, pretende proporcionar herramientas y realizar acciones consagradas a favorecer la plena adopción del sistema de gestión de calidad por parte de todas las personas implicadas en la organización e incentivar la contribución de cada una de ellas en su mejora continua.

Política de Gestión de los Servicios TI (ISO/IEC 20000-1)

Los servicios se caracterizan por una intensa y frecuente interacción con el destinatario final y se basan en conceptos distintivos como garantía de continuidad, disponibilidad y cumplimiento del nivel de la prestación del servicio.

Exprivia decidió difundir en su seno la cultura de la gestión de calidad de los servicios, organizando cursos de formación y promoviendo la cualificación de su personal según las buenas prácticas del sector (ITIL). Además, con el fin de obtener un reconocimiento externo formal de las propias capacidades de gestión de servicios TI de calidad, optó por la adopción y la certificación de los servicios TI prestados a sus clientes de conformidad con la norma internacional ISO/IEC 20000.

En resumen, la Dirección de la empresa contrae el compromiso firme de asegurar la planificación, el desarrollo, la puesta en práctica, la administración, el control, la actualización y la mejora continua de los servicios prestados a los clientes mediante un Sistema de Gestión de Servicios TI.

En concreto, la Dirección se compromete a:

  • establecer y comunicar el ámbito de aplicación, la política y los objetivos relativos a la gestión del servicio;
  • garantizar que, para cada servicio prestado, se cree, se ponga en práctica y se mantenga un plan de gestión del servicio con la finalidad de ejecutar la política, conseguir los objetivos de la gestión del servicio y cumplir los requisitos del servicio;
  • comunicar la importancia de cumplir los requisitos del servicio;
  • Comunicar la importancia de cumplir las normas legales y reglamentarias, así como las obligaciones contractuales;
  • garantizar la disponibilidad de los recursos;
  • dirigir evaluaciones de supervisión a intervalos prefijados;
  • procurar que se verifiquen y controlen los riesgos de los servicios.
  • garantizar que se concreten y actualicen roles y responsabilidades para la gestión del servicio.

Además, la Dirección designó a un miembro de la estructura gestora al cual asignó los roles y responsabilidades de:

  • garantizar que los procesos relativos al Sistema de Gestión Integrado se establezcan, se cumplan, se mantengan actualizados y optimizados de conformidad con las normas ISO 9001, ISO 13485, ISO/IEC 20000-1 e ISO/IEC 27001, y de acuerdo con las políticas y objetivos marcados desde la Dirección;
  • garantizar que se lleven a cabo actividades para determinar, documentar y cumplir los requisitos de los productos y servicios;
  • garantizar, en toda la organización, que se promueva la concienciación sobre la importancia de satisfacer siempre las exigencias de los clientes y las reglamentarias.
  • garantizar que los bienes, incluidas las licencias, usados para desarrollar los productos y prestar los servicios, se gestionen según los preceptos legales y reglamentarios, y también según las obligaciones contractuales;
  • mantener relaciones con los organismos externos para la certificación de los diferentes componentes del sistema de gestión integrado;
  • informar a la Dirección de la evolución del Sistema de Gestión Integrado y también de la necesidad de mejoras en su caso.

Los objetivos estratégicos marcados son los mismos que los referidos para la Política de Calidad.

Política del sistema de gestión para la seguridad de la información y de la privacidad (SGSI)

La política de seguridad de la información de Exprivia exige que, en cumplimiento de la misión de la empresa, la gestión de todos los procesos de la empresa se organice con las reglas propias de la aplicación de la norma ISO/IEC 27001 y de las disposiciones normativas contenidas en el Decreto legislativo 196/03 de Italia y del Reglamento 679/2016 de la UE. Se admite que lo establecido en la normativa vigente sobre protección de los datos personales son medidas de seguridad técnicas y organizativas y que los datos personales son un subconjunto de información que es necesario proteger, no solo para el negocio de la empresa, sino también para respetar los derechos y libertades de las personas físicas.

Además, al proporcionar soluciones informáticas en la nube, Exprivia ha sentido la necesidad de ampliar el ámbito de la seguridad de la información siguiendo las directrices ISO/IEC 27017 «Code of practice for information security controls based on ISO/IEC 27002 for cloud services» e ISO/IEC 27018 «Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors».

Finalidad
La dirección de Exprivia ha definido y divulgado en todos los niveles de su organización la presente política para la gestión de la seguridad de la información y de la privacidad.

La finalidad de la presente política es garantizar la protección frente a todas las amenazas, internas o externas, intencionadas o accidentales:

  • • de la información necesaria para las actividades de Exprivia (en la que los datos personales solo son uno de los tipos de información que hay que proteger),
  • • de la información de los clientes que se gestiona durante el ciclo vital de los productos y los servicios prestados a estos

de conformidad con lo establecido en el Decreto legislativo 196/03 de Italia, el Reglamento 679/2016 de la UE, la norma ISO/IEC 27001 y las directrices ISO/IEC 27017 e ISO/IEC 27018.

Campo de aplicación
La presente política se aplica indistintamente a todos los órganos y niveles de Exprivia.

La implementación de la presente política es obligatoria para todo el personal y debe comunicarse a cualquier entidad externa que, bajo cualquier concepto, pueda estar implicada en el tratamiento de datos que formen parte del campo de aplicación del sistema de gestión de la seguridad de la información.

Nuestra política en relación con la seguridad de la información
El patrimonio informativo que hay que proteger está formado por el conjunto de la información gestionada a través de los servicios prestados y ubicada en todas las sedes de la empresa.

Es necesario garantizar:

  • la confidencialidad de la información: es decir, la información debe ser accesible solo para las personas autorizadas.
  • la integridad de la información: es decir, proteger la exactitud y la exhaustividad de la información y de los métodos para su elaboración.
  • la disponibilidad de la información: es decir, que los usuarios autorizados puedan realmente acceder a la información y a los activos que la contienen..

La falta de niveles adecuados de seguridad puede suponer daños en la imagen de la empresa, la insatisfacción del cliente, el riesgo de incurrir en sanciones derivadas de la vulneración de la legislación y las normativas vigentes, así como daños de naturaleza económica y financiera.

Asimismo, un nivel adecuado de seguridad es fundamental para compartir la información.

La empresa identifica, además, todas las necesidades de seguridad por medio del análisis y la valoración del riesgo para la seguridad de la información y la evaluación del impacto sobre la protección de datos (DPIA), que nos permite ser más conscientes del nivel de exposición a amenazas que tienen nuestros sistemas de gestión de datos.

La valoración del riesgo y la evaluación del impacto sobre la protección de datos permiten analizar las posibles consecuencias y daños, materiales e inmateriales, que pueden derivar del hecho de no aplicar las medidas de seguridad técnicas y organizativas al patrimonio informativo y la probabilidad de que se produzcan las amenazas identificadas.

Los resultados de esta valoración determinan las acciones necesarias para encontrar las medidas de seguridad correctas y adecuadas y los mecanismos para garantizar la protección de los datos personales. 

Responsabilidad de cumplimiento e implementación
El cumplimiento y la implementación de la política son responsabilidad de todo el personal y de todas las entidades externas que entablen relaciones o colaboren con Exprivia y que estén implicados de alguna manera en el tratamiento de datos e información que formen parte del campo de aplicación del sistema de gestión de la seguridad de la información y de la privacidad. Asimismo, todos son responsables de la notificación de cualquier anomalía o vulneración de la que tomen conocimiento.

Cualquier persona, ya sea empleado, consultor o colaborador externo de la empresa, que, de manera intencionada o negligente, incumpla las normas de seguridad establecidas y provoque daños a Exprivia, podrá ser procesado en los foros pertinentes y desde el pleno respeto de los vínculos legales y contractuales.

Revaluación
La dirección comprobará periódicamente la eficacia y la eficiencia del sistema de gestión de la seguridad de la información y de la privacidad con el fin de promover y favorecer la implementación de un proceso de mejora continua en respuesta también a los cambios del entorno interno y externo.

Compromiso de la Dirección
La dirección respalda activamente las actividades relacionadas con la gestión de la seguridad de la información y la privacidad de la empresa a través de una dirección clara, un compromiso evidente, encargos explícitos y el reconocimiento de las responsabilidades relativas a la seguridad de la información y la privacidad.

El compromiso de la dirección se manifiesta a través de una estructura cuyo cometido es:

  • garantizar que se identifiquen todos los objetivos relativos a la seguridad de la información y de la privacidad, así como el cumplimiento de los requisitos de la empresa;
  • establecer el papel de la empresa y las responsabilidades para el desarrollo y el mantenimiento del SGSI;
  • suministrar recursos suficientes para la planificación, implementación, organización, control, revisión, gestión y mejora continua del SGSI;
  • comprobar que el SGSI esté integrado en todos los procesos de la empresa y que se desarrollen de manera eficaz procedimientos y controles;
  • aprobar y respaldar todas las iniciativas destinadas a mejorar la seguridad de la información y de la privacidad;
  •  poner en marcha programas para la difusión de la concienciación y de la cultura de la seguridad de la información y de la privacidad.