Política de Seguridad de la Información

  • 1. Aprobación y entrada en vigor

    Texto aprobado el día 27 de marzo de 2026 por Comité de Gobierno de Paradores de Turismo de España S.M.E.S.A, en adelante, PARADORES.

    Esta Política de Seguridad de la Información está vigente desde la fecha de aprobación (o publicación para las entidades que sea obligatoria su publicación oficial) y hasta que sea reemplazada por una nueva Política.

    Este texto deroga al anterior, que fue aprobado el 29 de julio de 2025 por Comité de Gobierno deParadores.

     

  • 2. Introducción

    PARADORES depende de los sistemas de información para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas, en función del riesgo, para protegerlos frente a daños accidentales o deliberados que puedan afectar a la autenticidad, trazabilidad, integridad o confidencialidad de la información tratada o la disponibilidad de los servicios prestados.

    El objetivo último de la seguridad de la información es garantizar que la entidad pueda cumplir con sus objetivos, desarrollar sus funciones o competencias y prestar los servicios para la cual ha sido constituida la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.

    Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que los departamentos deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

    PARADORES debe cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos donde se traten datos personales, se adquieran servicios TIC o se presten servicios que afecten a los sistemas de información.

  • 3. Alcance

    Esta política se aplica a todos los sistemas de información de las personas que conforman la organización y a los prestadores de servicios o proveedores de soluciones TIC de PARADORES.

  • 4. Misión

    Paradores es un instrumento de política turística, que proyecta la imagen de modernidad y calidad de nuestro turismo en el exterior y que contribuye a la integración territorial, a la recuperación. y mantenimiento del Patrimonio Histórico-Artístico de nuestro país y a la preservación y disfrute de espacios naturales, siendo, a la vez, motor dinamizador de zonas con reducido movimiento turístico o económico.

    PARADORES persigue ser una red de establecimientos hoteleros basada en un servicio de calidad integral, diferenciado, accesible y personalizado, comprometido con el entorno natural, económico e histórico, con el que se pretende potenciar la imagen del turismo español unida a un desarrollo sostenible.

    Los objetivos en materia de seguridad que PARADORES pretende garantizar con la presente Política serán:

    • Garantizar la confidencialidad, integridad, autenticidad de la información y la continuidaden la prestación de los servicios.
    • Implementar medidas de seguridad en función del riesgo.
    • Formar y concienciar a los integrantes de PARADORES respecto a la seguridad de la información. Implementar medidas de seguridad que permitan la trazabilidad de los accesos y respetar, entre otros, el principio de mínimo privilegio, reforzando también el deber de confidencialidad de las personas usuarias en relación con la información que conocen en el desempeño de sus funciones.
    • Desplegar y controlar la seguridad física haciendo que los activos de información se encuentren en áreas seguras, protegidos por controles de acceso, atendiendo a los riesgos detectados.
    • Establecer la seguridad en la gestión de comunicaciones mediante los procedimientos necesarios, logrando que la información que sea transmitada a través de redes de comunicaciones sea adecuadamente protegida.
    • Controlar la adquisición, desarrollo y mantenimiento de los sistemas de información en todas las fases del ciclo de vida de los sistemas de información, garantizando su seguridad por defecto.
    • Controlar el cumplimiento de las medidas de seguridad en la prestación de los servicios, manteniendo el control en la adquisición e incorporación de nuevos componentes del sistema.
    • Gestionar los incidentes de seguridad para la correcta detección, contención, mitigación y resolución de estos, adoptando las medidas necesarias para que los mismos no vuelvan a reproducirse.
    • Proteger la información personal, adoptando las medidas técnicas y organizativas en atención a los riesgos derivados del tratamiento conforme a la legislación en materia de protección de datos.
    • Supervisar de forma continuada el sistema de gestión de la seguridad, mejorando y corrigiendo las ineficiencias detectadas.
  • 5. Principios rectores de la política
    • Alcance estratégico: la seguridad de la información debe contar con el compromiso y apoyo de todos los niveles de la entidad y deberá coordinarse e integrarse con el resto de las iniciativas estratégicas de forma coherente.
    • Seguridad integral: la seguridad se entenderá como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con los sistemas de la información, procurando evitar cualquier actuación puntual o tratamiento coyuntural. La seguridad de la información debe considerarse como parte de la operativa habitual, estando presente y aplicándose desde el diseño inicial de los sistemas TIC.
    • Gestión de la seguridad basada en el riesgo: la gestión de la seguridad basada en los riesgos identificados permitirá el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. Las medidas de seguridad se establecerán en función de los riesgos a que esté sujeta la información y sus sistemas. y serán proporcionales al riesgo que tratan, debiendo estar justificadas. Se tendrán también en cuenta los riesgos identificados en el tratamiento de datos personales.
    • Prevención, detección, respuesta y conservación con la implementación de acciones preventivas de incidentes, minimizando las vulnerabilidades detectadas, evitando la materialización de las amenazas y, cuando estas se produzcan, danto una respuesta ágil para restaurar la información o servicios prestados, garantizando una conservación segura de la información.
    • Existencia de líneas de defensa, la estrategia de seguridad de la entidad se diseña e implementa en capas de seguridad.
    • Vigilancia continua y reevaluación periódica: la entidad implementa medios la detección yrespuesta a actividades o comportamientos anómalos. Además, de otros que permitan una evaluación continuada del estado de seguridad de los activos, Existirá, también, un proceso de mejora continua para la revisión y actualización de las medidas de seguridad, de manera periódica, conforme a su eficacia y la evolución de los riesgos y sistemas de protección.
    • Seguridad por defecto y desde el diseño: los sistemas deben estar diseñados y configurados para garantizar la seguridad por defecto. Los sistemas proporcionarán la funcionalidad mínima necesaria para prestar el servicio para el que fueron diseñados.
    • Diferenciación de responsabilidades, en aplicación de este principio las funciones del Responsable de la Seguridad y del Responsable del Sistema estarán diferenciadas.
  • 6. Marco normativo

    Las principales normas que afectan a esta Política son:

    • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
    • Reglamento (UE) 2016/679 RGPD, relativo a la protección del tratamiento de datos personales de las personas físicas.
    • Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales.
    • Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad.
    • Resolución de 7 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de Informe del Estado de la Seguridad.
    • Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza en las transacciones electrónicas en el mercado interior.
  • 7. Organización de la seguridad

    En cumplimiento de lo establecido en el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS), Paradores de Turismo de España SME S.A. dispone de un Comité de Gobierno del ENS como órgano responsable de la dirección, supervisión y toma de decisiones en materia de seguridad de la información.

    La constitución, estructura, composición, periodicidad de reuniones, así como los roles y responsabilidades de dicho Comité se encuentran definidos y formalizados en un documento específico, aprobado por la organización, denominado:

    “Documento de Roles y Responsabilidades del Comité de Gobierno del ENS de Paradores de Turismo de España SME S.A.”

    Este documento establece, entre otros aspectos:

    • La composición del Comité de Gobierno y los cargos que lo integran.
    • Las funciones asignadas en el marco del ENS, incluyendo las correspondientes al Comité de Seguridad de la Información (CSEG), al Responsable del Servicio (RSERV) y al Responsable de la Información (RINFO).
    • El procedimiento de designación, aceptación y cese de los miembros del Comité.
    • La organización de la seguridad, el régimen de reuniones y el sistema de elaboración y aprobación de actas y documentos.

    La presente Política de Seguridad de la Información se apoya en dicho documento, que actúa como marco de referencia operativo, garantizando la coherencia entre la gobernanza de la seguridad, la asignación de responsabilidades y la correcta aplicación de las medidas exigidas por el ENS.

    Cualquier modificación en la composición o funciones del Comité de Gobierno del ENS será reflejada en el documento de roles y responsabilidades correspondiente y tendrá efecto inmediato sobre lo establecido en la presente Política.


    7.1. COMITÉS: FUNCIONES Y RESPONSABILIDADES

    El Comité de Seguridad de la Información estará formado por los siguientes cargos corporativos y roles organizativos, o por las personas en quienes estos deleguen:

    • Responsable del Comité de Gobierno y Responsable de la Información.
    • Responsable de Vigilancia y responsable de productos, bases de datos y ciberseguridad.
    • Responsable de Operación y Responsable de Ciberseguridad.
    • Responsable del Servicio.
    • Delegado de Protección de Datos (DPD).
    • Administradores de Tecnologías de la Información.
    • Coordinadores del Centro de Procesamiento de Datos (CPD).
    • Representantes de los usuarios, cuando proceda, en función de los servicios o sistemas afectados.

    La composición detallada, así como las designaciones concretas, se encuentran recogidas y actualizadas en el Documento de Roles y Responsabilidades del Comité de Gobierno del ENS, que actúa como documento de referencia.

    El Comité de Seguridad de la Información (Comité de Gobierno) reportará a la Alta Dirección de Paradores de Turismo de España SME S.A., asegurando que las decisiones estratégicas en materia de seguridad de la información estén alineadas con los objetivos de la organización y cuenten con el respaldo necesario.

    El Comité de Seguridad de la Información tendrá, entre otras, las siguientes funciones:

    • Definir, aprobar y mantener actualizada la Política de Seguridad de la Información y la normativa asociada.
    • Supervisar la implantación y el cumplimiento del Esquema Nacional de Seguridad.
    • Coordinar la gestión de riesgos de seguridad de la información.
    • Impulsar y supervisar la aplicación de las medidas de seguridad técnicas y organizativas.
    • Analizar y supervisar la gestión de incidentes de seguridad.
    • Garantizar la correcta asignación de roles y responsabilidades en materia de seguridad.
    • Promover la concienciación y formación en seguridad de la información.
    • Realizar el seguimiento de auditorías, evaluaciones y planes de mejora relacionados con el ENS.


    7.2. ROLES: FUNCIONES Y RESPONSABILIDADES

    Responsable del Comité de Gobierno / Responsable de la Información

    Perfil del puesto:

    Cargo directivo con capacidad de decisión estratégica y conocimiento de los procesos de negocio y de los sistemas de información de la organización.

    Funciones y responsabilidades:

    • Liderar el Comité de Gobierno del ENS.
    • Establecer y aprobar las directrices estratégicas en materia de seguridad de la información.
    • Aprobar la Política de Seguridad de la Información y la normativa asociada.
    • Garantizar la adecuada protección de la información conforme a su criticidad.
    • Impulsar la asignación de recursos necesarios para el cumplimiento del ENS.
    • Representar a la organización en materia de seguridad de la información ante la Alta Dirección.


    Responsable del Servicio (RSERV)

    Perfil del puesto:

    Responsable funcional o directivo del área propietaria del servicio o sistema de información.

    Funciones y responsabilidades:

    • Garantizar que los servicios prestados cumplen los requisitos de seguridad establecidos.
    • Coordinar la correcta operación de los servicios desde el punto de vista de la seguridad.
    • Participar en la gestión de riesgos asociados a los servicios.
    • Colaborar en la gestión de incidentes que afecten a la disponibilidad, integridad o confidencialidad del servicio.
    • Informar al Comité de Gobierno sobre el estado de la seguridad de los servicios bajo su responsabilidad.


    Responsable de Operación / Responsable de Ciberseguridad

    Perfil del puesto:

    Perfil técnico con conocimiento de infraestructuras, sistemas, redes y ciberseguridad.

    Funciones y responsabilidades:

    • Implantar y operar las medidas de seguridad técnicas y organizativas.
    • Supervisar la seguridad de los sistemas de información y de las infraestructuras tecnológicas.
    • Gestionar y coordinar la respuesta ante incidentes de seguridad.
    • Colaborar en la evaluación y tratamiento de riesgos.
    • Garantizar la aplicación de controles de seguridad conforme al ENS.


    Responsable de Vigilancia, Productos, BBDD y Ciberseguridad

    Perfil del puesto:

    Perfil con competencias en supervisión, control y gestión de activos de información y datos.

    Funciones y responsabilidades:

    • Supervisar la seguridad de las bases de datos y productos digitales.
    • Velar por la correcta protección de los datos tratados por los sistemas de información.
    • Colaborar en la definición de medidas de seguridad aplicables a los activos de información.
    • Participar en la detección temprana de riesgos y amenazas.
    • Informar al Comité de Gobierno sobre el estado de la seguridad de los activos bajo su supervisión.


    Delegado de Protección de Datos (DPD)

    Perfil del puesto:

    Perfil especializado en protección de datos personales, con independencia funcional.

    Funciones y responsabilidades:

    • Asesorar en el cumplimiento de la normativa de protección de datos personales.
    • Supervisar la adecuación de las medidas de seguridad aplicables a datos personales.
    • Colaborar con el Comité de Gobierno en la gestión de riesgos relacionados con la privacidad.
    • Actuar como punto de contacto con la autoridad de control y con los interesados.
    • Coordinarse con los responsables de seguridad ante incidentes que afecten a datos personales.


    Administradores de Tecnologías de la Información

    Perfil del puesto:

    Personal técnico encargado de la administración y mantenimiento de los sistemas de información.

    Funciones y responsabilidades:

    • Administrar sistemas, redes y plataformas tecnológicas.
    • Aplicar las medidas de seguridad definidas por el Comité de Gobierno.
    • Gestionar accesos, configuraciones y actualizaciones de seguridad.
    • Colaborar en la detección y resolución de incidentes de seguridad.
    • Mantener la disponibilidad y correcto funcionamiento de los sistemas.


    Coordinadores del Centro de Procesamiento de Datos (CPD)

    Perfil del puesto:

    Responsables de la gestión operativa del CPD y de las infraestructuras críticas.

    Funciones y responsabilidades:

    • Garantizar la seguridad física y lógica del CPD.
    • Supervisar el cumplimiento de los controles de acceso y continuidad.
    • Coordinar las actuaciones ante incidencias que afecten a las infraestructuras.
    • Colaborar con los responsables técnicos y de seguridad.


    Usuarios de los Sistemas de Información

    Perfil del puesto:

    Personal interno o externo autorizado a utilizar los sistemas de información.

    Funciones y responsabilidades:

    • Utilizar los sistemas conforme a la normativa y procedimientos establecidos.
    • Proteger la confidencialidad de la información a la que acceden.
    • Comunicar cualquier incidente o anomalía de seguridad detectada.
    • Cumplir las políticas y directrices de seguridad de la información.


    7.3. PROCEDIMIENTO DE DESIGNACIÓN

    Los nombramientos podrán ser revisados cada dos años, pudiendo realizarse antes cuando el puesto quede vacante o por un incumplimiento reiterado de sus funciones, previo apercibimiento. PARADORES debe disponer de un mecanismo que permita la sustitución de los responsables designados en caso de ausencias de larga duración o aquellas de menor duración pero que puedan provocar ineficiencias en las funciones de cada uno de ellos que afecten al sistema.


    7.4. RESOLUCIÓN DE CONFLICTOS

    En el caso de conflictos entre los diferentes responsables, el Comité de Seguridad de la Información podrá dirimir las discrepancias (NOTA: se podrán establecer peculiaridades en la resolución de conflictos según las especialidades regulatorias de cada entidad).

  • 8. Tratamiento de datos personales en Paradores

    Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:

    • regularmente, al menos una vez al año.
    • cuando se produzcan cambios en la información manejada.
    • cuando se produzcan cambios en los servicios prestados.
    • cuando ocurra un incidente grave de seguridad.
    • cuando se reporten vulnerabilidades graves.
    • cuando se produzcan modificaciones en el análisis de riesgos de protección de datos o en las evaluaciones de impacto

    Para la armonización de los análisis de riesgos, el Comité de Seguridad de la Información establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. El Comité de Seguridad dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.

    Se tendrán en cuenta los riesgos en protección de datos, contando con la opinión del Delegado de Protección de Datos, además se coordinarán los planes del tratamiento del riesgo.

  • 9. Desarrollo de la política de seguridad de la información

    Esta Política de Seguridad de la Información complementa/se integra junto con otros procedimientos de la entidad en diferentes materias:

    • PR DTD SEG 007 Procedimiento de Uso de Medios Electrónicos.
    • PR DTD SEG 008 Procedimiento de Gestión de Usuarios

    Esta Política se desarrollará por medio de normativa de seguridad que aborde aspectos específicos. La normativa de seguridad estará a disposición de todos los miembros de la que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones.

    La normativa de seguridad estará disponible por diversos medios a disposición de los usuarios en la intranet corporativa.

  • 10. Obligaciones del personal

    Todos los miembros de PARADORES tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y las normas, procedimientos o guías que la desarrollen, siendo responsabilidad de la a través del Comité de Seguridad y del área de personal de disponer los medios necesarios para que la información llegue a los afectados.

    Todos los miembros de atenderán a una sesión de concienciación en materia de seguridad de la información al menos una vez al año. Se establecerá un programa de concienciación continua para atender a todos los miembros de PARADORES , en particular a los de nueva incorporación.

    Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.

  • 11. Terceras partes / Prestadores / Proveedores de soluciones

    Cuando preste servicios a otras entidades o maneje información de otras, se les hará partícipes de esta Política de Seguridad de la Información, sin perjuicio de respetar las obligaciones de la normativa de protección de datos si actúa como encargado del tratamiento en la prestación de los citados servicios, y se establecerán canales para reporte y coordinación de los respectivos Comités de Seguridad y procedimientos de actuación para la reacción ante incidentes de seguridad. Además, el Responsable de Seguridad (o persona en quien delegue) será el Punto de Contacto (POC).

    Cuando PARADORES utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o información, sin perjuicio del cumplimiento de otras obligaciones en materia de protección de datos. En la contratación de prestadores de servicios o adquisición de productos se  tendrá en cuenta la obligación del adjudicatario de cumplir con el ENS.

    En la adquisición de derechos de uso de activos en la nube tendrá en cuenta los requisitos establecidos en las medidas de seguridad del Anexo II y las Guía de desarrollo.

    Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla, de modo que PARADORES pueda supervisarlos o solicitar evidencias del cumplimiento de estos, incluso auditorías de segunda o tercera parte. Se establecerán procedimientos específicos de reporte y resolución de incidencias que deberán ser canalizadas por el POC de los terceros implicados y, además, cuando se afecte a datos personales por el Delegado de Protección de Datos. Los terceros garantizarán que su personal está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política o el que específicamente se pueda exigir en el contrato.

    Cuando algún aspecto de la Política no pueda ser satisfecho por un tercero según se requiere en los párrafos anteriores, el Responsable de la Seguridad emitirá un informe que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes del inicio de la contratación o, en su caso, de la adjudicación. El informe se trasladará al representante de la entidad que deberá autorizar la continuación con la tramitación de contratación del tercero, asumiendo los riesgos detectados.

    Cuando la entidad adquiera, desarrolle o implante un sistema de Inteligencia Artificial, además de cumplir con lo establecido en la normativa vigente en la materia, deberá contar con el informe del Responsable de la Seguridad, que consultará al Responsable de la Información y del Servicio y, cuando sea necesario, al del Sistema, debiendo también el Delegado de Protección de Datos emitir su parecer.

  • 12. Gestión de incidentes de seguridad

    PARADORES dispondrá de un procedimiento para la gestión ágil de los eventos e incidentes de seguridad que supongan una amenaza para la información y los servicios.

    Este procedimiento se integrará con otros relacionados con los incidentes de seguridad de otras normas sectoriales como la de protección de datos personales u otra que afecte al organismo para coordinar la respuesta desde los diferentes enfoques y comunicar a los diferentes organismos de control sin dilaciones indebidas y, cuando sea preciso, a las Fuerzas y Cuerpos de Seguridad el Estado o los juzgados.

  • 13. Aprobación de la política y entrada en vigor

    Las modificaciones de la presente Política que supongan cambios o adaptaciones ante ineficiencias las realizará el Comité de Seguridad de la Información, que deberá revisarla anualmente.

    En caso de que los cambios supongan una modificación sustancial o de los principios o responsabilidades designadas, el Comité de Seguridad propondrá los cambios que deberán ser aprobados, en su caso, por la persona u órgano con las debidas competencias.

    La sustitución de la Política será instada por el Comité de Seguridad de la Información y ratificada por la persona u órgano con las debidas competencias, de lo que se informará adecuadamente a los interesados por los mismos canales usados para su difusión.