Área clientes

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

I. APROBACIÓN Y ENTRADA EN VIGOR
Texto aprobado por el Comité de Seguridad de GRUPO ANBELO en fecha 30 de septiembre de 2025, y ratificado por la Dirección
de la organización.
Esta Política de Seguridad de la Información (en adelante, la Política) es efectiva desde dicha fecha y estará vigente hasta que sea
reemplazada por una nueva Política debidamente aprobada.
La entrada en vigor de la presente Política supone la derogación de cualquier otra política de seguridad de la información que
existiera con anterioridad a cualquier nivel de la organización.

II. INTRODUCCIÓN
La Organización mantiene su sistema de gestión de la seguridad alineado con estándares y marcos nacionales e internacionales,
incluyendo ISO/IEC 27001:2022, el Esquema Nacional de Seguridad (ENS – RD 311/2022) y, de manera complementaria, los
principios y obligaciones establecidos en la Directiva (UE) 2022/2555 (NIS2), en la medida en que resulten aplicables según el
sector y los servicios prestados.
Mediante la presente política de seguridad, GRUPO ANBELO articula la gestión continuada de seguridad de la información, de
acuerdo con los siguientes principios básicos y requisitos:


a) Organización e implantación del proceso de seguridad. La organización depende de los sistemas TIC para alcanzar los
objetivos. Estos sistemas son administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños
accidentales o deliberados que puedan afectar a la disponibilidad, integridad, confidencialidad o trazabilidad de la
información tratada o los servicios prestados. El objetivo de la seguridad de la información es garantizar la calidad de la
información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y
reaccionando con presteza a los incidentes. Para su consecución, la organización desarrollo y mantiene un proceso de
seguridad basado en los siguientes elementos: Prevención, Detección, Respuesta y Conservación.


b) Análisis y gestión de los riesgos. Todos los sistemas sujetos a esta Política realizan análisis de riesgos, según procedimientos
internos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá: Regularmente, al menos
una vez al año. Cuando cambie la información manejada. Cuando cambien los servicios prestados. Cuando ocurra un incidente
grave de seguridad. Cuando se reporten vulnerabilidades graves.


c) Gestión de personal. Mecanismos necesarios para que cualquier persona que acceda, o pueda acceder a los activos de
información, conozca sus responsabilidades y de este modo se reduzca el riesgo derivado de un uso indebido de dichos
activos.


d) Profesionalidad. La seguridad del sistema de información esta atendida y es revisada y auditada por personal cualificado,
dedicado e instruido en todas las fases de su ciclo de vida. Se disponen determinados los requisitos de formación y experiencia
necesarias del personal para el desempeño de las competencias.


e) Autorización y control de los accesos. Control de acceso, limitando el acceso a los activos de información por parte de
usuarios, procesos y sistemas de información mediante la implantación de los mecanismos de identificación, autenticación y
autorización acordes a la criticidad de cada activo.


f) Protección de las instalaciones. Utilización de recursos TIC corporativos, tales como el correo electrónico, el acceso a Internet,
el equipamiento informático y de comunicaciones. Gestión de activos de información inventariados, categorizados y
asociados a un responsable.


g) Adquisición de productos. Adquisición, desarrollo y mantenimiento de los sistemas de información contemplando los
aspectos de seguridad de la información en todas las fases del ciclo de vida de dichos sistemas.


h) Mínimo privilegio. Los sistemas de información han sido diseñados y configurados otorgando los mínimos privilegios
necesarios para su correcto desempeño.
Y seguridad por defecto. Seguridad física, de forma que los activos de información serán emplazados en áreas seguras,
protegidos por controles de acceso físicos adecuados a su nivel de criticidad. Los sistemas y los activos de información que
contienen dichas áreas estarán suficientemente protegidos frente a amenazas físicas o ambientales.

i) Integridad y actualización del sistema. Todos los sistemas se mantienen íntegros y actualizados según los requisitos
establecidos, y gestión a través de procesos de gestión del cambio y análisis de riesgos.


j) Protección de la información almacenada y en tránsito. Toda la información es almacenada de forma adecuada, siguiendo
directrices establecidas, en todas sus fases.


k) Prevención ante otros sistemas de información interconectados. El sistema proteger el perímetro, en particular, si se conecta
a redes públicas. En todo caso se analizarán los riesgos derivados de la interconexión del sistema, a través de redes, con otros
sistemas, y se controlará su punto de unión.


l) Registro de actividad. Se registra las actividades de los usuarios, reteniendo la información necesaria para monitorizar,
analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento a la
persona que actúa.


m) Incidentes de seguridad. Gestión de los incidentes de seguridad implantando mecanismos apropiados para la correcta
identificación, registro y resolución de los incidentes de seguridad.


n) Continuidad de la actividad. Gestión de la continuidad implantando mecanismos apropiados para asegurar la disponibilidad
de los sistemas de información y manteniendo la continuidad de sus procesos de negocio.


o) Mejora continua del proceso de seguridad. El proceso integral de seguridad implantado es actualizado y mejorado de forma
continua. Para ello, se aplican los criterios y métodos reconocidos en la práctica nacional e internacional relativos a gestión
de las tecnologías de la información.


Por ello, la Dirección se compromete a liderar y mantener un Sistema de Gestión Seguridad de la Información en la organización
basado en la mejora continua y en los siguientes objetivos general:
➢ El serio compromiso de conocer las necesidades y expectativas de nuestros clientes y partes interesadas, para lograr su
satisfacción, y de mejora continua, estableciendo y verificando el cumplimiento de los objetivos y metas anuales.
➢ El compromiso del cumplimiento de la legislación y reglamentación aplicable, así como de los requisitos que se suscriban.
➢ Asegurar la seguridad de la información propia y de nuestros clientes. Nuestra actividad implica el tratamiento de
información variada como forma de ejecutar procesos básicos propios de su actividad. Sabiendo que los sistemas de
información, aplicaciones, infraestructuras de comunicaciones, archivos y bases de datos, constituyen un activo
importante de la empresa, la dirección prioriza la confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad
de la información a la hora de definir y delimitar los objetivos y responsabilidades para las diversas actuaciones técnicas
y organizativas y vigila el cumplimiento del marco legal, de las directivas y políticas específicas y de los procedimientos
definidos.
➢ El compromiso por la revisión continua de las competencias y mejora continua, a fin de garantizar la calidad de los
servicios y su capacidad de afrontar los retos crecientes que nos plantean nuestros clientes.
➢ Desarrollo y disposición general de una estructura documental eficaz para la gestión del Sistema de Información, basados
en;

  • Procedimiento general operativos.
  • Listado de documentos (internos y externos) del sistema para el control de versiones y vigencia.
  • Marco normativo de seguridad.

GRUPO ANBELO utiliza los sistemas TIC (Tecnologías de la información y comunicación) para la prestación de sus servicios y el
desempeño de sus procesos, que deben ser administrados y regulados con la aplicación de medidas que garanticen su protección, frente a daños intencionados o de carácter accidental, que pudieran impactar a la disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad de la información que gestionan, teniendo en cuenta que la Organización utiliza la clasificación de uso no restringido para la considerada como pública, así como la categoría uso restringido-confidencial para los datos personales, sensibles e información operacional, indicando su adecuado manejo según lo establecido en SGSI.

Por tanto, la misión de esta Política es garantizar la calidad de la información, su disponibilidad, así como la de los activos y servicios que la sustentan, para proporcionar su uso confiable y seguro a nuestros clientes, empleando para ello técnicas preventivas, seguimiento sobre la práctica diaria, y la identificación de incidentes con su adecuada respuesta. La colaboración de las diferentes Áreas de Negocio interno, avala la repuesta ante la posible materialización de amenazas, las cuáles, trabajan conforme a las directrices que son desplegadas desde el Sistema de Gestión de Seguridad de la Información, y el.

Esquema Nacional de Seguridad que engloban, Buenas Prácticas de seguridad Lógica y física, las relacionadas con el manejo de
datos e información, así como vías de comunicación para incidencias, junto con la batería de medidas técnicas que corresponden
al mantenimiento de Infraestructuras y Servicios TI internos.
Así pues, se constituyen procesos que permiten la prevención y detección de incidentes de seguridad, y la posterior recuperación
conforme al acuerdo del Artículo 8 del Esquema Nacional de Seguridad, especificados como:


Prevención: La Organización evita en la medida de lo posible, los incidentes de seguridad que puedan perjudicar a la
información o a los servicios, mediante la implementación de las medidas mínimas especificadas por el ENS, las indicadas
desde el entorno del Sistema de Gestión de Seguridad, y adicionalmente, cualquiera que sea considerada necesaria por
el Área interna encargada de la gestión de la seguridad que puedan derivarse del análisis y evaluación de riesgos,
vulnerabilidades y amenazas, identificando los responsables involucrados.


Detección: Se realizan seguimientos sobre la actividad diaria, para la detección de incidentes y anomalías según lo
indicado en el Artículo 9 del ENS, estableciendo mecanismos que permitan la identificación activa, el análisis y el reporte
de los mismos a los responsables designados.


Respuesta: Se dispone de procesos que posibiliten la respuesta frente a los incidentes, contando con vías de
comunicación claras a disposición de las partes interesadas, y el intercambio de información en los casos necesarios con
las unidades que puedan responder a emergencias.


Recuperación: La disponibilidad de los servicios y la información se garantiza a través de planes de continuidad.

III. ALCANCE
El alcance de esta Política abarca:
El sistema de información que da soporte a:

  • Ciberseguridad
  • Instalación y mantenimiento de parques solares
  • Comercializadora de luz y gas
  • Desarrollo de proyectos fotovoltaicos
  • De acuerdo con la declaración de aplicabilidad en vigor a la fecha de emisión del certificado y la categorización de acuerdo con el ENS, el sistema se clasifica con categoría MEDIA. Esta Política es de aplicación a:
  • Todos los sistemas de información incluidos en el ámbito del SGSI y del ENS.
  • Todo el personal de GRUPO ANBELO (empleados y colaboradores).
  • Terceras partes que presten servicios o traten información en nombre de GRUPO ANBELO, en los términos
    establecidos contractualmente.

De acuerdo con la declaración de aplicabilidad en vigor a la fecha de emisión del certificado y la categorización de acuerdo con el ENS, el sistema se clasifica con categoría MEDIA. Esta Política es de aplicación a:

  • Todos los sistemas de información incluidos en el ámbito del SGSI y del ENS.
  • Todo el personal de GRUPO ANBELO (empleados y colaboradores).
  • Terceras partes que presten servicios o traten información en nombre de GRUPO ANBELO, en los términos
    establecidos contractualmente.

IV. ORGANIZACIÓN DE LA SEGURIDAD
La organización de la seguridad se articula desde la creación del comité de Seguridad TIC, que queda conformado por los perfiles
de Responsable de Seguridad de la Información, Responsable de Sistemas, Responsable de la Información y Responsables de los
Servicios, que a su vez actúa en la función de secretaría, convocando las reuniones necesarias con registro de las mismas mediante
actas.

  • En lo casos necesarios, reportará al Comité de Dirección
  • Coordinar y aprobar las acciones pertinentes en materia de seguridad
  • Promover la concienciación y formación en seguridad de la información
  • Definir la categoría del Sistema y el análisis de riesgos
  • Revisión y aprobación conjunta de la documentación relacionada con la seguridad, así como de los registros
    asociados
  • Participar en la resolución de problemas y discrepancias relacionadas con la gestión de la seguridad.
  • Las responsabilidades del Responsable de Seguridad, quedan definidas como:
  • Mantenimiento de los niveles de seguridad adecuados para la información y servicios bajo alcance
  • Gestionar la formación y concienciación en materia de seguridad
  • Comprobar que las medidas de seguridad son adecuadas a los objetivos y necesidades de la Organización
  • Revisar toda la documentación relacionada con la seguridad del sistema
  • Monitorizar el estado de seguridad del sistema proporcionado por las herramientas de gestión de eventos de seguridad
    y medios de auditoría
  • Realizar las auditorías que se considerarán necesarias en función del ENS y del SGSI
  • Apoyar y supervisar la investigación de los incidentes de seguridad desde su notificación hasta la resolución, aportando
    informes para el Comité en los casos relevantes
  • Operar y mantener el sistema de información durante todo su ciclo de vida.
  • Definir el alcance del sistema de información, identificar los activos, su evaluación en cada dimensión y establecer la
    categoría del sistema. Revisar la evaluación de riesgos y plantear las salvaguardas, así como las medidas
  • Cerciorarse de que las medidas de seguridad se integren adecuadamente en el marco general de seguridad
  • El Responsable de Sistemas podría proponer la suspensión del tratamiento de una cierta información o la prestación de
    un determinado servicio si aprecia deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos
    establecidos. La decisión final, será tomada por el Comité de Dirección.
  • Las responsabilidades del Responsable del Sistema serán las siguientes:
  • Promover y organizar las auditorías periódicas según ENS y SGSI en colaboración con el Responsable de Seguridad
  • Describir la documentación relacionada con la seguridad
  • Participar en la formación y concienciación en materia de seguridad
  • Registrar y realizar el seguimiento de las incidencias de seguridad, así como de los cambios que se puedan originar
  • Promover las confluencias entre el SGSI y el Esquema Nacional de Seguridad
  • Realizar la evaluación de riesgos y amenazas
  • Dar soporte al Responsable del Sistema en la definición del alcance del ENS y SGSI, identificación de los activos, así como
    en la evaluación de los mismos.
  • Colaborar con el RSI y la Dirección en cualquier tarea relacionada con la seguridad que consideren necesaria.
  • Las responsabilidades del Responsable de la Información serán las siguientes;
  • Responsable último del uso que se haga de la información y, por tanto, de su protección.
  • Responsable último de cualquier error o negligencia que conlleve un incidente de confidencialidad o de integridad (en
    materia de protección de datos) y de disponibilidad (en materia de seguridad de la información). Aprobación de los
    niveles de seguridad establecidos.
  • Las responsabilidades del Responsable del Servicio serán las siguientes;
  • Responsable de establecer los requisitos de los servicios en materia de seguridad.
  • Determinar los niveles de seguridad de los servicios.

Como usuarios, la Organización entiende, a cualquier empleado o a terceros externos en aquellos casos que acontezca, que, para el desempeño de su actividad diaria, dentro de las Áreas de negocio de la compañía, requieran la utilización de los Sistemas de Información, debiendo colaborar con el R. de Seguridad en todas las actividades que les sean indicadas, así como restringir el uso de los Sistemas según las especificaciones aprobadas por el R. de Sistemas. Podrán ser designados como responsables de los activos o de los riesgos, dependiendo de su implicación con los mismos. La designación de los miembros del Comité de Seguridad TIC, se asimila al Comité de Seguridad descrito por el SGSI, siendo los encargados de cualquier actuación relativa a la seguridad históricamente dentro de la Organización.

V. CLASIFICACIÓN Y TRATAMIENTO DE LA INFORMACIÓN
GRUPO ANBELO utiliza los sistemas TIC para la prestación de sus servicios y el desempeño de sus procesos, empleando las
siguientes clasificaciones:

  • Público: para información considerada pública.
  • Uso interno: para información destinada a uso interno de la organización.
  • Uso restringido-confidencial: para datos personales, datos sensibles e información operacional.
    El adecuado manejo de la información se realizará según lo establecido en el SGSI y en la normativa de seguridad, aplicando los principios de mínimo privilegio, necesidad de saber y seguridad por defecto.

VI. GESTIÓN DE RIESGOS
El sistema es sometido a un análisis de riesgos, que evalúa las amenazas y los niveles de riesgo registrados al que se encuentra
expuesto con frecuencia anual, siempre y cuando no se produzcan incidentes graves, o cambios que pudieran alterar las
condiciones iniciales respecto a la información manejada, los servicios prestados, o la aparición de vulnerabilidades.
Una vez establecidas los controles disponibles para la contención de las amenazas, el riesgo final es considerado como «riesgo
residual o trivial», estableciéndose categorías de tratamiento según su nivel.
El desarrollo de esta Política se realiza de manera complementaria a las actividades relacionadas en el ámbito del SGSI,
encontrándose a disposición de todo el personal de GRUPO ANBELO, y constituyendo un elemento de carácter público que podrá
ser comunicado tanto a proveedores como clientes.
Se organizarán jornadas de concienciación e información en seguridad para los empleados de la Organización, el personal con
responsabilidad en el uso, operación, o administración de sistemas TIC, recibirán la formación necesaria en las medidas de
seguridad necesarias en cada caso. En los casos en lo que GRUPO ANBELO, utilice a terceros para la provisión de servicios bajo
alcance, transmitirá sus requisitos a través de las comunicaciones establecidas en los «Criterios de Evaluación», clasificando a los
proveedores según las características establecidas en el mismo. Se proporcionará una vía de comunicación para que puedan
transmitir de manera rápida y directa cualquier incidencia de seguridad relacionada con el servicio o la información objeto de su
prestación de servicios. Cuando alguna de las terceras partes, no cumpla con los requisitos mínimos recogidos en los «Criterios de
Evaluación» anteriormente citado, se solicitará su reprobación al Responsable del Área de negocio afectada.

VII. DATOS PERSONALES
En relación con los datos de carácter personal incluidos en el alcance del ENS:

  • Se aplicarán las medidas de seguridad establecidas en el RGPD, la LOPDGDD y la normativa interna.
  • Los datos tratados se consideran, con carácter general, de tipología baja, si bien se aplicarán medidas adicionales cuando
    la naturaleza del tratamiento lo exija.
  • La organización mantiene un alto desempeño en la gestión de estos requisitos, supervisado mediante auditorías
    periódicas.

VIII. OBLIGACIONES DEL PERSONAL

Todos los miembros de GRUPO ANBELO tienen la obligación de conocer y cumplir esta Política y la normativa de seguridad
asociada. La organización dispondrá los medios necesarios para:

  • Difundir la Política y normativa de seguridad.
  • Organizar jornadas de concienciación e información en seguridad.
  • Proporcionar formación específica al personal con responsabilidad en el uso, operación o administración de sistemas TIC.
    La concienciación en seguridad se realizará, como mínimo, con carácter periódico, y siempre en los casos de nuevas
    incorporaciones o cambios relevantes en los sistemas o normativa.

IX. MARCO NORMATIVO
El Marco Normativo aplicable a la presente Política, está sometido a revisión periódica, por procedimiento interno, con una
periodicidad mínima semestral, y es el siguiente:
✓ Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el Texto Refundido de la Ley de Propiedad
Intelectual.
✓ Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de comercio electrónico.
✓ Ley 59/2003, de 19 de diciembre, de firma electrónica.
✓ Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y
garantía de los derechos digitales.
✓ Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la
Administración Electrónica.
✓ Ley 36/2015, de 28 de septiembre, de Seguridad Nacional.
✓ Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
✓ Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
✓ Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza.
✓ REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección
de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por
el que se deroga la Directiva 95/46/CE.
✓ Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos de Carácter Personal.
✓ Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
✓ Guías CCN-STIC.
✓ Instrucciones Técnicas de Seguridad de conformidad con el Esquema Nacional de Seguridad (Resolución de 13 de octubre
de 2016 de la Secretaría de Estado de Administraciones Públicas) y de Auditoría de la Seguridad de los Sistemas de
Información (Resolución de 27 de marzo de 2018 de la Secretaría de Estado de Función Pública).
✓ UNE-ISO/IEC 27002:2022 Código de buenas prácticas para la Gestión de la Seguridad de la información.
✓ UNE-ISO/IEC 27001:2022 Especificaciones para los Sistemas de Gestión de la Seguridad de la Información.
✓ UNE-EN-ISO 9001:2015 Sistemas de gestión de la calidad.
✓ Procedimiento operativo de Gestión de la Seguridad de la Información (ENS & SGSI)
✓ Listado documentos del sistema en vigor.
✓ Procedimientos e Instrucciones técnicas de seguridad.
✓ Ley 7/2021 de Cambio Climático Obligación de transparencia sobre origen de energía y emisiones.
✓ Directiva NIS2 (UE 2022/2555)

NORMATIVA ESPECÍFICA SEGÚN SECTOR
Comercializadora de luz y gas

  • Ley 24/2013, del Sector Eléctrico (LSE) La ley marco que regula toda la actividad eléctrica en España.
  • Real Decreto 1955/2000 Regula autorización y explotación de instalaciones eléctricas y la actividad de comercialización.
  • Real Decreto 216/2014 Define el Precio Voluntario al Pequeño Consumidor (PVPC) y tarifas de último recurso (TUR
    eléctrica).
  • Circular 3/2020 de la CNMC Regula el peaje de acceso y la metodología de cálculo de precios.
  • Circular 6/2019 de la CNMC Regulación de comercializadores y obligaciones de información.
  • Real Decreto 466/2022 Obliga a ciertas comercializadoras a disponer de capacidad de almacenamiento energético (CAES).
  • Real Decreto 1183/2020 Regula los procedimientos de acceso y conexión a redes, relevante si la comercializadora actúa
    en autoconsumo o servicios agregados.
  • Ley 34/1998, del Sector de Hidrocarburos (LSH) Marco general para la actividad de comercialización de gas.
  • Real Decreto 1434/2002 Regula el transporte, distribución, comercialización y suministro.
  • Circular 6/2020 de la CNMC (mercado del gas) Regula la actividad de comercialización minorista de gas y obligaciones de
    transparencia.
  • Real Decreto 949/2001 Metodología de tarifas y acceso de terceros a las redes gasistas.
  • Real Decreto 984/2015 Sistema de garantías de origen del gas renovable.
  • Real Decreto 1/2021 Actualización de peajes y cargos del sistema gasista.
  • Normas MIBGAS Regulación del mercado organizado del gas
  • Normativa OMIE/OMIP Requisitos para operar en mercados spot y futuros.
  • Normas de REE y Enagás Obligaciones técnicas y operativas de agentes comercializadores.

Política de Seguridad ENS rev2,
Aprobado en acta del Comité CSI-CSTI,
Fecha Septiembre 2025

AIRELIMPIO ENERGÍA

Llámanos gratis al 900 103 064

airelimpio@airelimpioenergia.com

Aviso legal

Política de privacidad

Condiciones generales

AIRELIMPIO ENERGÍA

Llámanos gratis al 900 103 064

airelimpio@airelimpioenergia.com

Aviso legal
Política de privacidad
Condiciones generales
Política de Seguridad de
la Información