Política de Seguridad de la Información

Última actualización: 18 de febrero de 2026

1. Introducción

SOLUCIONES EDUCATIVAS DIGITALES, S.L. (en adelante, "EstudiaFacil") depende de los sistemas de tecnologías de la información y comunicaciones (TIC) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o los servicios prestados.

El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.

Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios.

Esto implica que los departamentos deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

Los diferentes departamentos de EstudiaFacil deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación deben ser identificados e incluidos en la planificación, en la solicitud de ofertas y en pliegos de licitación para proyectos de TIC.

Los departamentos de EstudiaFacil deben estar preparados para prevenir, detectar, reaccionar y recuperarse de incidentes, de acuerdo con el artículo 7 del ENS.

1.1. Prevención

Los departamentos de EstudiaFacil deben evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello, los departamentos deben implementar las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados.

Para garantizar el cumplimiento de la política, los departamentos de EstudiaFacil deben:

  • Autorizar los sistemas antes de entrar en operación.
  • Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
  • Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.

1.2. Detección

Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una simple desaceleración hasta su detención, los servicios deben monitorizar de manera continua la operación para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo establecido en el artículo 10 del ENS.

La monitorización es especialmente relevante cuando se establecen líneas de defensa de acuerdo con el artículo 8 del ENS. Se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produzca una desviación significativa de los parámetros que se hayan preestablecido como normales.

1.3. Respuesta

Los departamentos de EstudiaFacil deben:

  • Establecer mecanismos para responder eficazmente a los incidentes de seguridad.
  • Designar un punto de contacto para las comunicaciones con respecto a incidentes detectados en otros departamentos o en otros organismos.
  • Establecer protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT).

2. Alcance

Esta política se aplica a todos los sistemas TIC de EstudiaFacil y a todos los miembros de la organización, sin excepciones. Esta política se aplica a todos los sistemas de información utilizados por EstudiaFacil para el desempeño de sus funciones y la prestación de sus servicios educativos digitales.

3. Misión

EstudiaFacil tiene como misión proporcionar una plataforma de aprendizaje impulsada por inteligencia artificial que facilite el estudio y la formación de los usuarios, garantizando la seguridad y privacidad de toda la información tratada.

El tratamiento de datos personales dentro del marco de la plataforma se rige por los siguientes principios fundamentales del RGPD:

3.1. Licitud, lealtad y transparencia

Los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado. EstudiaFacil se compromete a informar de forma clara y accesible sobre los tratamientos de datos que realiza, sus finalidades y la base jurídica que los sustenta.

3.2. Limitación de la finalidad

Los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados posteriormente de manera incompatible con dichos fines. Todo tratamiento adicional requerirá una base jurídica adecuada y la información correspondiente al interesado.

3.3. Minimización de datos

Los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados. EstudiaFacil se compromete a no recopilar más datos de los estrictamente necesarios para la prestación de sus servicios.

3.4. Exactitud

Los datos personales serán exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.

3.5. Limitación del plazo de conservación

Los datos personales serán mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento. EstudiaFacil establecerá plazos de conservación adecuados y procedimientos de revisión periódica.

3.6. Integridad y confidencialidad

Los datos personales serán tratados de tal manera que se garantice una seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.

4. Marco normativo

EstudiaFacil opera dentro del siguiente marco normativo en materia de seguridad de la información:

  • Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos - RGPD).
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
  • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS).
  • Guías CCN-STIC, en particular la CCN-STIC-801, sobre responsabilidades y funciones en el Esquema Nacional de Seguridad.
  • Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI-CE).

EstudiaFacil revisará periódicamente la adecuación de su política de seguridad al marco normativo vigente, adaptándola a los cambios legislativos y regulatorios que puedan producirse.

5. Organización de la seguridad

La seguridad de la información en EstudiaFacil se estructura a través de una organización que garantiza la adecuada gestión y supervisión de las medidas de seguridad implementadas.

5.1. Comités y estructura organizativa

EstudiaFacil establece los siguientes órganos para la gestión de la seguridad de la información:

  • Comité de Seguridad de la Información: Órgano colegiado responsable de la toma de decisiones estratégicas en materia de seguridad. Se encarga de coordinar la seguridad de la información, aprobar las políticas y normativas de seguridad, y supervisar su cumplimiento. Se reunirá con carácter ordinario al menos una vez al semestre y con carácter extraordinario cuando las circunstancias lo requieran.
  • Comité de Gestión de Incidentes: Encargado de la coordinación y respuesta ante incidentes de seguridad. Se activa ante la detección de incidentes relevantes y coordina las acciones de contención, erradicación y recuperación.

5.2. Funciones del Comité de Seguridad

El Comité de Seguridad de la Información tiene las siguientes funciones:

  • Definir y aprobar la política de seguridad de la información y sus actualizaciones.
  • Coordinar y supervisar la implantación de las medidas de seguridad.
  • Promover la concienciación y formación en materia de seguridad de la información.
  • Evaluar y aprobar los análisis de riesgos y los planes de tratamiento de riesgos.
  • Supervisar los incidentes de seguridad y las acciones correctivas adoptadas.
  • Garantizar la adecuación de la política de seguridad al marco normativo vigente.
  • Aprobar los procedimientos operativos de seguridad y velar por su cumplimiento.

6. Roles: funciones y responsabilidades

De acuerdo con lo establecido en el Esquema Nacional de Seguridad y las guías CCN-STIC, EstudiaFacil define los siguientes roles y responsabilidades en materia de seguridad de la información:

6.1. Dirección

La Dirección de EstudiaFacil es responsable de:

  • Aprobar la política de seguridad de la información y garantizar su alineación con los objetivos estratégicos de la organización.
  • Proporcionar los recursos necesarios para la implementación y mantenimiento del sistema de gestión de seguridad de la información.
  • Promover una cultura de seguridad de la información dentro de la organización.
  • Asumir la responsabilidad última sobre la seguridad de la información y los servicios prestados.

6.2. Responsable de Seguridad

El Responsable de Seguridad tiene las siguientes funciones:

  • Determinar las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.
  • Mantener la seguridad de la información manejada y de los servicios prestados por los sistemas de información en su ámbito de responsabilidad.
  • Realizar o promover las auditorías periódicas que permitan verificar el cumplimiento de las obligaciones del organismo en materia de seguridad.
  • Promover la formación y concienciación en materia de seguridad de la información dentro de su ámbito de responsabilidad.
  • Elaborar y supervisar la implantación de los planes de mejora de la seguridad.
  • Coordinar y gestionar la respuesta ante incidentes de seguridad.
  • Elaborar los informes periódicos de estado de la seguridad y presentarlos ante el Comité de Seguridad.

6.3. Responsable del Sistema

El Responsable del Sistema se encarga de:

  • Desarrollar, operar y mantener el sistema de información durante todo su ciclo de vida, incluyendo sus especificaciones, instalación y verificación de su correcto funcionamiento.
  • Definir la topología y el sistema de gestión del sistema de información, estableciendo los criterios de uso y los servicios disponibles.
  • Cerciorarse de que las medidas específicas de seguridad se integren adecuadamente dentro del marco general de seguridad.
  • Implementar y gestionar las medidas de protección y detección en el sistema.
  • Gestionar las actualizaciones y parches de seguridad del sistema.

6.4. Responsable de Protección de Datos (DPO)

El Delegado de Protección de Datos tiene las siguientes funciones:

  • Informar y asesorar a EstudiaFacil y a sus empleados de las obligaciones que les incumben en virtud del RGPD y de otras disposiciones de protección de datos.
  • Supervisar el cumplimiento de lo dispuesto en el RGPD, otras disposiciones de protección de datos y las políticas de EstudiaFacil en materia de protección de datos personales.
  • Ofrecer el asesoramiento que se le solicite acerca de las evaluaciones de impacto relativas a la protección de datos.
  • Cooperar con la autoridad de control y actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento.
  • Atender las consultas y reclamaciones de los interesados en relación con el tratamiento de sus datos personales.

6.5. Responsable del Servicio

El Responsable del Servicio es la persona encargada de:

  • Determinar los requisitos de seguridad de los servicios prestados, incluyendo los requisitos de disponibilidad y continuidad.
  • Definir los niveles de servicio aceptables y los criterios de calidad del servicio.
  • Velar por que los servicios se presten conforme a los niveles de seguridad establecidos.
  • Participar en la elaboración y mantenimiento del análisis de riesgos en lo relativo a los servicios prestados.

6.6. Responsable de la Información

El Responsable de la Información tiene las siguientes responsabilidades:

  • Determinar los requisitos de seguridad de la información tratada, atendiendo a su nivel de clasificación y a los requisitos legales aplicables.
  • Establecer los criterios de clasificación de la información y velar por su correcta aplicación.
  • Aprobar los procedimientos de tratamiento de la información y supervisar su cumplimiento.
  • Participar en la elaboración y mantenimiento del análisis de riesgos en lo relativo a la información tratada.

6.7. Usuarios

Todos los usuarios de los sistemas de información de EstudiaFacil tienen la obligación de:

  • Conocer y cumplir la política de seguridad de la información y las normativas y procedimientos que la desarrollan.
  • Participar en las actividades de formación y concienciación en materia de seguridad.
  • Aplicar las medidas de seguridad establecidas en el desempeño de sus funciones.
  • Reportar los incidentes de seguridad que detecten a través de los canales establecidos.
  • Proteger las credenciales de acceso y los medios de autenticación que les sean proporcionados.
  • No intentar acceder a información o servicios para los que no dispongan de autorización.

7. Procedimientos de designación

La designación de los responsables de seguridad se realizará conforme a los siguientes criterios y procedimientos:

  • La Dirección de EstudiaFacil designará formalmente al Responsable de Seguridad, al Responsable del Sistema, al Responsable del Servicio y al Responsable de la Información.
  • Las designaciones se formalizarán por escrito y se comunicarán a todas las partes interesadas.
  • Los responsables designados deberán contar con la cualificación, formación y experiencia adecuadas para el desempeño de sus funciones.
  • La Dirección garantizará que los responsables designados disponen de los recursos y la autoridad necesarios para el ejercicio de sus funciones.
  • Las designaciones se revisarán periódicamente y se actualizarán cuando se produzcan cambios organizativos que así lo requieran.
  • Se evitará la concentración de funciones de seguridad en una sola persona cuando ello pueda comprometer la eficacia de los controles. En caso de que sea necesario por el tamaño de la organización, se documentarán las medidas compensatorias adoptadas.

8. Política de seguridad

La presente política de seguridad de la información constituye el marco de referencia para la protección de los activos de información de EstudiaFacil. Esta política:

  • Será aprobada por la Dirección de EstudiaFacil y revisada al menos anualmente o cuando se produzcan cambios significativos.
  • Será comunicada a todos los miembros de la organización y estará disponible para las partes interesadas.
  • Establecerá los objetivos de seguridad de la información alineados con los objetivos de negocio de la organización.
  • Definirá el marco de referencia para establecer los objetivos de control y los controles de seguridad.
  • Incluirá el compromiso de cumplir con los requisitos aplicables relacionados con la seguridad de la información.
  • Incluirá el compromiso de mejora continua del sistema de gestión de seguridad de la información.

La política de seguridad será coherente con el resto de políticas de la organización y se desarrollará a través de normativas, procedimientos y guías técnicas específicas que detallarán las medidas de seguridad aplicables en cada ámbito.

9. Gestión de riesgos

EstudiaFacil realizará un análisis de riesgos que permita identificar, evaluar y tratar los riesgos para la seguridad de la información. Este análisis:

  • Se realizará de forma periódica, al menos una vez al año, y siempre que se produzcan cambios significativos en los sistemas de información o en la organización.
  • Identificará los activos de información, las amenazas a las que están expuestos y las vulnerabilidades que pueden ser explotadas.
  • Evaluará el impacto potencial de la materialización de las amenazas y la probabilidad de que ocurran.
  • Determinará las medidas de seguridad adecuadas para mitigar los riesgos identificados hasta niveles aceptables.
  • Será aprobado por el Comité de Seguridad de la Información.

Los resultados del análisis de riesgos se documentarán y servirán como base para la toma de decisiones en materia de seguridad. Se establecerán planes de tratamiento de riesgos que definan las acciones a realizar, los responsables, los plazos y los recursos necesarios.

EstudiaFacil aceptará los riesgos residuales que no puedan ser eliminados o mitigados, siempre que estos se encuentren dentro de los niveles de riesgo aceptables definidos por la Dirección.

10. Desarrollo de la política

La presente política de seguridad se desarrollará mediante un conjunto de normativas, procedimientos y guías técnicas que abordarán, entre otros, los siguientes aspectos:

  • Control de acceso a los sistemas de información.
  • Gestión de activos de información.
  • Seguridad en las comunicaciones.
  • Seguridad en la adquisición, desarrollo y mantenimiento de sistemas.
  • Gestión de incidentes de seguridad.
  • Gestión de la continuidad del negocio.
  • Cumplimiento legal y normativo.
  • Seguridad de los recursos humanos.
  • Seguridad física y del entorno.
  • Seguridad en las operaciones.
  • Protección de datos personales.
  • Cifrado y gestión de claves criptográficas.

Estas normativas, procedimientos y guías serán aprobadas por el Comité de Seguridad de la Información y comunicadas a todos los miembros de la organización afectados. Su revisión y actualización se realizará de forma periódica y siempre que se produzcan cambios que así lo requieran.

11. Obligaciones del personal

Todo el personal de EstudiaFacil tiene la obligación de conocer y cumplir la presente política de seguridad de la información, así como las normativas y procedimientos que la desarrollan. En particular:

  • Todo el personal recibirá formación adecuada en materia de seguridad de la información, adaptada a sus funciones y responsabilidades.
  • Se realizarán acciones periódicas de concienciación para mantener actualizado el conocimiento en materia de seguridad.
  • Las personas con responsabilidad en el uso, operación o administración de los sistemas TIC recibirán formación específica para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo.
  • El incumplimiento de la política de seguridad podrá dar lugar a las acciones disciplinarias que correspondan conforme a la legislación vigente y las normativas internas de la organización.
  • El personal deberá guardar secreto sobre la información a la que tenga acceso en el ejercicio de sus funciones, incluso después de finalizar su relación con la organización.

12. Terceras partes

Cuando EstudiaFacil preste servicios a otros organismos o maneje información de otros organismos, se les hará partícipes de esta política de seguridad de la información, se establecerán canales para reporte y coordinación de los respectivos Comités de Seguridad de la Información y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

Cuando EstudiaFacil utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta política de seguridad y de la normativa de seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias.

Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta política. Cuando algún aspecto de la política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.

13. Aprobación y entrada en vigor

La presente Política de Seguridad de la Información ha sido aprobada por la Dirección de SOLUCIONES EDUCATIVAS DIGITALES, S.L. y entra en vigor desde la fecha de su aprobación.

Fecha de aprobación: 29/05/2025

Esta política será revisada y actualizada periódicamente para garantizar su adecuación a los cambios normativos, organizativos y tecnológicos que puedan producirse. Cualquier modificación de la presente política requerirá la aprobación de la Dirección y será comunicada a todos los miembros de la organización.

Para cualquier consulta relacionada con esta política de seguridad, puede contactar con nosotros en: info@tututor.ai