Fecha de última actualización: Junio 2025
Vigencia: Esta política está en vigor desde la fecha de publicación

1. INTRODUCCIÓN Y ALCANCE

Cocinando la Vida, con domicilio en España, se compromete a garantizar la máxima seguridad en el tratamiento de la información personal de nuestros usuarios y en la protección de nuestros sistemas digitales. Esta Política de Seguridad establece las medidas técnicas, organizativas y legales implementadas para proteger tanto los datos personales como la integridad de nuestra plataforma digital.

El cumplimiento de esta política es obligatorio para todos los empleados, colaboradores, proveedores y terceros que tengan acceso a los sistemas o datos de Cocinando la Vida.

2. MARCO LEGAL Y NORMATIVO

2.1 Normativa Aplicable

  • Reglamento General de Protección de Datos (RGPD) – Reglamento (UE) 2016/679
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)
  • Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE)
  • Directiva NIS – Directiva (UE) 2016/1148 sobre medidas para un alto nivel común de seguridad de las redes y sistemas de información

2.2 Cumplimiento Normativo

Cocinando la Vida garantiza el cumplimiento íntegro de toda la normativa española y europea aplicable en materia de protección de datos y seguridad de la información.

3. RESPONSABILIDADES Y GOBIERNO DE LA SEGURIDAD

3.1 Responsable de Seguridad

Se ha designado un Responsable de Seguridad que supervisa:

  • Implementación y mantenimiento de medidas de seguridad
  • Gestión de incidentes de seguridad
  • Formación del personal en materia de seguridad
  • Auditorías periódicas de seguridad

3.2 Responsabilidades del Personal

Todo el personal de Cocinando la Vida debe:

  • Cumplir con las políticas de seguridad establecidas
  • Reportar inmediatamente cualquier incidente de seguridad
  • Participar en formaciones de concienciación sobre seguridad
  • Mantener la confidencialidad de la información accedida

4. MEDIDAS DE SEGURIDAD TÉCNICAS

4.1 Protección de Sistemas y Redes

  • Firewall corporativo con reglas de filtrado actualizadas
  • Sistemas de detección y prevención de intrusiones (IDS/IPS)
  • Segmentación de red para aislar sistemas críticos
  • Monitorización 24/7 de la infraestructura tecnológica
  • Copias de seguridad automatizadas con verificación de integridad

4.2 Cifrado y Protección de Datos

  • Cifrado SSL/TLS para todas las comunicaciones web
  • Cifrado de datos en tránsito y en reposo
  • Algoritmos de cifrado que cumplen con estándares internacionales (AES-256)
  • Gestión segura de claves criptográficas

4.3 Control de Acceso

  • Autenticación multifactor (MFA) para accesos administrativos
  • Principio de menor privilegio en asignación de permisos
  • Revisión periódica de permisos y accesos
  • Registro y auditoría de todos los accesos a sistemas críticos

4.4 Actualización y Parcheo

  • Política de actualización de sistemas operativos y aplicaciones
  • Gestión de vulnerabilidades con evaluaciones regulares
  • Pruebas de seguridad antes de implementar actualizaciones críticas

5. MEDIDAS DE SEGURIDAD ORGANIZATIVAS

5.1 Políticas y Procedimientos

  • Manual de seguridad actualizado y accesible para todo el personal
  • Procedimientos de respuesta ante incidentes de seguridad
  • Políticas de uso aceptable de sistemas y recursos
  • Procedimientos de alta y baja de usuarios y empleados

5.2 Formación y Concienciación

  • Programa anual de formación en seguridad y protección de datos
  • Sesiones de concienciación sobre phishing y ingeniería social
  • Evaluaciones periódicas del nivel de concienciación del personal
  • Simulacros de seguridad para probar la efectividad de los procedimientos

5.3 Gestión de Proveedores

  • Evaluación de seguridad de todos los proveedores tecnológicos
  • Contratos con cláusulas de protección de datos y seguridad
  • Monitorización continua del cumplimiento de proveedores
  • Auditorías de seguridad a proveedores críticos

6. PROTECCIÓN DE DATOS PERSONALES

6.1 Principios de Protección

  • Minimización de datos: Solo recopilamos datos estrictamente necesarios
  • Limitación de la finalidad: Los datos se usan únicamente para los fines declarados
  • Exactitud: Mantenemos los datos actualizados y precisos
  • Limitación del plazo de conservación: Los datos se conservan el tiempo mínimo necesario
  • Integridad y confidencialidad: Implementamos medidas técnicas y organizativas adecuadas

6.2 Derechos de los Usuarios

Los usuarios pueden ejercer sus derechos de:

  • Acceso a sus datos personales
  • Rectificación de datos inexactos
  • Supresión de datos (derecho al olvido)
  • Limitación del tratamiento
  • Portabilidad de datos
  • Oposición al tratamiento

6.3 Base Legal del Tratamiento

  • Consentimiento expreso para newsletters y comunicaciones comerciales
  • Interés legítimo para análisis de navegación y mejora del servicio
  • Ejecución contractual para servicios solicitados por el usuario
  • Cumplimiento legal para obligaciones fiscales y legales

7. GESTIÓN DE INCIDENTES DE SEGURIDAD

7.1 Detección y Respuesta

  • Sistemas de monitorización continua para detectar anomalías
  • Procedimiento de escalado según la gravedad del incidente
  • Equipo de respuesta disponible 24/7 para incidentes críticos
  • Documentación detallada de todos los incidentes

7.2 Notificación de Brechas de Seguridad

En caso de brecha de datos personales:

  • Notificación a la AEPD dentro de las 72 horas si hay riesgo para los derechos y libertades
  • Comunicación a los interesados si existe alto riesgo para sus derechos y libertades
  • Registro interno de todas las brechas, independientemente de su gravedad

7.3 Análisis Post-Incidente

  • Análisis de causas raíz para identificar vulnerabilidades
  • Implementación de mejoras para prevenir futuros incidentes
  • Actualización de procedimientos basada en lecciones aprendidas

8. SEGURIDAD EN EL DESARROLLO

8.1 Desarrollo Seguro

  • Revisión de código con enfoque en seguridad
  • Pruebas de penetración en aplicaciones web
  • Análisis de vulnerabilidades automatizado en el código
  • Entornos de desarrollo aislados de producción

8.2 Gestión de Contenido

  • Validación de contenido gastronómico para evitar información perjudicial
  • Moderación de comentarios y contenido generado por usuarios
  • Verificación de fuentes en información nutricional y de salud
  • Protección contra contenido malicioso o spam

9. COPIAS DE SEGURIDAD Y CONTINUIDAD

9.1 Política de Copias de Seguridad

  • Copias diarias de datos críticos
  • Copias semanales de sistemas completos
  • Copias mensuales para archivo a largo plazo
  • Pruebas de restauración trimestrales

9.2 Plan de Continuidad de Negocio

  • Identificación de procesos críticos para la operación
  • Procedimientos de recuperación ante desastres
  • Sitios alternativos para operación de emergencia
  • Pruebas anuales del plan de continuidad

10. AUDITORÍAS Y EVALUACIONES

10.1 Auditorías Internas

  • Auditorías semestrales de cumplimiento de políticas
  • Evaluaciones trimestrales de riesgos de seguridad
  • Revisiones mensuales de logs y actividad del sistema

10.2 Auditorías Externas

  • Evaluación anual por terceros independientes
  • Certificaciones de seguridad según estándares internacionales
  • Pruebas de penetración por empresas especializadas

11. GESTIÓN DE RIESGOS

11.1 Identificación de Riesgos

  • Evaluación continua de amenazas y vulnerabilidades
  • Análisis de impacto de posibles incidentes
  • Registro de riesgos actualizado trimestralmente

11.2 Mitigación de Riesgos

  • Controles preventivos para reducir probabilidad de incidentes
  • Controles detectivos para identificación temprana
  • Controles correctivos para respuesta y recuperación
  • Seguros de ciberseguridad para cobertura de riesgos residuales

12. CONTACTO Y EJERCICIO DE DERECHOS

12.1 Datos de Contacto

Responsable de Protección de Datos:

12.2 Autoridad de Control

Agencia Española de Protección de Datos (AEPD)

  • Web: www.aepd.es
  • Teléfono: 901 100 099
  • Sede: C/ Jorge Juan, 6, 28001 Madrid

13. ACTUALIZACIONES DE LA POLÍTICA

Esta Política de Seguridad se revisa periódicamente y se actualiza según sea necesario para:

  • Adaptarse a cambios normativos
  • Incorporar nuevas amenazas de seguridad
  • Mejorar controles existentes
  • Reflejar cambios en la tecnología utilizada

Los usuarios serán notificados de cualquier cambio significativo en esta política a través de:

  • Notificación en la página web
  • Email a usuarios registrados
  • Publicación en redes sociales oficiales

14. ACEPTACIÓN Y CUMPLIMIENTO

El acceso y uso de los servicios de Cocinando la Vida implica la aceptación de esta Política de Seguridad. El incumplimiento de estas medidas por parte del personal interno puede resultar en medidas disciplinarias según la normativa laboral aplicable.

Para cualquier consulta sobre esta política, los usuarios pueden contactar con nuestro equipo de seguridad a través de los canales indicados en el apartado de contacto.

Esta política ha sido elaborada conforme a la legislación española y europea vigente en materia de protección de datos y seguridad de la información. Su cumplimiento es fundamental para garantizar la confianza de nuestros usuarios y la integridad de nuestros servicios.