• +34 91 658 87 60
  • marketing@cartronic.es

|

Contacto

POLÍTICA DE VENTAS, CALIDAD Y SEGURIDAD

 
  1. Ámbito de aplicación

Las presentes Condiciones Generales de Venta regulan todas las operaciones comerciales realizadas por CARTRONIC MEMORY, S.A. (en adelante, “CARTRONIC”) relativas al suministro de productos, soluciones, licencias software, servicios profesionales, mantenimiento, comunicaciones, seguridad electrónica, sistemas sanitarios, telemedicina y cualquier otra actividad desarrollada por la compañía.

Estas condiciones serán de aplicación a todas las ofertas, pedidos, suministros y contratos realizados con clientes profesionales, empresas, organismos públicos y entidades privadas, salvo acuerdo expreso por escrito.

La realización de un pedido implica la aceptación íntegra de las presentes condiciones.

  1. Pedidos y aceptación

Los pedidos deberán formalizarse por escrito mediante:

  • pedido firmado,
  • aceptación de oferta,
  • correo electrónico,
  • plataforma electrónica,
  • adjudicación administrativa,
  • o cualquier otro medio válido de contratación.

CARTRONIC se reserva el derecho de aceptar o rechazar pedidos en función de:

  • disponibilidad,
  • riesgo financiero,
  • viabilidad técnica,
  • cumplimiento normativo,
  • o condiciones comerciales aplicables.

Las modificaciones o cancelaciones de pedidos deberán ser aceptadas expresamente por CARTRONIC.

Los productos fabricados bajo pedido, configuraciones especiales, licencias software, servicios cloud y productos no estándar no admitirán cancelación una vez confirmados.

  1. Precios

Todos los precios se expresan en euros (€), salvo indicación expresa en otra divisa, y no incluyen:

  • IVA,
  • impuestos,
  • tasas,
  • aranceles,
  • costes logísticos especiales,
  • instalación,
  • formación,
  • ni cualquier otro concepto adicional no especificado expresamente.

Toda oferta comercial tendrá una validez máxima de 30 días naturales desde su emisión, salvo indicación expresa en contrario.

Los precios podrán ser revisados en caso de:

  • variaciones de costes de fabricante,
  • fluctuaciones monetarias,
  • incremento de costes logísticos,
  • cambios regulatorios,
  • o modificaciones fiscales.

En proyectos de larga duración, CARTRONIC podrá aplicar revisiones de precio justificadas.

  1. Formas de pago y condiciones financieras

Las condiciones de pago serán las acordadas con los clientes o específicamente negociadas para una operación comercial y podrán incluir:

  • transferencia bancaria,
  • domiciliación SEPA B2B,
  • confirming,
  • pago anticipado,
  • pago por hitos.

En ningún caso los plazos de pago acordados superarán los máximos legales permitidos por la normativa vigentes (60 días).

La concesión de crédito comercial estará sujeta a análisis y aprobación financiera. A tales efectos, CARTRONIC se reserva el derecho de requerir al cliente sus estados financieros actualizados en cualquier momento mientras exista crédito comercial vigente.

CARTRONIC podrá:

  • modificar límites de crédito,
  • exigir garantías adicionales,
  • solicitar prepago,
  • suspender suministros,
  • o cancelar pedidos pendientes, cuando exista riesgo de impago o incumplimiento financiero.

El retraso en el pago devengará automáticamente:

  • el interés de demora previsto en la Ley 3/2004, costes de recobro, y cualesquiera gastos financieros o jurídicos derivados.

La existencia de facturas vencidas podrá implicar:

  • suspensión de soporte no crítico, paralización de entregas, suspensión de garantías, comerciales ampliadas, o resolución contractual.
  1. Reserva de dominio

La propiedad de los productos suministrados permanecerá en favor de CARTRONIC hasta el pago íntegro de todas las cantidades adeudadas.

Mientras no se produzca el pago completo:

  • el cliente no podrá pignorar ni transmitir los bienes como garantía,
  • CARTRONIC podrá reclamar la devolución inmediata de la mercancía.

Asimismo, el cliente se obliga a mantener la mercancía adecuadamente asegurada contra todo riesgo (incendio, robo, daños, etc.) por el valor total de la factura hasta que se haya completado el pago íntegro, nombrando a CARTRONIC como beneficiario de dicho seguro en caso de siniestro.

  1. Plazos de entrega

Los plazos de entrega tendrán carácter estimado salvo pacto expreso.

CARTRONIC no será responsable de retrasos derivados de:

  • fabricantes, operadores logísticos, aduanas, escasez de componentes, fuerza mayor, conflictos internacionales, incidencias regulatorias, o causas ajenas a su control razonable.

Los retrasos no darán derecho automático a:

  • cancelación, penalización, indemnización, ni reclamación por lucro cesante,
    salvo acuerdo contractual específico.
  1. Transporte y transmisión del riesgo

Salvo pacto expreso, el transporte se realizará por cuenta y riesgo del cliente desde la salida de las instalaciones de CARTRONIC o del fabricante.

Los gastos de transporte, seguro, manipulación especial o expedición urgente podrán facturarse adicionalmente.

El cliente deberá revisar la mercancía en el momento de la recepción.

Las incidencias deberán notificarse:

  • daños visibles: en un máximo de 24 horas,
  • daños ocultos: en un máximo de 5 días naturales.

Será obligatorio:

  • reflejar daños visibles en el albarán del transportista,
  • conservar embalajes originales, y aportar documentación gráfica cuando proceda.

No se aceptarán reclamaciones fuera de plazo.

  1. Devoluciones

Toda devolución requerirá autorización previa mediante número RMA emitido por CARTRONIC.

No se aceptarán devoluciones de:

  • software,
  • licencias electrónicas,
  • productos configurados bajo pedido,
  • productos abiertos o manipulados,
  • material descatalogado,
  • ni productos sin embalaje original.

Las devoluciones comerciales deberán solicitarse en un plazo máximo de 15 días desde la entrega.

Las devoluciones comerciales aceptadas podrán estar sujetas a:

  • gastos logísticos,
  • revisión técnica,
  • depreciación,
  • y cargo de restocking que será como mínimo del 15% del valor neto del producto para cubrir gastos administrativos.

Los portes derivados de devoluciones no imputables a CARTRONIC serán por cuenta del cliente.

  1. Garantías

9.1 Garantía general

Los productos suministrados dispondrán de la garantía legal y/o comercial ofrecida por el fabricante correspondiente.

En operaciones entre empresas no será de aplicación la normativa específica de consumidores y usuarios.

Los productos sanitarios estarán sujetos adicionalmente a las condiciones regulatorias, mantenimiento y trazabilidad exigibles según normativa aplicable.

CARTRONIC no será responsable de falta de actualización del cliente, contraseñas débiles, configuraciones posteriores, modificaciones no autorizadas sobre el equipamiento suministrado.

La garantía cubrirá exclusivamente defectos de fabricación o funcionamiento en condiciones normales de uso.

La garantía no cubrirá:

  • daños por manipulación incorrecta,
  • instalación indebida,
  • accidentes,
  • sobretensiones,
  • uso negligente,
  • modificaciones no autorizadas,
  • desgaste normal,
  • ni causas externas.

9.2 Procedimiento RMA

Toda gestión de garantía requerirá:

  • autorización RMA,
  • envío correctamente embalado,
  • descripción detallada de incidencia,
  • y eliminación previa de datos personales o confidenciales.

CARTRONIC no será responsable de pérdida de datos almacenados en equipos remitidos a garantía.

9.3 Productos DOA

Los productos considerados DOA (Dead On Arrival) deberán notificarse en un plazo máximo de 7 días naturales desde la recepción.

La sustitución inmediata estará condicionada a:

  • validación técnica,
  • estado físico correcto,
  • y entrega completa del producto y accesorios.

9.4 Software y servicios cloud

Las licencias software, plataformas cloud y servicios SaaS estarán sujetos adicionalmente a:

  • condiciones del fabricante,
  • acuerdos de licencia,
  • SLA específicos,
  • y limitaciones técnicas del proveedor.

CARTRONIC no garantiza disponibilidad ininterrumpida de servicios prestados por terceros.

  1. Servicios profesionales

Los servicios de:

  • instalación, integración, configuración, soporte, consultoría, formación, mantenimiento, o asistencia técnica, se regirán por las condiciones específicas de cada oferta o contrato.

Salvo pacto expreso:

  • los servicios se prestarán en horario laboral, y los gastos de desplazamiento, dietas y estancias podrán facturarse adicionalmente.
  1. Limitación de responsabilidad

La responsabilidad total de CARTRONIC quedará limitada al importe efectivamente abonado por el cliente respecto del suministro afectado.

En ningún caso CARTRONIC responderá por:

  • lucro cesante, pérdida de negocio, pérdida de datos, daños indirectos, pérdida de contratos, interrupciones operativas, o daños reputacionales.
  1. Cumplimiento normativo y exportación

El cliente se compromete a cumplir toda normativa aplicable relativa a:

  • exportación, sanciones internacionales, doble uso, anticorrupción, ciberseguridad, y protección de datos.

El cliente no podrá exportar, reexportar o transferir productos suministrados por CARTRONIC a países, entidades o personas sometidas a restricciones internacionales aplicables.

  1. Protección de datos

CARTRONIC tratará los datos personales conforme al:

  • Reglamento (UE) 2016/679 (RGPD),
  • Ley Orgánica 3/2018 (LOPDGDD),
  • y normativa aplicable vigente.

La información detallada sobre privacidad y tratamiento de datos estará disponible en la Política de Privacidad publicada en la web corporativa.

  1. Confidencialidad

Toda información técnica, económica, comercial o estratégica intercambiada entre las partes tendrá carácter confidencial.

Las partes se comprometen a no divulgar dicha información a terceros salvo obligación legal o autorización expresa.

  1. Fuerza mayor

CARTRONIC no será responsable por incumplimientos derivados de circunstancias fuera de su control razonable, incluyendo:

  • conflictos internacionales, pandemias, escasez de componentes, huelgas, ciberataques, interrupciones energéticas, o decisiones gubernamentales.
  1. Legislación aplicable y jurisdicción

Las presentes condiciones se regirán por la legislación española.

Para cualquier controversia, las partes se someten expresamente a los Juzgados y Tribunales del domicilio social de CARTRONIC, salvo disposición legal imperativa en contrario.

  1. Prevalencia contractual

En contratos con Administraciones Públicas, prevalecerán:

  • los pliegos, adjudicaciones, contratos administrativos, y normativa específica aplicable.

En caso de conflicto entre documentos, prevalecerá el siguiente orden:

  1. Contrato específico.
  2. Oferta aceptada.
  3. Condiciones particulares.
  4. Presentes Condiciones Generales de Venta.

Firmado:

José Manuel Fernandez Cobo

Responsable Calidad.

POLÍTICA DE CALIDAD, MEDIO AMBIENTE Y SST

Cartronic Memory S.A., dedicada a la distribución, asesoría, prescripción de proyectos y ensamblaje de equipos y soluciones tecnológicas en el ámbito de la sanidad, seguridad, networking, almacenamiento y comunicaciones, ha decidido implantar un Sistema de Gestión para sus instalaciones ubicadas en Avenida Fuente Nueva, 12, San Sebastián de los Reyes, y cuyo alcance comprende: “Comercialización de componentes informáticos, equipos de infraestructura de comunicación y vídeo IP, así como el ensamblaje de equipos de comunicaciones”. Este Sistema de Gestión está basado en las siguientes normas:

  • ISO 9001, con el fin de mejorar el servicio que presta a sus clientes.
  • ISO 14001, con el fin de mejorar el desempeño y eficiencia con el medio ambiente.
  • ISO 45001, con el fin de mejorar el desempeño y eficiencia de la salud y seguridad de los trabajadores.

En primer lugar, la Dirección de Cartronic Memory S.A. enfoca el Sistema de la Calidad como una manera de organizar el funcionamiento de la organización partiendo de unos pilares básicos como son la Calidad de sus productos, la satisfacción del cliente y la mejora continua de la eficacia del Sistema. Para ello, su Sistema de Gestión de la Calidad se basa en:

  • La Calidad y su mejora son responsabilidad de todos los integrantes de la Cartronic Group empezando desde la alta dirección.
  • La Calidad se obtiene planificando, ejecutando, revisando y mejorando el Sistema de Gestión, teniendo presente en todo momento el contexto de la organización, tanto interno como externo.
  • La Calidad está orientada hacia la Satisfacción de todos nuestros clientes (y partes interesadas), mediante el compromiso de toda la organización en cumplir con sus necesidades y requisitos, así como los requisitos legales y reglamentarios y los propios de los productos.
  • La Calidad se apoya en la Mejora Continua tanto de los procesos productivos y de prestación del servicio, como de la eficacia del Sistema de Gestión de la Calidad en el que prevenir los errores sea un aspecto fundamental.
  • La Calidad nos dirige a prestar la máxima atención a la evolución tecnológica y a las posibles mejoras que las nuevas tecnologías pusieran a nuestra disposición.
  • La Calidad requiere de la participación y colaboración de todos por lo que esta Política es difundida a todo el personal de Cartronic Group para su conocimiento y comprensión.
  • Todos los requisitos de este contrato pueden estar sometidos a AOC. Se le notificará cualquier actividad de AOC que se vaya a realizar.

Asimismo, la Dirección, enfoca el Sistema medioambiental como una manera de gestionar los aspectos ambientales, las emergencias, los riesgos, los requisitos legales y la mejora continua de la eficacia del Sistema. Para ello, su Sistema de Gestión medioambiental se basa en:

  • Cumplir con la legislación y reglamentación medioambiental aplicable, así como con otros requisitos que nuestra empresa suscriba relacionados con sus aspectos medioambientales.
  • Promover un uso eficiente de los recursos naturales disponibles.
  • Intensificar de manera continua nuestra gestión medioambiental para obtener mejoras en el comportamiento global de la empresa, con un enfoque de análisis de ciclo de vida.
  • Establecer y revisar regularmente objetivos y metas medioambientales acordes con los compromisos asumidos en esta declaración.
  • Identificar y controlar los aspectos ambientales de la organización y los riesgos, de tal manera que establecemos un enfoque preventivo.
  • Formar y sensibilizar al personal de la organización, respecto al desempeño ambiental, así como proporcionar los recursos necesarios para el buen funcionamiento del sistema ambiental.

Por último, la Dirección, se compromete con la salud y seguridad de los trabajadores, mediante el cumplimiento de las siguientes premisas:

  • Identificar los peligros y riesgos presentes en todas nuestras actividades y áreas de trabajo, notificarlos a nuestro personal junto con las medidas de prevención y control correspondientes, con el fin de eliminar o minimizar accidentes, lesiones y enfermedades laborales derivados de ellos.
  • Proteger la salud y el bienestar laboral de nuestro personal, proporcionándoles un ambiente y condiciones de trabajo seguro, sano y saludable de acuerdo con las leyes aplicables.
  • Desarrollar, implementar y mantener un sistema de gestión basado en el estricto cumplimiento de las leyes, reglamentos y normas nacionales e internacionales relacionadas con la seguridad y salud en el trabajo aplicables a la empresa y a los proyectos y obras que ejecutemos.
  • Buscar y mantener la satisfacción de nuestros clientes y la de otras partes interesadas, al cumplir con los requisitos relacionados con los peligros aplicables de SST especificados y acordados para los proyectos y obras que nos sean otorgados.
  • Desarrollar planes de formación, entrenamiento y concientización de nuestro personal sobre las obligaciones y responsabilidades inherentes a la seguridad y salud ocupacional, y hacerlos partícipes del sistema y de la vigilancia para que estas políticas de SST sean efectivas.
  • Propiciar y mantener mejora continua del sistema de Gestión de SST, de los procesos y del desempeño relacionado con la seguridad y la salud ocupacional a partir de hallazgos en auditorías, el análisis de estadísticas y datos, acciones correctivas y preventivas y otras fuentes de mejora.

POLÍTICA DE SEGURIDAD

APROBACIÓN Y ENTRADA EN VIGOR

Texto aprobado el día 03 de Abril del 2025 por Cartronic Group.

Esta Política se Seguridad de la Información es efectiva desde dicha fecha y hasta que sea reemplazada por una nueva Política.

INTRODUCCIÓN

Cartronic Group depende de los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o los servicios prestados.

El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.

Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que los departamentos deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

Los diferentes departamentos deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC.

Los departamentos deben estar preparados para prevenir, detectar, reaccionar y recuperarse de incidentes.

PREVENCIÓN

Los departamentos deben evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello los departamentos deben implementar las medidas mínimas de seguridad determinadas por Cartronic Group, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados.

Para garantizar el cumplimiento de la política, los departamentos deben:

  • Autorizar los sistemas antes de entrar en operación.
  • Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
  • Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.

DETECCIÓN

Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una simple desaceleración hasta su detención, los servicios deben monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuaren consecuencia.

Se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales.

RESPUESTA

Los departamentos deben:

  • Establecer mecanismos para responder eficazmente a los incidentes de seguridad.
  • Designar punto de contacto para las comunicaciones con respecto a incidentes detectados en otros departamentos o en otros organismos.
  • Establecer protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT).

RECUPERACIÓN

Para garantizar la disponibilidad de los servicios críticos, los departamentos deben desarrollar planes de continuidad de los sistemas TIC como parte de su plan general de continuidad de negocio y actividades de recuperación.

ALCANCE

Esta política se aplica a todos los sistemas TIC de Cartronic Group y a todos los miembros de la organización, sin excepciones.

MISIÓN

La Dirección de Cartronic Group, establece como objetivos de base, punto de partida y soporte de los objetivos y principios de la seguridad de la información los siguientes:

  • La protección de los datos de carácter personal y la intimidad de las personas
  • La salvaguarda de los registros de la organización
  • La protección de los derechos de propiedad intelectual
  • La documentación de la política de seguridad de la información
  • La asignación de responsabilidades de seguridad
  • La formación y capacitación para la seguridad de la información
  • El registro de las incidencias de seguridad
  • La gestión de la continuidad del negocio
  • La gestión de los cambios que pudieran darse en la empresa relativos a la seguridad

MARCO NORMATIVO

 Todas las actividades de Cartronic Group se realizarán conforme a la legislación vigente. El marco regulatorio en el que se desarrollan las actividades será el que se establezca en nuestros registros R-44-01 “Listado de requisitos legales” que se actualizará conforme a nuestra ficha de procedimiento FP-44 “Cumplimiento legal”.

ORGANIZACIÓN DE LA SEGURIDAD

COMITÉS: FUNCIONES Y RESPONSABILIDADES

El Comité de Seguridad estará formado por:

  • Director general
  • Responsable de la Información.
  • Responsable de Sistemas y Seguridad
  • Responsable de Protección de Datos.
  • Responsable del Sistema de gestión.

El Secretario del Comité de Seguridad será el Responsable de Sistemas y Seguridad y tendrá como funciones:

  • Convoca las reuniones del Comité de Seguridad de la Información.
  • Prepara los temas a tratar en las reuniones del Comité, aportando información puntual para la toma de decisiones.
  • Elabora el acta de las reuniones.
  • Es responsable de la ejecución directa o delegada de las decisiones del Comité.

El Comité de Seguridad reportará a la Alta Dirección.

El Comité de Seguridad tendrá las siguientes funciones:

  • Atender las inquietudes de la Dirección de la entidad y de los diferentes departamentos.
  • Informar regularmente del estado de la seguridad de la información a la Dirección.
  • Promover la mejora continua del sistema de gestión de la seguridad de la información.
  • Elaborar la estrategia de evolución de la organización en lo que respecta a seguridad de la información.
  • Coordinar los esfuerzos de las diferentes áreas en materia de seguridad de la información, para asegurar que los esfuerzos son consistentes, que están alineados con la estrategia decidida en la materia, evitando duplicidades.
  • Elaborar (y revisar regularmente) la Política de Seguridad de la Información para su aprobación por la Dirección.
  • Aprobar la Normativa de Seguridad de la información.
  • Elaborar y aprobar los requisitos de formación y calificación de administradores, operadores y usuarios, desde el punto de vista de seguridad de la información.
  • Monitorizar los principales riesgos residuales asumidos por la organización y recomendar posibles actuaciones.
  • Monitorizar el desempeño de los procesos de gestión de incidentes de seguridad y recomendar posibles actuaciones respecto de ellos. En particular, velar por la coordinación de las diferentes áreas de seguridad en la gestión de tales incidentes.
  • Promover la realización de las auditorías periódicas que permitan verificar el cumplimiento de las obligaciones del organismo en materia de seguridad.
  • Aprobar planes de mejora de la seguridad de la información de la organización. En particular velará por la coordinación de distintos planes que puedan realizarse en diferentes áreas.
  • Priorizar las actuaciones en materia de seguridad cuando los recursos sean limitados.
  • Velar porque la seguridad de la información se tenga en cuenta en todos los proyectos TIC desde su especificación inicial hasta su puesta en operación. En particular, deberá velar por la creación y utilización de servicios horizontales que reduzcan duplicidades y apoyen un funcionamiento homogéneo de todos los sistemas TIC.

ROLES: FUNCIONES Y RESPONSABILIDADES

CEO

Responsabilidades:

  • Es el responsable en última instancia de la actividad
  • La aprobación de la Política de Seguridad de la Información del organismo
  • La aprobación de la Política de Protección de Datos
  • El compromiso de la entidad con la seguridad y su adecuada implantación, gestión y mantenimiento
  • Promover la mejora continua del sistema de gestión de la seguridad de la información.
  • Aprobar la Normativa de Seguridad de la información.
  • Promover la realización de las auditorías periódicas que permitan verificar el cumplimiento de las obligaciones del organismo en materia de seguridad.
  • Aprobar planes de mejora de la seguridad de la información de la organización. En particular velará por la coordinación de distintos planes que puedan realizarse en diferentes áreas.

Responsable de la información

Funciones:

  • Tiene la responsabilidad última del uso que se haga de una cierta información y, por tanto, de su protección.
  • Es el responsable último de cualquier error o negligencia que conlleve un incidente de confidencialidad o de integridad, autenticidad, trazabilidad y de disponibilidad (en materia de seguridad de la información).
  • Tiene la potestad de determinar los niveles de seguridad de la información
  • Elaborar la estrategia de evolución de la organización en lo que respecta a seguridad de la información.
  • Monitorizar el desempeño de los procesos de gestión de incidentes de seguridad y recomendar posibles actuaciones respecto de ellos. En particular, velar por la coordinación de las diferentes áreas de seguridad en la gestión de tales incidentes.
  • Velar porque la seguridad de la información se tenga en cuenta en todos los proyectos TIC desde su especificación inicial hasta su puesta en operación. En particular, deberá velar por la creación y utilización de servicios horizontales que reduzcan duplicidades y apoyen un funcionamiento homogéneo de todos los sistemas TIC.

Responsable de Sistemas y Seguridad

Funciones:

  • Mantener la seguridad de la información manejada y de los servicios prestados por los sistemas de información en su ámbito de responsabilidad, de acuerdo con lo establecido en la Política de Seguridad de la Información de la organización.
  • Promover la formación y concienciación en materia de seguridad de la información dentro de su ámbito de responsabilidad.
  • Coordinar los esfuerzos de las diferentes áreas en materia de seguridad de la información, para asegurar que los esfuerzos son consistentes, que están alineados con la estrategia decidida en la materia, evitando duplicidades.
  • Priorizar las actuaciones en materia de seguridad cuando los recursos sean limitados.
  • Informar regularmente del estado de la seguridad de la información a la Dirección.
  • Elaborar (y revisar regularmente) la Política de Seguridad de la Información para su aprobación por la Dirección.
  • Realizar la declaración de aplicabilidad
  • Realizar el análisis de riesgos, para que la Dirección tome las decisiones oportunas sobre los mismos.
  • Monitorizar los principales riesgos residuales asumidos por la organización y recomendar posibles actuaciones.
  • Supervisión de las medidas de seguridad
  • Proponer planes de mejora a la Dirección
  • Debe reportar directamente a la Dirección

Responsable del Sistema de Información

Funciones:

  • Responsable de la implantación de las medidas de seguridad
  • Desarrollar, operar y mantener el sistema de información durante todo su ciclo de vida, incluyendo sus especificaciones, instalación y verificación de su correcto funcionamiento.
  • Definir la topología y la gestión del sistema de información, estableciendo los criterios de uso y los servicios disponibles en el mismo.
  • Cerciorarse de que las medidas de seguridad se integren adecuadamente en el marco general de seguridad.

Responsable de Sistemas de Gestión

Funciones:

  • Desarrollar el sistema de gestión, implantarlo y mantenerlo, dirigiendo y coordinando las actividades necesarias, e integrar aquellos sistemas de gestión, según decida la Dirección.
  • Elaborar y mantener la documentación de los sistemas de gestión.
  • Asegurar que los sistemas de gestión implantados cumplan los requisitos que les sean aplicables.

Responsable de protección de datos

Funciones:

  • Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del Reglamento de Protección de datos y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
  • Supervisar el cumplimiento de lo dispuesto en el Reglamento de Protección de datos, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes
  • Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35 del Reglamento (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD).
  • Cooperar con la autoridad de control;
  • Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36 del Reglamento (UE) 2016/679 (RGPD), y realizar consultas, en su caso, sobre cualquier otro asunto.

Es función de la Dirección de la entidad designar:

  • Al Responsable de la Información, que puede ser un cargo unipersonal o un órgano colegiado (integrado, habitualmente, en Comité de Seguridad de la Información).
  • Al Responsable del Servicio, que, pudiendo ser el mismo que el Responsable de la Información, también puede ser un cargo unipersonal o un órgano colegiado (integrado, habitualmente, en Comité de Seguridad de la Información).
  • Al Responsable de Sistemas y Seguridad, que debe reportar directamente a la Dirección o a los órganos de gobierno de la entidad y, cuando existan, a los Comités de Seguridad Corporativa y de Seguridad de la Información.
  • Al Responsable del Sistema de información, que, en materia de seguridad, reportará al Responsable de Sistemas y Seguridad. Esta designación podrá ser:
    • A propuesta del Responsable de la Información tratada, cuando el Sistema de información trate una única información.
    • A propuesta del Responsable del Servicio prestado, cuando el Sistema de información preste un único servicio.
    • Directamente, cuando el sistema de información trate diferentes informaciones o preste diferentes servicios, oídos los responsables de las informaciones y los servicios afectados.

PROCEDIMIENTOS DE DESIGNACIÓN

El Responsable de Sistemas y Seguridad de la Información será nombrado por Cartronic Group a propuesta del Comité de Seguridad. El nombramiento se revisará cada 2 años o cuando el puesto quede vacante.

El Departamento responsable de un servicio que se preste electrónicamente de acuerdo a la Ley 11/2007 designará al Responsable del Sistema de Gestión, precisando sus funciones y responsabilidades dentro del marco establecido por esta Política.

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Será misión del Comité de Seguridad la revisión anual de esta Política de Seguridad de la Información y la propuesta de revisión o mantenimiento de la misma. La Política será aprobada por Cartronic Group y difundida para que la conozcan todas las partes afectadas.

DATOS DE CARÁCTER PERSONAL

Cartronic Group trata datos de carácter personal. El documento de seguridad, al que tendrán acceso sólo las personas autorizadas, recoge los ficheros afectados y los responsables correspondientes. Todos los sistemas de información de Cartronic Group se ajustarán a los niveles de seguridad requeridos por la normativa para la naturaleza y finalidad de los datos de carácter personal recogidos en el mencionado Documento de Seguridad.

GESTIÓN DE RIESGOS

Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:

  • Regularmente, al menos una vez al año
  • Cuando cambie la información manejada
  • Cuando cambien los servicios prestados
  • Cuando ocurra un incidente grave de seguridad
  • Cuando se reporten vulnerabilidades graves

Para la armonización de los análisis de riesgos, el Comité de Seguridad establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. El Comité de Seguridad dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.

DESARROLLO DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Esta Política de Seguridad de la Información complementa las políticas de seguridad de Cartronic Group en diferentes materias:

  • Política de uso aceptable de activos
  • Política de gestión de contraseñas
  • Política de control de accesos
  • Política de controles criptográficos
  • Política de desarrollo
  • Política de uso aceptable de servicios en la nube

Esta Política se desarrollará por medio de normativa de seguridad que afronte aspectos específicos. La normativa de seguridad estará a disposición de todos los miembros de la organización que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones.

La normativa de seguridad estará disponible en la pagina web de la organización.

OBLIGACIONES DEL PERSONAL

Todos los miembros de Cartronic Group la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad, siendo responsabilidad del Comité de Seguridad disponer los medios necesarios para que la información llegue a los afectados.

Todos los miembros de Cartronic Group atenderán a una sesión de concienciación en materia de seguridad TIC al menos una vez al año. Se establecerá un programa de concienciación continua para atender a todos los miembros de Cartronic Group, en particular a los de nueva incorporación.

Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo

TERCERAS PARTES

Cuando Cartronic Group preste servicios a otros organismos o maneje información de otros organismos, se les hará partícipes de esta Política de Seguridad de la Información, se establecerán canales para reporte y coordinación de los respectivos Comités de Seguridad y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

Cuando Cartronic Group utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en

materia de seguridad, al menos al mismo nivel que el establecido en esta Política.

Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.

Para la aplicación efectiva de estos principios, es absolutamente necesario el apoyo a los mismos tanto del equipo directivo como de la plantilla.

Alta Dirección

San Sebastián de los Reyes, 16 de Octubre de 2025

Scroll to Top
Ir al contenido