Declaración de Prácticas

DECLARACIÓN DE PRÁCTICAS DE FACTUM ID COMO PRESTADOR DE SERVICIOS ELECTRÓNICOS DE CONFIANZA

1. INTRODUCCIÓN
1.1 PRESENTACION
FACTUM IDENTITY SOLUTIONS S.L.U. (en adelante “FACTUM ID”) tiene por objeto social la prestación de servicios a empresas, organismos públicos y particulares referentes a las tecnologías de la información. Dentro de este objeto social, FACTUM ID ofrece servicios electrónicos de confianza.
Los servicios electrónicos de confianza que ofrece FACTUM ID se encuentran alineados con el Reglamento (UE) N.º 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE.
Por ello, se publica la presente Declaración de Prácticas de Certificación (en adelante, DPC) donde se detalla las normas y condiciones generales de FACTUM ID como prestador servicios electrónicos de confianza que ofrece FACTUM ID, en relación con dichos servicios, su gestión, condiciones aplicables, medidas de seguridad técnicas y organizativas, derechos y obligaciones de los usuarios, y requisitos comerciales y legales, entre otros.
Así pues, la presente Declaración de Prácticas de Certificación constituye el compendio general de normas aplicables a toda actividad de FACTUM ID como Prestador de Servicios de Confianza.
Los requisitos y condiciones aplicables a cada uno de los servicios se publicarán mediante Documentos de Política del servicio electrónico específico, como normas complementarias, que prevalecerán sobre la presente Declaración de Prácticas de Certificación en lo que se refiera a cada tipo de servicio incluido en la Política en cuestión.
La presente Declaración de Prácticas de Certificación ha sido redactada teniendo en cuenta las especificaciones del RFC 3647 “Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework” propuesto por Network Working Group para este tipo de documentos, en lo que resulte aplicable.
‍
1.2 NOMBRE DEL DOCUMENTO

Nombre

Política del servicio electrónico de confianza de creación y verificación de firmas electrónicas de FACTUM ID

Versión

1.0

Estado

VIGENTE

Referencia /OID

1.3.6.1.4.1.58894.2.01

Fecha de emisión

14/10/2022

Localización

www.factumidentity.com

1.3 USUARIOS Y ENTIDADES PARTCIPANTES DE LOS SERVICIOS
1.3.1. PRESTADOR DEL SERVICIO ELECTRÓNICO DE CONFIANZA
El Prestador de los servicios electrónicos de confianza es FACTUM IDENTITY SOLUTIONS SLU (en el documento se identifica como FACTUM ID)Los datos identificativos relativos a FACTUM ID son los siguientes:

Razón Social

FACTUM IDENTITY SOLUTIONS SLU

CIF

B-09694217

Domicilio Social

Calle Doctor Zamenhof 36 bis, planta primera, 28027 – Madrid

Teléfono

(+34) 913 52 44 79

Email de contacto

accounts.admin@factumid.com

Nombre comercial

FACTUM ID

Dominio

www.factumidentity.com

1.3.2. OPERADOR DE VERIFICACIÓN DE IDENTIDAD
El Operador de Verificador de Identidad es aquella persona a la que FACTUM ID como Prestador de Servicio de Confianza encomienda la función de identificar fehacientemente y comprobar las circunstancias personales de los solicitantes del servicio, así como de la entrega de las claves de autenticación para, en su caso, poder acceder al mismo.La identificación y la entrega de claves de autenticación se realizarán en un entorno seguro y controlado.

1.3.1. CLIENTES/SUSCRIPTORES
Son las personas físicas o jurídicas que haya contratado con FACTUM ID la prestación de un servicio electrónico de confianza.
Deberán tener en cuenta tanto las Condiciones Generales de Contratación y los Términos y Condiciones del Servicio, así como las limitaciones establecidas para el servicio contratado.

1.1.4. USUARIOS DE LOS SERVICIOS
Son las personas físicas y jurídicas que hacen uso de los servicios electrónicos de confianza de FACTUM ID.
El grupo de usuarios que puede hacer uso de los servicios está definido y limitado por cada Política del servicio electrónico de confianza específico.

1.3.5. TERCERAS PARTES
Las Terceras Partes son aquellas partes que confían en los servicios prestados por FACTUM ID y, en su caso, en las evidencias generadas como resultado de la ejecución de los servicios. Deberán tener en cuenta los términos y condiciones del servicio, así como las limitaciones establecidas en el propio servicio.
Otros Prestadores de Servicios Cualificados intervinientes

1.3.6. OTROS PRESTADORES DE SERVICIOS ELECTRONICOS DE CONFIANZA INTERVINIENTES
FACTUM ID utiliza, para la Prestación alguno de sus servicios electrónicos de confianza, los servicios de certificación cualificados de otros prestadores de servicios de confianza. La relación de dichos Prestadores de servicios de confianza cualificados se incluirá en la Política del servicio de confianza que haga uso de los mismos.

1.4 USO DE LOS SERVICIOS
El uso de los servicios viene definido en cada Política del servicio electrónico de confianza, donde también se recoge las limitaciones del uso de cada servicio concreto.

1.4.1 USOS PERMITIDOS
Los servicios electrónicos de confianza de FACTUM ID sólo se utilizarán de acuerdo con la normativa vigente en el momento, y para las finalidades y funciones previstas en esta DPC y en cada Política de servicio de confianza aplicable.

1.4.2. USOS PROHIBIDOS
No se permite ningún uso de los servicios contrario a la normativa española y de la Unión Europea, a los convenios internacionales ratificados por España, a esta DPC y a su Política de servicio de confianza correspondiente.
Los servicios electrónicos de confianza de FACTUM ID no se pueden reproducir, copiar, comercializar ni revender para ningún fin, a menos que así se estipule en un acuerdo específico para ello.

1.4.3. COMUNICACIÓN DE USOS NO AUTORIZADOS, QUEJAS Y SUGERENCIAS
FACTUM ID mantiene un buzón de quejas y sugerencias, accesible en la siguiente dirección electrónica: saas.support@factumidentity.com, donde cualquier persona podrá comunicarse con FACTUM ID para informar sobre un mal uso de los servicios, o hacer llegar cualquier queja o sugerencia sobre los servicios prestados.
FACTUM ID se compromete a gestionar la información recibida a través de este buzón en un plazo máximo de 30 días, siempre que sea posible.

2. DEFINICIONES Y ACRÓNIMOS
2.1 DEFINICIONES
Para una mayor comprensión del contenido de la DPC se facilita, por orden alfabético, una breve definición de los siguientes términos:

Autenticación: Es el proceso electrónico que posibilita la identificación de una persona física o jurídica, o del origen y la integridad de datos en formato electrónico.
Cambio sustancial en la DPC: Por cambio sustancial en la DPC se hace referencia a cualquier modificación que afecte a los derechos y obligaciones del conjunto de intervinientes o a la naturaleza jurídica de los servicios a los que la DPC se refiere
Cifrado: Operación mediante la cual un mensaje en claro se transforma en un mensaje ilegible.
Criptografía: Ciencia que estudia la alteración del texto original con el objetivo de que el significado del mensaje solo pueda ser comprendido por su destinatario.
Documento electrónico: información de cualquier naturaleza en forma electrónica, archivada en un soporte electrónico según un formato determinado, y susceptible de identificación y tratamiento diferenciado.
Evidencias: Hace referencia a todos los datos y elementos acreditativos generados durante un servicio electrónico de confianza, que permiten probar que un evento ha ocurrido en un momento determinado. Son archivados y custodiados por FACTUM ID.
Firma electrónica: es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación personal.
Firma electrónica avanzada: es aquella firma electrónica que permite establecer la identidad personal del suscriptor respecto de los datos firmados y comprobar la integridad de los mismos, por estar vinculada de manera exclusiva tanto al suscriptor, como a los datos a que se refiere, y por haber sido creada por medios que mantiene bajo su exclusivo control.
Función hash (o función resumen): Algoritmo que permite obtener un código alfanumérico único del documento sobre el que se aplica, no resultando posible obtener, del código alfanumérico único, el documento original por lo que se dice es irreversible. Generalmente se basan en protocolos internacionales. Aunque tiene diversas funcionalidades, se utiliza principalmente para cifrar contenido y para comprobar, por contraste, si un documento ha sufrido modificaciones ulteriores a su firma.
Huella digital: La huella digital es el código alfanumérico obtenido tras haber aplicado la función hash a un documento. En ocasiones también se la denomina “resumen único” o “hash”.
Identificación: Proceso mediante el cual una persona acredita su identidad.
Integridad del contenido: La integridad del contenido se refiere a todo documento o conjunto de datos que no han sido objeto de cambios o alteraciones con posterioridad a su firma.
PIN: (Personal Identification Number) número específico sólo conocido por la persona que tiene que acceder a un recurso que se encuentra protegido por este mecanismo.
Prestador de Servicios de Confianza: una persona física o jurídica que presta uno o más servicios de confianza, bien como prestador cualificado o como prestador no cualificado de servicios de confianza”.
Sello de tiempo electrónico: datos en formato electrónico que vinculan otros datos en formato electrónico con un instante concreto, aportando la prueba de que estos últimos datos existían en ese instante.
Usuarios: Hace referencia a toda persona física o jurídica que hace uso de los servicios proporcionados por FACTUM ID.
Validación: Procedimiento a través del cual la Autoridad de Certificación verifica la validez de la firma empleada.

2.2 ACRÓNIMOS

AEPD: Agencia Española de Protección de Protección de Datos
CPD: Centro de Proceso de Datos.
CP: Política del servicio electrónico de confianza.
DPC: Declaración de Prácticas de Certificación.
eIDAS: Reglamento 910/2014 del Parlamento y del Consejo, de 23 de julio de 2014, de identificación electrónica y servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/937CE.
LSEC: Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza.
LOPDGDD: Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales.
LSSI: Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
PSC: Prestador de Servicios de Confianza.
OID: (Object Identifier): valor de naturaleza jerárquica y comprensivo de una secuencia de componentes variables, aunque siempre constituidos por enteros no negativos separados por un punto, que pueden ser asignados a objetos registrados y que tienen la propiedad de ser únicos entre el resto de OID.
OTP: One Time Password.
SGSI: Sistema de Gestión de Seguridad de la Información.
TSP: Trust Service Provider. Prestador de Servicios de Confianza.

3. NORMATIVA Y ESTÁNDARES APLICABLES
Las normas y estándares de aplicación descrito en esta Declaración de Prácticas de Certificación son las siguientes:

Reglamento (UE) 910/2014, del Parlamento y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior.
Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza.
Reglamento de Ejecución (UE) 2015/1502 de la Comisión, de 8 de septiembre de 2015 sobre la fijación de especificaciones y procedimientos técnicos mínimos para los niveles de seguridad de medios de identificación electrónica con arreglo a lo dispuesto en el artículo 8, apartado 3, del Reglamento (UE) no 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior.
Reglamento (UE) 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.
Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales.
Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

Igualmente, el contenido de la presente DPC se encuentra alineado no solo con la normativa anterior si no de acuerdo con las indicaciones de los estándares del Instituto Europeo de Normas de Telecomunicaciones o estándares “ETSI” conforme a las especificaciones técnicas de la ETSI EN 319 401 (requerimientos generales para proveedores de servicios de confianza).

4. REQUERIMIENTO DE CONFORMIDAD
FACTUM ID declara que la presente DPC es aplicable a sus Servicios Electrónicos de Confianza cumpliendo los requisitos establecidos por el Reglamento (UE) 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE (Reglamento eIDAS).
FACTUM ID garantiza, en línea con su declaración de aplicabilidad y con los requisitos legales que cumple con:

su política de seguridad de la información, alineada con las normas jurídicas aplicable.
los términos definidos en esta Declaración de Prácticas de Certificación.
los requerimientos organizativos definidos en el apartado 12.1 de esta DPC.
su obligación de facilitar la información requerida, cuando sea necesaria, a sus socios comerciales, auditores y autoridades reguladoras, tal y como se especifica en los apartados 12 y 15 de esta DPC, incluyendo los requisitos organizativos.
ha implementado los controles que cumplen con los requerimientos especificados por la norma ETSI EN 319 401, garantizado por la implantación de un SGSI basado en la norma ISO/IEC 27001.

5. ROLES DE CONFIANZA
Los roles de confianza son estatus referidos al grado de seguridad o la asignación de determinadas tareas por parte de alguien facultado y autorizado a ello de acuerdo con la ETSI EN 319 401.
Los roles de confianza de FACTUM ID son aprobados por Comité de Seguridad de FACTUM ID.
Los roles de confianza identificados para la gestión de los servicios electrónicos de confianza de FACTUM ID son los siguientes:

Administrador de sistemas: los Administradores de Sistemas son los encargados de configurar, instalar y mantener los sistemas confiables de FACTUM ID para la gestión de los servicios incluyendo la recuperación del sistema.
Operador del sistema: son los responsables de operar los sistemas de los servicios de confianza de FACTUM ID de manera habitual. Dan soporte a los administradores de sistemas y a los operadores de identidad en aquellos aspectos que requieran.
Verificador de identidad: es el encargado de garantizar que los procesos reales realizados para verificar la identidad de los usuarios sean conformes con el proceso de verificación de identidad inicial especificado.
Auditor interno: está autorizado a visualizar archivos y registros de auditoría de los sistemas de confianza, así como, auditar los logs mismos. Se debe encargar de comprobar el seguimiento de incidencias y eventos, la protección de los sistemas, así como comprobar alarmas y elementos de seguridad física.
Responsable del servicio electrónico de confianza correspondiente: es el encargado de gestionar y mantener el servicio de confianza. Se encarga de todos los aspectos relativos a la seguridad del servicio. Asimismo, gestiona los incidentes de seguridad de forma conjunta con el responsable de seguridad de FACTUM ID.
Responsable de Seguridad: Se encarga de la administración de la implementación de las prácticas de seguridad y de los procedimientos de seguridad, tanto de forma física como de forma lógica. Este debe encargarse de verificar que toda la documentación se halle accesible cuando sea requerida y se tenga correctamente enumerada, será, así mismo, el encargado de comprobar la coherencia de la documentación con los procedimientos, activos inventariados, etc.

6. IDENTIFICACIÓN Y AUTENTICACIÓN DE LOS USUARIOS
Para hacer uso de los servicios electrónicos de confianza de FACTUM ID, los usuarios pueden ser identificados.
La forma de identificar y autenticar a los usuarios de los servicios queda definida en cada Política del servicio electrónico de confianza específico.

7. OBLIGACIONES DE LAS PARTES
OBLIGACIONES DE FACTUM ID COMO PRESTADOR DEL SERVICIO
FACTUM ID, actuando como Prestador del Servicio de Confianza se obliga a:

Prestar el servicio conforme a lo dispuesto en la presente Declaración de Prácticas de Certificación.
Prestar el servicio de forma diligente.
Publicar toda la información relevante del servicio que deba ser conocida, como las características de la prestación del servicio, las obligaciones que asumen sus suscriptores y partes usuarias y los límites de responsabilidad.
Proporcionar el acceso ininterrumpido al servicio, y comunicar a sus usuarios con la suficiente antelación la no disponibilidad del sistema en caso de realizar procesos de modificación, mejora o mantenimiento que impliquen una paralización del mismo.
Garantizar la integridad, confidencialidad y disponibilidad de la información en cada servicio electrónico de confianza ofrecido.
Conservar la información relativa al servicio de confianza durante el plazo de tiempo que requiera la normativa vigente.
Notificar a las partes las incidencias en el servicio de FACTUM ID que puedan afectarles.
Atender las solicitudes, consultas, quejas y reclamaciones de clientes y terceros en un plazo razonable.
Notificar al Órgano Supervisor cualquier modificación sustancial producida en el servicio, que afecte a su condición de Prestador de Servicio Electrónico de Confianza.
Notificar al Órgano Supervisor, en un plazo de 24 horas, la violación de seguridad con impacto significativo en el servicio electrónico de confianza.
Notificar a la Agencia Española de Protección de Datos las violaciones de seguridad que afecten a datos personales, en un plazo máximo de 72 horas desde que se tiene conocimiento del mismo.
Llevar a cabo las auditorias periódicas necesarias para asegurar la adecuación y cumplimiento de la normativa aplicable, tanto interna como externa.
Utilizar la tecnología adecuada para proteger de manera fiable todos los datos de sus clientes, así como los registros de actividad y auditoria.

OBLIGACIONES DE LOS USUARIOS DEL SERVICIO
Los usuarios de los servicios electrónicos de confianza de FACTUM ID, tendrán las obligaciones siguientes:

Deberán conocer y aceptar lo dispuesto en la presente DPC, las condiciones, responsabilidades y limitaciones del servicio y, en su caso, lo dispuesto en el contrato de prestación del servicio.
Deberán comunicar a FACTUM ID cualquier incidente de seguridad, fallo o situación anómala relativa al servicio de confianza utilizado, en el momento que lo identifique.
Los firmantes deberán validar las firmas y sellos electrónicos que se han incorporado en las Actas de evidencias del servicio, en su caso.
El usuario deberá comunicar sin demora cualquier modificación de las circunstancias que incidan en la prestación del servicio de confianza utilizado.

OBLIGACIONES DE LOS PROVEEDORES
Los proveedores de servicios que puedan tener alguna actuación en los servicios electrónicos de confianza de FACTUM ID, como los Prestadores de servicios de certificación que emitan los certificados electrónicos y los sellos de tiempo, deberán cumplir las siguientes obligaciones:

Proporcionar a FACTUM ID los certificados digitales necesarios para firmar o sellar electrónicamente las evidencias, garantizando que son cualificados.
Comunicar a FACTUM ID cualquier cambio de condición en sus certificados vigentes.
Proporcionar a FACTUM ID los sellos de tiempo necesarios para sellar temporalmente los eventos y las actas finales, garantizando que el certificado que los emite es cualificado.

OBLIGACIONES DE TERCERAS PARTES CONFIANTES
Las personas físicas o jurídicas que confíen en el servicio electrónico de confianza prestado por FACTUM ID deberán:

Conocer las limitaciones de uso (si las hubiera) del servicio, según la presente DPC, así como los términos y condiciones del servicio.
Cumplir con lo dispuesto en la normativa aplicable.
Reportar tan pronto como sea posible, a FACTUM ID cualquier incidente relacionado con el servicio, que tenga conocimiento.
Validar las firmas y sellos electrónicos que se han incorporado en las Actas de evidencias del servicio.

RESPONSABILIDADES
Tal y como establece el artículo 13 del Reglamento eIDAS, FACTUM ID, como Prestador de Servicios de Confianza, será responsable de los perjuicios causados de forma deliberada o por negligencia a cualquier persona física o jurídica en razón del incumplimiento de las obligaciones establecidas en dicho Reglamento.
No obstante, FACTUM ID procurará informar debidamente a sus clientes con antelación sobre las limitaciones de la utilización de los servicios que presta y que estas limitaciones sean reconocibles para un tercero.

LIMITACIONES DE RESPONSABILIDAD
De forma general, FACTUM ID no será responsable en caso de incumplimiento de las obligaciones contenidas en la presente Política, en la DPC y en la legislación aplicable.
FACTUM ID no asumirá responsabilidad alguna respecto de:

Los daños y perjuicios ocasionados en caso de fuerza mayor, caso fortuito o imprevisibles o que, siendo previsibles no se hayan podido evitar.
No será responsable por el contenido de los mensajes o de los documentos enviados o firmados.
FACTUM ID no será responsable por los daños y perjuicios si el destinatario actúa de forma negligente.
FACTUM ID no responde por la negligencia en la confidencialidad y conservación de los datos de acceso al servicio por parte de los usuarios del mismo.
No responderá por ataques externos causados a los algoritmos criptográficos, siempre que haya aplicado la diligencia debida según el estado de la técnica, y hubiere actuado conforme a lo dispuesto en la legislación aplicable y en la presente DPC.
Los actos u omisiones realizados por el Cliente sin respetar lo establecido en esta DPC o en la legislación aplicable siendo éste quien asumirá todos los daños y perjuicios que se pudieran ocasionar. por uso inadecuado, indebido o fraudulento, siendo de exclusivo riesgo del Cliente.

8. TERMINACIÓN DEL SERVICIO
En el caso de que FACTUM ID cese en la prestación del servicio electrónico de confianza, realizará las siguientes acciones para la ejecución de la terminación:

Notificará a los usuarios, clientes y aquellas personas físicas y jurídicas con las que FACTUM ID mantenga una relación, con una antelación mínima de 2 meses, mediante correo electrónico que conste en su base de datos, y si no fuera posible, mediante publicación en su página web.
Se destruirán las claves privadas, incluyendo las copias de seguridad, según procedimiento de Gestión de Activos, de tal forma que no puedan ser recuperadas en ningún caso.
Notificará al Organismo de Supervisión español, tanto el cese de la actividad como todas las circunstancias relacionadas con el cese, a través de un escrito presentado por Registro electrónico administrativo.
FACTUM ID podrá firmar un acuerdo de transferencia del servicio de confianza con otro proveedor del servicio electrónico de confianza, en caso de cese del mismo.

FACTUM ID cuenta con un Plan de Cese de los servicios electrónicos de confianza, reflejado en el documento “Plan de Cese” de carácter interno.

9. CONTROLES DE SEGURIDAD
9.1. SEDE E INSTALACIONES Y MEDIDAS DE SEGURIDAD FÍSICAS Y AMBIENTALES
FACTUM ID tiene sus oficinas en C/ Doctor Zamenhof 36, Bis 1ª Planta 28027 Madrid.
Se cuenta con un Centro de Procesos de Datos Principal del servicio que se encuentra ubicado en un país de la Unión Europea.
Además, se cuenta con un Centro de Procesos de Datos de Respaldo del servicio que se encuentra ubicado en un país de la Unión Europea.
El CPD Principal y el CPD de Respaldo del servicio cumplen con la normativa aplicable de protección de datos personales.
El CPD Principal y CPD de Respaldo del servicio se someten a auditorías de terceros independientes para probar la seguridad y privacidad de los datos, para lo cual cuenta con las siguientes certificaciones de calidad, técnicas y organizativas:

ISO 27001
ISO 9001
ISO 14001

El CPD Principal y CPD de Respaldo cuenta con un modelo de seguridad física por capas y cuenta con:

Tarjetas electrónicas de acceso, alarma, barreras de acceso de vehículos, cercado perimetral, detector de metales, acceso mediante datos biométricos.
El suelo cuenta con láser de haz de detección de intrusos.
Monitoreo del interior y del exterior por cámaras de alta resolución que pueden detectar y rastrear los intrusos.
Los registros de acceso, los registros de actividad y filmación de las cámaras están disponibles en caso de que ocurra un incidente.
Se encuentran vigilados por guardias de seguridad de forma rutinaria con experiencia y formación adecuada.
El acceso a la sala de proceso sólo es posible a través de un corredor de seguridad que implementa el control de acceso de múltiples factores mediante tarjetas de seguridad y datos biométricos. Sólo los empleados autorizados con roles específicos pueden entrar.
Cuenta con sistemas de energía y aire acondicionado adecuados para garantizar un entorno operativo fiable.
Dispone de medidas necesarias para minimizar los riesgos derivados de los daños por agua.
Dispone de sistemas de detección automática de incendios.

FACTUM ID ha aprobado el procedimiento “Seguridad en las instalaciones/seguridad física y del entorno” donde se detallan las medidas físicas implantadas para evitar accesos físicos no autorizados a las instalaciones y proteger éstas y, por ende, la información en ellas gestionadas, de estas intromisiones y de los daños que pudieran ocasionar fenómenos ambientales como incendios, inundaciones o similares.

9.2. SEGURIDAD LÓGICA, CONTROLES DE ACCESO
Se han implantado procesos de gestión del control de acceso lógico. Cada perfil tiene asignado su acceso necesario para realizar sus funciones.
FACTUM ID ha elaborado un procedimiento interno donde se definen controles aplicados.

9.3. CLASIFICACIÓN DE LA INFORMACIÓN Y GESTIÓN DE ACTIVOS DOCUMENTOS
FACTUM ID tiene una Política y Procedimiento relativo a la Clasificación de la Información, donde se detalla cómo está clasificada la información referente a los servicios electrónicos de confianza, así como la gestión de activos dentro de la organización y las medidas de protección en su manipulación.

9.4. COPIAS DE RESPALDO Y PROCEDIMIENTO DE RECUPERACIÓN
Se realizan copias de seguridad con una periodicidad diaria/mensual, y son almacenadas en CPD de un país europeo.
Existe un Procedimiento recuperación de información implantado que garantiza que, en caso de fallo del sistema con pérdida total o parcial de los datos de los ficheros se pueden reconstruir los datos de los ficheros al estado en que se encontraban en el momento del fallo.

9.5. MEDIDAS DE SEGURIDAD EN OPERACIONES Y COMUNICACIONES
FACTUM ID tiene aprobada una Política de Seguridad, que debe conocer todo el personal y es de obligado cumplimiento, donde se establece el compromiso y asegura la gestión de la seguridad de la información, calidad, medioambiente y servicios de confianza a través de reglas, y protocolos de actuación que velan por la misma.
Además, cuenta con un procedimiento de Seguridad en las comunicaciones en el que se detalla los controles implementados y se revisan de manera periódica cada 3 meses para detectar posibles vulnerabilidades.

9.6. SEGURIDAD EN LOS RECURSOS HUMANOS
El organigrama con la estructura de personal de la compañía se encuentra publicado en la Intranet corporativa y los roles con las responsabilidades de cada uno de los puestos se gestiona desde el Departamento de Recursos Humanos siguiendo el procedimiento y políticas detalladas en el documento: “Gestión de Recursos”.
FACTUM ID, que se encuentra dentro de la matriz FACTUM IT, cuenta con el siguiente esquema organizativo específico:

Responsable del servicio: encargado de la modificación de los documentos de Política del servicio correspondiente y del presente documento en la parte que le afecte, de la organización, supervisión y control y gestión del servicio, negociar las condiciones del servicio con el cliente y reportar con la periodicidad adecuada el funcionamiento del mismo tanto al cliente como a la dirección de FACTUM.
Igualmente, debe supervisar y garantizar la adecuación de los medios técnicos, organizativos y de personal del servicio.Debe procurar la adecuación del personal a las necesidades del servicio en cuanto a experiencia, conocimientos y requisitos de formación.
Operadores de Sistemas: responsables de la gestión del día a día del sistema (Monitorización, backup, recovery,…).
Administradores de sistemas: son los encargados de configurar, instalar y mantener los sistemas confiables de FACTUM ID para la gestión de los servicios incluyendo la recuperación del sistema.
Técnicos de soporte: responsables de la gestión del día a día de las incidencias del servicio reportadas por los clientes.
Auditor interno: encargado de realizar las auditorías internas del servicio.

Existe procedimiento de actualización de conocimientos del personal afectado ante cambios tecnológicos, introducción de nuevas herramientas o modificación de procedimientos operativos. Ante cambios organizativos y de documentos relevantes se llevará a cabo sesiones formativas.

9.7. CONTINUIDAD DEL SERVICIO
Se dispone de un Plan de Continuidad de Negocio que define las acciones a realizar, recursos a utilizar y personal a emplear en el caso de producirse un acontecimiento intencionado o accidental que inutilice o degrade los recursos y los servicios de certificación prestados por FACTUM ID.
Sin perjuicio de las medidas de seguridad aplicadas, la política, procedimiento y controles para la gestión de la Continuidad de Negocio están definidos en el procedimiento “Plan de Continuidad de Negocio”.
El objetivo es establecer las directrices de la estrategia de contingencia ante incidentes o desastres en los sistemas que soportan los procesos de negocio de FACTUM ID. Dicha política incluirá planes, procedimientos y medidas que permitan la continuidad o el restablecimiento de la operatividad de sistemas de TICs ante un incidente o desastre. La continuidad en sistemas incluye generalmente uno o más de los siguientes enfoques para restablecer servicios interrumpidos:

Restableciendo las operaciones en una ubicación alternativa.
Recuperar las operaciones utilizando sistemas alternativos.
Ejecución de algunos o todos los procesos de negocio afectados utilizando medios manuales (sin sistemas de TICs). Esta opción sólo es aceptable para interrupciones muy cortas.
Adopción de medidas de prevención de incidentes y desastres.

Aunque el sistema de creación de copias de seguridad independientes permite en la mayoría de supuestos la continuidad del servicio, no obstante, ante casos graves que pudieran afectar a la seguridad general del sistema, los servicios se suspenderán temporalmente, notificando a la mayor brevedad posible a los usuarios este extremo y, si fuera posible su estimación, la duración aproximada de la suspensión.
Del mismo modo, se notificará a los usuarios la reanudación de los sistemas o actividad comprometida.

9.8. REVISIÓN PERIÓDICA DE LA SEGURIDAD
FACTUM ID revisa periódicamente todos sus sistemas y aplicaciones implicados en la gestión del servicio con una periodicidad anual y, en todo caso, cuando se produzca cualquier cambio relevante que provoque un incidente de seguridad que afecte a los mismos.
Asimismo, revisará la Política de Seguridad a intervalos planificados, como mínimo anualmente y, en todo caso, si se produjesen cambios significativos en la organización con el objetivo de mantener la idoneidad, adecuación y eficacia de la misma.

10. AUDITORIAS
FACTUM ID vigila constantemente el cumplimiento de sus políticas y procedimientos y realiza auditorías periódicas, tanto internas como externas, que cubren, al menos, los siguientes aspectos:

Cumplimiento de la presente DPC y que ésta se encuentre actualizada.
Cumplimiento de las Políticas de servicios de confianza, y que estén actualizadas.
Política de seguridad.
Seguridad física de las instalaciones de FACTUM ID.
Seguridad lógica de los sistemas y servicios.
Evaluación tecnológica de los componentes del servicio.
Administración de los servicios, así como seguridad en la misma.
Cumplimiento de la normativa aplicable a los servicios en ese momento (nueva normativa, modificación de la existente o derogación).

La auditoría termina con la elaboración de un Informe de Auditoría en el que se recogen las no conformidades (en su caso) así como las acciones correctivas y preventivas necesarias.

10.1. PROCEDIMIENTOS DE AUDITORÍA DE SEGURIDAD
FACTUM ID se compromete a realizar, al menos, una auditoría interna anual en sus servicios electrónicos de confianza.
FACTUM ID tiene un procedimiento donde se detallan los procesos y controles para la revisión y mejora continua de sus servicios de confianza

10.2. PLAN DE ACCIONES CORRECTIVAS
Cualquier deficiencia que se identifique en la auditoria provocará un plan de acción correctiva, que determinará su corrección.

10.3. COMUNICACIONES DE RESULTADOS
Los resultados de la auditoria serán comunicados por el auditor al responsable del servicio correspondiente y a las áreas afectadas, y su caso a la autoridad competente según lo que determine la legislación vigente.

10.4. FRECUENCIAS DE LAS AUDITORÍAS
Se realizará una auditoría anual, sobre los servicios electrónicos de confianza de FACTUM ID, para garantizar que su funcionamiento y operativa está adecuado con lo dispuesto en la presente DPC.
Se pueden llevar a cabo otras auditorías técnicas y de seguridad, según el procedimiento aprobado por FACTUM ID relativo a la Gestión por Dirección y Auditorías Internas.

11. DEBER DE CONFIDENCIALIDAD Y PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
11.1. DEBER DE CONFIDENCIALIDAD
Los empleados de FACTUM ID se comprometen a guardar el deber de confidencialidad respecto de la información que conozcan por razón de su puesto de trabajo.
En este sentido, dicha información no deberá ser en ningún caso divulgada a terceros salvo que apliquen excepciones en los supuestos de requerimiento o colaboración con las instituciones u órganos competentes.
En FACTUM ID, se considera información confidencial toda aquella relativa a:

Información relativa a la operativa de operaciones y mantenimiento del servicio.
Toda información relativa a las operaciones que lleve a cabo FACTUM ID.
Toda información relativa a los parámetros de seguridad, control y procedimientos de auditoría.
Toda la información de carácter personal proporcionada a FACTUM ID durante el proceso de registro de los suscriptores del servicio.
Planes de continuidad de negocio y de emergencia.
La información de negocio suministrada por sus proveedores y otras personas con las que FACTUM ID tiene el deber de guardar secreto establecida legal o convencionalmente.
Registros de transacciones, incluyendo los registros completos y los registros de auditoría de las transacciones.
Y en general toda la información clasificada como “Confidencial”.

Por el contrario, se considerará información pública, entre otros documentos, los siguientes:

La presente Declaración de Prácticas de los Servicios Electrónicos de confianza.
Los términos y condiciones generales de los servicios y las Condiciones Generales de Contratación de FACTUM ID.
Otra información considerada “Pública” en FACTUM ID.

11.2. PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
En cumplimiento de los requisitos establecidos en el Reglamento (UE) 2016/679 (en adelante, “RGPD”) y la Ley Orgánica 3/2018 de protección de datos personales y garantía en los derechos digitales (en adelante, “LOPDGDD”), FACTUM IT dispone de un Registro de Actividades de Tratamientos de datos de carácter personal en el que se encuentran los tratamientos.
Con el objetivo de poder dar cumplimiento al servicio requerido por el usuario o cliente de FACTUM IT, esta realiza un tratamiento de datos de carácter personal ajustado a las obligaciones recogidas en la normativa vigente de protección de datos de carácter personal de acuerdo con su Política de Privacidad que está publicada en su sitio web www.factum.es.
Igualmente, FACTUM IT está comprometido a prestar asistencia al Cliente en relación con el ejercicio de derechos, comunicación de una violación de datos, evaluación de impacto del tratamiento o realizar consultas previas a la Autoridad de Control.
En lo que respecta los servicios electrónicos de confianza, el responsable del tratamiento es FACTUM IDENTITY (en adelante, “FACTUM ID”) cuya información es la que se indica a continuación:
Identificación del responsable
Responsable del tratamiento: FACTUM IDENTITY SL, con NIF B09694217 y domicilio social sito en C/ Doctor Zamenhof 36 Bis 28027 de Madrid. En el caso de los datos de contactos de los clientes de los Servicios Electrónicos de Confianza, FACTUM ID actuará como responsable del tratamiento y, en el marco de la prestación del servicio actuará como Encargado del tratamiento.
Finalidades de los tratamientos
Los datos tratados serán los relativos a los datos de contactos de los clientes del Servicio con la finalidad de gestionar y mantener los mismos y las relaciones que se produzcan como consecuencia del servicio prestado por FACTUM ID.
FACTUM ID, por otro lado, actuará como Encargado del Tratamiento para prestar los Servicios Electrónicos de Confianza, alojando la información generada como consecuencia del mismo.
Fuera de los fines mencionados en el apartado anterior, no se llevará a cabo ningún otro tratamiento de datos, salvo que, previamente, se informe al usuario y se recabe su consentimiento o una norma permitiera el tratamiento previsto.
No obstante, lo anterior, cuando exista una relación contractual previa, FACTUM ID podrá remitir al usuario comunicaciones comerciales por correo electrónico siempre que se refieran a productos o servicios similares a los que inicialmente fueron objeto de contratación. En cada una de las comunicaciones comerciales que así se realizaran se ofrecerá al destinatario la posibilidad de oponerse al tratamiento con este fin de un modo sencillo y gratuito.
Obligatoriedad de facilitar los datos
Al momento de recabar los datos de carácter personal se informará del carácter obligatorio o facultativo de facilitar la información solicitada. Solo será obligatorio proporcionar aquellos datos que, conforme al principio de minimización de datos, sean adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
El usuario se compromete a que toda la información que facilite sea exacta y veraz. Asimismo, deberá informar a FACTUM ID inmediatamente de cualquier actualización que sobre la misma tuviera que realizarse o cualquier error o inexactitud que detectase.
Comunicación de los datos
Los datos de carácter personal no serán objeto de cesión a terceras personas sin el previo consentimiento del interesado.
FACTUM ID comunicará sus datos a terceros cuando así lo exija un contrato que vincule a las partes o lo exija la Ley, por ejemplo, se podrían comunicar sus datos a la Agencia Tributaria, al Ministerio Fiscal o a los Juzgados y Tribunales.
Igualmente, se compartirán los datos de los usuarios con aquellos proveedores de FACTUM ID que requieran acceder a los datos para prestar sus servicios. En todo momento, FACTUM ID garantizará que los terceros con los que contrata permiten dar cumplimiento a la normativa de aplicación y, en ningún caso, los tratarán para finalidades distintas a las indicadas por FACTUM ID.
Por otro lado, la base jurídica que legitima el tratamiento de datos en el marco de los Servicios Electrónicos de Confianza, será la necesidad de gestionar una relación contractual o similar. El plazo de conservación de estos datos vendrá determinado por la relación que mantenga el cliente con FACTUM ID.
Tratamiento de datos internacional
Como regla general, las actividades de tratamiento de datos arriba señaladas se realizan en España y en otros países de la Unión Europea.
No obstante, para la prestación de los servicios, los datos de los usuarios se tratarán también en otros países, en la medida en que algunos de los proveedores de FACTUM ID operan desde los mismos.
En aquellos casos en los que los datos sean tratados desde países que no garantizan, según la Comisión Europea, un nivel de protección de datos equivalente al existente dentro de la Unión Europea, las transferencias a estos países se regularán por medio de las cláusulas contractuales tipo, además de otras medidas efectivas que se puedan adoptar para evitar injerencias por parte de las autoridades de estos países.
Adicionalmente, algunos de los proveedores que tratan los datos desde el extranjero disponen de normas corporativas vinculantes para el tratamiento seguro de datos personales que han sido aprobadas por alguna de las autoridades de control de los países miembros de la Unión Europea.
Estas transferencias internacionales son necesarias para la prestación de los servicios, por lo que no puede oponerse a ellas. Si no desea que sus datos sean tratados en estos países, no contrate los servicios de Factum.
Ejercicio de derechos
El usuario puede enviar un escrito a dpo@factum.es con la referencia «Protección de Datos», adjuntando fotocopia de su documento de identidad, en cualquier momento y de manera gratuita, para:

Revocar los consentimientos otorgados.
Acceder a la información sobre los datos personales que FACTUM ID está tratando sobre usted o a la información sobre cómo están siendo tratados.• Rectificar los datos inexactos o incompletos.
Solicitar la supresión de sus datos cuando, entre otros motivos, los datos ya no sean necesarios para los fines para los que fueron recogidos.
Obtener de FACTUM ID la limitación del tratamiento de los datos cuando se cumpla alguna de las condiciones previstas en la normativa de protección de datos.
Oponerse a los tratamientos basados en el interés legítimo.
Solicitar la portabilidad de sus datos cuando el tratamiento esté basado en el consentimiento del usuario o en una relación contractual. Asimismo, si el usuario considera que FACTUM ID ha vulnerado alguno de los derechos que le confiere la normativa aplicable en materia de protección de datos, podrá interponer una reclamación ante la Agencia Española de Protección de Datos u otra autoridad de control competente en la materia.