Skip to content

Valores

Punto de encuentro, Gestión de riesgos, Fiabilidad, Confiabilidad, Experiencia y Seguridad.

CIMA

Valores

Nuestros valores son:

Punto de Encuentro

Gestión
de Riesgos

Fiabilidad, Confiabilidad y Experiencia

Seguridad

VALORES

Punto de Encuentro

El lanzamiento de la plataforma CIMA se enmarca en un proyecto de colaboración sectorial sin precedentes, que cuenta desde su inicio con el apoyo de gran parte del sector asegurador, organizaciones de corredores y las empresas de software.


CIMA supone un hito importante en el compromiso del sector para la implantación efectiva del estándar EIAC y de la conectividad entre entidades y corredores, y que sin duda ha sido posible gracias al consenso y a la estrecha colaboración de todas las partes implicadas.

Confianza

La generación de confianza es uno de los objetivos prioritarios marcados en nuestro plan de acción. Para ello, consideramos fundamental garantizar unos estándares de calidad y seguridad acordes a la criticidad e importancia de los servicios que prestamos al sector asegurador.

La línea de actuación marcada se traduce en la implantación de:

  • Un sistema de Gestión de la Seguridad de la Información certificado por AENOR bajo el estándar UNE-ISO/IEC:27001:2014.
  • Coordinar entre todos los implicados la migración de las versiones EIAC.

Con ambas certificaciones, asumimos la calidad y la seguridad de nuestros servicios como ejes claves que articulan nuestra actividad.

Continuidad de negocio

CIMA cuenta con un Plan de Continuidad de Negocio con el objetivo de garantizar la continuidad de las actividades de la organización ante la indisponibilidad de instalaciones, recursos o sistemas de información.

El principal reto al que se tiende con una estrategia como ésta, es estar preparados para, en caso de contingencia que afecte a su actividad normal, garantizar que la prestación de todos los servicios ofrecidos a todos nuestros clientes pueda garantizarse, atendiendo a las ventanas de activación establecidas.

Para ello, hemos analizado todos y cada uno de los procesos de negocio de los clientes al objeto de tener una imagen detallada y concisa de los mismos, estableciendo las relaciones y dependencias entre ellos.

De igual modo, hemos evaluado las criticidades e impactos tanto de los procesos de negocio como de los servicios ofrecidos, identificado el personal clave para cada servicio, así como los medios mínimos necesarios que permitan desarrollar una prestación adecuada de las actividades.

VALORES

Gestión de Riesgos​

El cumplimiento y la gobernanza se refieren a activos muy relacionados para cualquier organización y suelen ser indicadores de fiabilidad. Para nosotros, tener en cuenta estos activos asegura que la empresa u organización logre los objetivos establecidos y aborde diversos problemas, como la incertidumbre y otros conceptos relacionados con la integridad en Risk Management.

La Gestión del Riesgos se ocupa de la predicción y de los riesgos que, de lo contrario, actuarían como obstáculos en el camino de la empresa para alcanzar sus metas y objetivos. El cumplimiento normativo se refiere a las exigencias y límites obligatorios que la empresa debe cumplir, que son básicamente las políticas que ya están en vigor.

Cumplimiento normativo

El elemento sobre el que consideramos prioritario construir un buen sistema de gobierno es su estructura, es decir, dotar de los elementos necesarios para asegurar que se definen los procedimientos adecuados y se implantan cuantos mecanismos y controles se precisen.

Enlazando con lo anterior, a grandes rasgos, podemos esbozar los elementos principales definidos para alcanzar los objetivos propuestos:

Departamento de Governance, Risk & Compliance (GRC)

Disponer de un Departamento de Governance, Risk & Compliance (GRC). En el seno de esta área se controla y coordina todo lo relacionado con contratación, procedimientos asociados a la continuidad de negocio, requerimientos de Seguridad,…

Delegado de Protección de Datos (DPD)

Disponer de un Delegado de Protección de Datos (DPD) sobre el que recae la obligación de asegurar un estricto cumplimiento de la legislación en materia protección de datos, así como velar, de forma conjunta con sus clientes, por los derechos y libertades públicas de las personas cuyos datos pueden ser objeto de tratamiento en el marco de los servicios prestados.

El DPD de CIMA es Mario de la Fuente Téllez:

responsable.privacidad@tirea.es

Estructura

Mantenimiento de una estructura acorde a la tipología de servicios prestados al sector, orientada a resultados y con la flexibilidad, capacitación y conocimiento suficiente como para cumplir las expectativas de clientes y accionistas.

Privacidad

El tratamiento de datos de carácter personal forma parte del core de CIMA. La práctica totalidad de sus servicios tratan datos de carácter personal y la gestión y aplicación de la normativa de protección de datos forma parte de nuestro ADN.

Desde la LORTAD a la nueva LOPDGDD, hemos incluido en nuestros procesos el cumplimiento de los requerimientos necesarios en materia de protección de datos, realizamos puntualmente las auditorías necesarias así como, en aras de la transparencia, facilitamos a nuestros clientes las evidencias necesarias para acreditar que somos compliance.

El tratamiento que realizamos, en calidad de Encargado del Tratamiento, alcanza desde la gestión de Ficheros Comunes del Sector Asegurador a la prestación de servicios de facturación electrónica, liquidación y compensación de siniestros y otros, por lo que la interacción con los clientes es total y tendente a mitigar los riesgos legales que implica el tratamiento de información.

El cambio que supuso el marco normativo derivado del RGPD, fue abordado como un proyecto transversal a toda la organización superando el proceso de migración a la nueva normativa antes de la fecha límite del 25 de mayo de 2018.

VALORES

Fiabilidad, confiabilidad, experiencia

Son más de 20 años de experiencia en la prestación de servicios que implican tratamiento de datos de carácter personal.

Hemos participado, de la mano de UNESPA, en los procesos llevados con la Agencia Española de Protección de Datos para la aprobación de Códigos Tipo reguladores de los Ficheros Comunes del Sector Asegurador.

TIREA tiene delegada la gestión de derechos de protección de datos para los Ficheros Comunes y hemos dado respuesta desde 1999 a más de 250.000 ejercicios de derechos.

Así mismo, hemos realizado Auditorías de Protección de Datos para diferentes clientes y dado soporte a diferentes Aseguradoras en su proceso de adaptación de la nueva normativa.

Desde nuestra creación, hemos considerado la privacidad, la confidencialidad y la seguridad como parte de nuestro core. Cumplir todos los requerimientos legales necesarios y asumir como propias las buenas prácticas en materia de seguridad y privacidad forma parte del compromiso con nuestros clientes.

Privacidad desde el diseño y por defecto

Conforme la situación surgida desde la entrada en vigor del REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD), todos nuestros proyectos tienen en cuenta el impacto que el tratamiento de datos personales puede tener en los ciudadanos, aplicando, desde el inicio, las medidas técnicas y de organización apropiadas para demostrar, tanto a clientes como a usuarios, el cumplimiento de todos y cada uno de los requisitos de la normativa de protección de datos.

Para ello, nuestra Metodología tiene en cuenta todos los requisitos que es necesario implantar para un estricto cumplimiento de la normativa aplicable.

Análisis de cumplimiento y privacidad

Antes de la puesta en marcha de cualquier servicio o proyecto, desde el área de cumplimiento, elaboramos estrictos análisis legales en los que se tienen en cuenta, al menos, las siguientes materias:

Privacidad y protección de datos.

Compatibilidad con Derecho de la Competencia.

Privacy Impact Assessment.

Otras cuestiones legales a tener en cuenta.

Medidas de seguridad a aplicar.

Continuidad de Negocio.

VALORES

Seguridad

Tanto en el diseño de red, como en el de los Servicios, prestamos especial atención en ofrecer las máximas garantías en la Seguridad Integral de la Información. La implantación de una arquitectura que soporta las últimas tecnologías en registro, notaría, encriptación y certificación digital, asegura:

La autenticación de los usuarios y los centros servidores:

Garantía de identidad.

La privacidad de las transmisiones:

Garantía de confidencialidad de la información intercambiada.​

La integridad de la información:

Garantía de no manipulación de la información entre el origen y el destino.​

El no repudio:

Garantía de irrevocabilidad de las transacciones realizadas.

El objetivo principal al que se tiende con esta forma de entender la seguridad es

garantizar la disponibilidad, integridad, confidencialidad y resiliencia de la información tratada.

 

Los inputs que determinan la seguridad a aplicar a los diferentes servicios tienen 2 vías de entrada:

Requisitos de seguridad establecidos por el cliente.

En este caso, es el cliente el que, vía requerimientos, establece qué medidas de seguridad entiende que se deben aplicar para que el servicio, las aplicaciones y la plataforma que soporta la prestación de aquél, cumplan los estándares de calidad y seguridad definidos.

Requisitos establecidos directamente por nosotros
como proveedor de los servicios

Conforme a la experiencia acumulada en sus 20 años, en la metodología de trabajo y el disponer de un equipo de trabajo multidisciplinar altamente cualificado, realizamos los análisis y estudios necesarios para determinar qué requisitos de seguridad son necesarios para dotar a cada servicio de la confiabilidad y robustez necesaria.

Procedimientos y Requerimientos

Sin perjuicio de ulteriores análisis que determinan cambios o acciones concretas, el marco general del que se parte para implementar los procedimientos y requerimientos necesarios en materia de seguridad es el Artículo 32 del RGPD. En base a este artículo tratan de concretarse:

Medidas de cifrado y seudonimización.

Confidencialidad, integridad, disponibilidad y resiliencia

Establecimiento de procedimientos y medidas tendentes a garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.​

Restaurar la disponibilidad a datos personales

Procedimientos destinados a garantizar una capacidad adecuada para restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.​

Procesos de verificación, evaluación y valoración

Establecimiento de procesos de verificación, evaluación y valoración para que, de forma periódica, se revise la eficacia de las medidas técnicas y organizativas aplicadas para garantizar la seguridad del tratamiento.​

Medidas de seguridad

Aunque, como se ha dicho en líneas anteriores, el nivel de seguridad y las concretas medidas a aplicar vienen determinadas por el análisis de riesgos que se realice, las buenas prácticas seguidas hacen que, con carácter general, nuestros servicios tengan en cuenta las siguientes medidas de seguridad:

Cifrado de información

Estándares y metodologías

Aplicación de estándares y metodologías de desarrollo seguro.​

Seguridad en las comunicaciones

Seguridad en las comunicaciones y la información en tránsito.​

Bastionado de la infraestructura

Bastionado de la infraestructura sobre la que se despliega las aplicaciones para evitar la obtención de datos tales como el código fuente de la aplicación, acceso a interfaces administrativas, acceso a datos confidenciales, etc.

Gestión de vulnerabilidades

Autenticación y autorización

Medidas relativas a autenticación y autorización de usuarios con acceso a los servicios:​

  • Usuarios identificados inequívoca e unívocamente.
  • Control de reintentos.
  • Política de contraseñas.
  • Perfiles de usuario en función de los recursos a los que está autorizado su acceso.
  • Medidas relativas a la validación de datos de entrada para evitar las distintas vulnerabilidades relacionadas con una incorrecta validación de entrada de usuarios.
  • Registros de accesos y logs de operación.
  • Políticas de backup suficientes.

Evidentemente, lo anterior no deja de ser una muestra de las medidas de seguridad más destacables. La lista es mucho más extensa y con ella, lo que se intenta es dar una respuesta clara tanto a los requerimientos propios como los manifestados por nuestros clientes.

Gestión de la calidad

La calidad en la provisión de los servicios es uno de los ejes clave que articula toda nuestra actividad:

Filosofía de Contrato de Nivel de Servicio

Filosofía de Contrato de Nivel de Servicio mediante el establecimiento de los parámetros adecuados de capacidad de proceso, velocidad de acceso, ancho de banda...

Servicio de Atención a Usuarios (SAU)

Servicio de Atención a Usuarios (SAU), atendido por personal especialmente formado para la resolución de problemas de conexión, comunicación de incidencias y consultas.

Soporte especializado

Los administradores de las aplicaciones en las Entidades Aseguradoras disponen de un soporte especializado en técnica de sistemas.

Certificación UNE-EN ISO 9001:2015.​

¿Tienes dudas?
Consulta Nuestras Preguntas Frecuentes
o Solicita Información Personalizada.

Política de Privacidad

 

TIREA, en cumplimiento de lo establecido en Reglamento UE 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) debe garantizar el correcto uso y tratamiento de los datos personales del Usuario/Cliente.

Para ello, el usuario es informado de los siguientes extremos:

 

  1. Información básica sobre protección de datos:
    1. RESPONSABLE : TIREA S.A. DPD: responsable.privacidad@tirea.es
    2. FINALIDAD: La atención de solicitudes de diversa índole por parte del Usuario/Cliente y el cumplimiento de las obligaciones legales y contractuales.
    3. FINALIDAD: La atención de solicitudes de diversa índole por parte del Usuario/Cliente y el cumplimiento de las obligaciones legales y contractuales.
    4. LEGITIMACIÓN: Consentimiento del interesado Ejecución de un contrato Cumplimiento de una obligación legal Interés legítimo
    5. DESTINATARIOS: Clientes y usuarios de la Plataforma CIMA. Los datos podrán ser cedidos a administraciones y organismos públicos para el cumplimiento de obligaciones directamente exigibles a TIREA.
    6. DERECHOS: Acceder, Rectificar y Suprimir los Datos, así como otros derechos, como se explica en la Información Adicional.
    7. INFORMACIÓN ADICIONAL: La que se describe en el Apartado 2º.
  2. Información adicional sobre protección de datos:
    • El responsable del Tratamiento es TECNOLOGÍAS DE LA INFORMACIÓN Y REDES PARA LAS ENTIDADES ASEGURADORAS S.A.
    • Domicilio social: Ctra. Las Rozas-El Escorial KM 0,300-28231 Las Rozas de Madrid (España)
    • CIF: ES A-81864498.
    • Datos registrales: Inscrita en el Registro Mercantil de Madrid, Tomo 13.262, Libro 0, Folio 1, Sección 8, Hoja M-214853
    • Teléfono: 914516800
    • Fax: 914516819
    • Mail: Info@tirea.es
    • Web: www.tirea.es
    • DPD: Mario de la Fuente Téllez
    • Mail: (responsable.privacidad@tirea.es)

Los datos personales que facilite el Usuario/Cliente/Proveedor serán incorporados al Registro de las Actividades de Tratamiento de TIREA conforme establece el artículo 30 RGPD. La finalidad del tratamiento será la siguiente:

  1. El Sito Web está diseñado para facilitar al Usuario/Cliente información sobre la Plataforma CIMA. Asimismo, la Plataforma CIMA cuenta con una sección de acceso público donde se proporcionará información, entre otras, relacionada con entidades adheridas, indicadores públicos del grado de implantación, noticias e información general de la plataforma, formulario de contacto y acceso a los documentos del Estándar EIAC y a la parte privada de la Plataforma CIMA.
  2. El mantenimiento de una adecuada relación con el Usuario para poder atender la consulta o petición que solicite, así como llevar a cabo los procedimientos de seguridad y control establecidos en relacion con la Plataforma CIMA. Se entiende que el Usuario que curse una petición por correo electrónico desea que la misma se atienda y se conteste por la misma vía, incluyendo, en su caso, el envío de aquella información promocional o comercial solicitada por el Usuario.
  3. Para el correcto cumplimiento de las obligaciones derivadas del contrato firmado con los usuarios de la Plataforma CIMA.
  4. El envío de acciones publicitarias y/o promocionales de diverso tipo por cualquier medio (correo electrónico, correo postal, SMS, teléfono publicidad mostrada en Internet u otro medio de comunicación electrónica equivalente), relativas a los servicios propios de TIREA, mientras el contrato firmado con el Cliente esté en vigor. Todo ello, sobre la base de la normativa aplicable a la remisión de comunicaciones electrónicas, en caso de emplearse estos medios para la remisión. En todo caso, el Cliente podrá darse de baja en cualquier momento de la remisión de las referidas comunicaciones por el medio que se establecen en las mismas.En este sentido, a los efectos de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y el Comercio Electrónico, el Usuario consiente expresamente a que TIREA pueda remitirle comunicaciones comerciales, ofertas o publicidad por cualquier medio de comunicación sobre productos, quedando expresamente incluidos los medios de comunicación electrónica.
  5. Realizar encuestas de calidad relacionadas con la prestación del servicio basada en el interés legítimo de TIREA.
  6. Para la remisión de newsletters o comunicaciones informativas y/o promocionales mediante el envío electrónico de información y comunicaciones sobre servicios, actividades, publicaciones, celebraciones, felicitaciones y acontecimientos sociales y profesionales de TIREA o de terceros relacionados, principalmente, con los sectores asegurador, de servicios informáticos y digitales, de la seguridad de la información y de las comunicaciones. Para ello, será necesario recabar el consentimiento del interesado, el cual podrá ser revocado en todo momento en cada una de las comunicaciones recibidas mediante el mecanismo habilitado al efecto.

Los datos personales objeto de tratamiento serán aquellos facilitados por el Cliente y/o Usuario en la remisión del correo electrónico, los recabados en el contrato o, en su caso, los introducidos en la web.

Por su parte, el Cliente y/o Usuarios se compromete a suministrar información exacta y veraz y a actualizarla en caso de que ésta sufra alguna modificación. En el caso de que algún interesado decida ponerse en contacto con TIREA por medio de correo electrónico, TIREA recibirá los datos de carácter personal que el mismo haya incluido en el correo electrónico que comprenderán, en todo caso, su dirección de correo electrónico y, adicionalmente, aquellos datos que el Usuario introduzca en el texto del correo electrónico enviado. En este sentido, el Usuario que envíe un correo electrónico autoriza expresamente, al enviar sus datos, el tratamiento de estos con la finalidad anteriormente reseñada.

TIREA conservará los datos mientras sea necesario para cumplir con la petición del Usuario o mientras se mantenga la relación contractual con el Cliente, así como, una vez finalizada dicha relación, durante el plazo de caducidad o prescripción de las normas penales, civiles, fiscales o mercantiles aplicables. Después, los datos personales serán eliminados.

En este sentido, se presumirán exactos, veraces y lícitos los datos personales facilitados por el interesado. El caso de que el interesado remita por correo electrónico datos personales considerados especiales conforme establece el artículo 9.1 RGPD (por ejemplo, datos de salud) deberá adoptar las medidas de seguridad necesarias para garantizar la confidencialidad, integridad y disponibilidad de los datos remitidos. En caso contrario, TIREA desaconseja su remisión no siendo responsable de cualquier incidencia que se produzca durante la remisión por el interesado de la información a través de correo electrónico.

En el caso de que la solicitud recibida por el interesado se encuentre relacionada con alguno de los servicios que presta TIREA, se informa expresamente que dichos datos podrán ser cedidos a las entidades y empresas adheridas a los mismos y que tengan exclusivamente relación con la reclamación o petición interpuesta por el interesado. Así mismo, los datos podrán ser cedidos a administraciones y organismos públicos para el cumplimiento de obligaciones directamente exigibles a TIREA, así como a encargados de tratamiento que cumplan los requintos establecidos en el RGPD. Los datos personales del interesado no serán objeto de trasferencia internacional de datos.

TIREA cuenta con las medidas de índole técnica y organizativa necesarias para garantizar la seguridad de los datos de carácter personal de los que es responsable y evitar su alteración, pérdida, tratamiento o acceso no autorizado, en cumplimiento de lo dispuesto en el artículo 32 del RGPD.

El interesado tiene derecho a acceder a sus datos y a solicitar su rectificación, oposición, portabilidad, limitación del tratamiento o supresión, dirigiéndose a TIREA con N.I.F: A-81864498, en su condición de responsable del Tratamiento, por medio de carta dirigida al domicilio social sito en Las Rozas de Madrid, Carretera Las Rozas a El Escorial Km 0,300 -28231, por fax al número 914516819 o en el correo electrónico responsable.privacidad@tirea.es. El escrito deberá irfirmado y se acompañará de fotocopia del DNI, pasaporte o tarjeta de residencia, así como cualquier documento que el interesado considere necesario aportar en relación con su petición.

No obstante, si considera que sus derechos no se han atendido debidamente, tiene derecho a presentar la oportuna reclamación ante la Agencia Española de Protección de Datos, C/ Jorge Juan, 6 (28001-Madrid), de conformidad con lo previsto en el citado Reglamento.