CIMA, Tu Plataforma de Conectividad, Innovación y Servicios para la Mediación Aseguradora.
- Inicio
- Descubre CIMA
- Valores
Valores
Punto de encuentro, Gestión de riesgos, Fiabilidad, Confiabilidad, Experiencia y Seguridad.
CIMA
Valores
Nuestros valores son:
Punto de Encuentro
Gestión
de Riesgos
Fiabilidad, Confiabilidad y Experiencia
Seguridad
VALORES
Punto de Encuentro
El lanzamiento de la plataforma CIMA se enmarca en un proyecto de colaboración sectorial sin precedentes, que cuenta desde su inicio con el apoyo de gran parte del sector asegurador, organizaciones de corredores y las empresas de software.
CIMA supone un hito importante en el compromiso del sector para la implantación efectiva del estándar EIAC y de la conectividad entre entidades y corredores, y que sin duda ha sido posible gracias al consenso y a la estrecha colaboración de todas las partes implicadas.
Confianza
La generación de confianza es uno de los objetivos prioritarios marcados en nuestro plan de acción. Para ello, consideramos fundamental garantizar unos estándares de calidad y seguridad acordes a la criticidad e importancia de los servicios que prestamos al sector asegurador.
La línea de actuación marcada se traduce en la implantación de:
- Un sistema de Gestión de la Seguridad de la Información certificado por AENOR bajo el estándar UNE-ISO/IEC:27001:2014.
- Coordinar entre todos los implicados la migración de las versiones EIAC.
Con ambas certificaciones, asumimos la calidad y la seguridad de nuestros servicios como ejes claves que articulan nuestra actividad.




Continuidad de negocio
CIMA cuenta con un Plan de Continuidad de Negocio con el objetivo de garantizar la continuidad de las actividades de la organización ante la indisponibilidad de instalaciones, recursos o sistemas de información.
El principal reto al que se tiende con una estrategia como ésta, es estar preparados para, en caso de contingencia que afecte a su actividad normal, garantizar que la prestación de todos los servicios ofrecidos a todos nuestros clientes pueda garantizarse, atendiendo a las ventanas de activación establecidas.
Para ello, hemos analizado todos y cada uno de los procesos de negocio de los clientes al objeto de tener una imagen detallada y concisa de los mismos, estableciendo las relaciones y dependencias entre ellos.
De igual modo, hemos evaluado las criticidades e impactos tanto de los procesos de negocio como de los servicios ofrecidos, identificado el personal clave para cada servicio, así como los medios mínimos necesarios que permitan desarrollar una prestación adecuada de las actividades.
VALORES
Gestión de Riesgos
El cumplimiento y la gobernanza se refieren a activos muy relacionados para cualquier organización y suelen ser indicadores de fiabilidad. Para nosotros, tener en cuenta estos activos asegura que la empresa u organización logre los objetivos establecidos y aborde diversos problemas, como la incertidumbre y otros conceptos relacionados con la integridad en Risk Management.
La Gestión del Riesgos se ocupa de la predicción y de los riesgos que, de lo contrario, actuarían como obstáculos en el camino de la empresa para alcanzar sus metas y objetivos. El cumplimiento normativo se refiere a las exigencias y límites obligatorios que la empresa debe cumplir, que son básicamente las políticas que ya están en vigor.
Cumplimiento normativo
El elemento sobre el que consideramos prioritario construir un buen sistema de gobierno es su estructura, es decir, dotar de los elementos necesarios para asegurar que se definen los procedimientos adecuados y se implantan cuantos mecanismos y controles se precisen.
Enlazando con lo anterior, a grandes rasgos, podemos esbozar los elementos principales definidos para alcanzar los objetivos propuestos:
Departamento de Governance, Risk & Compliance (GRC)
Disponer de un Departamento de Governance, Risk & Compliance (GRC). En el seno de esta área se controla y coordina todo lo relacionado con contratación, procedimientos asociados a la continuidad de negocio, requerimientos de Seguridad,…
Delegado de Protección de Datos (DPD)
Disponer de un Delegado de Protección de Datos (DPD) sobre el que recae la obligación de asegurar un estricto cumplimiento de la legislación en materia protección de datos, así como velar, de forma conjunta con sus clientes, por los derechos y libertades públicas de las personas cuyos datos pueden ser objeto de tratamiento en el marco de los servicios prestados.
El DPD de CIMA es Mario de la Fuente Téllez:
Estructura
Mantenimiento de una estructura acorde a la tipología de servicios prestados al sector, orientada a resultados y con la flexibilidad, capacitación y conocimiento suficiente como para cumplir las expectativas de clientes y accionistas.


Privacidad


El tratamiento de datos de carácter personal forma parte del core de CIMA. La práctica totalidad de sus servicios tratan datos de carácter personal y la gestión y aplicación de la normativa de protección de datos forma parte de nuestro ADN.
Desde la LORTAD a la nueva LOPDGDD, hemos incluido en nuestros procesos el cumplimiento de los requerimientos necesarios en materia de protección de datos, realizamos puntualmente las auditorías necesarias así como, en aras de la transparencia, facilitamos a nuestros clientes las evidencias necesarias para acreditar que somos compliance.
El tratamiento que realizamos, en calidad de Encargado del Tratamiento, alcanza desde la gestión de Ficheros Comunes del Sector Asegurador a la prestación de servicios de facturación electrónica, liquidación y compensación de siniestros y otros, por lo que la interacción con los clientes es total y tendente a mitigar los riesgos legales que implica el tratamiento de información.
El cambio que supuso el marco normativo derivado del RGPD, fue abordado como un proyecto transversal a toda la organización superando el proceso de migración a la nueva normativa antes de la fecha límite del 25 de mayo de 2018.
VALORES
Fiabilidad, confiabilidad, experiencia
Son más de 20 años de experiencia en la prestación de servicios que implican tratamiento de datos de carácter personal.
Hemos participado, de la mano de UNESPA, en los procesos llevados con la Agencia Española de Protección de Datos para la aprobación de Códigos Tipo reguladores de los Ficheros Comunes del Sector Asegurador.
TIREA tiene delegada la gestión de derechos de protección de datos para los Ficheros Comunes y hemos dado respuesta desde 1999 a más de 250.000 ejercicios de derechos.
Así mismo, hemos realizado Auditorías de Protección de Datos para diferentes clientes y dado soporte a diferentes Aseguradoras en su proceso de adaptación de la nueva normativa.
Desde nuestra creación, hemos considerado la privacidad, la confidencialidad y la seguridad como parte de nuestro core. Cumplir todos los requerimientos legales necesarios y asumir como propias las buenas prácticas en materia de seguridad y privacidad forma parte del compromiso con nuestros clientes.
Privacidad desde el diseño y por defecto
Conforme la situación surgida desde la entrada en vigor del REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD), todos nuestros proyectos tienen en cuenta el impacto que el tratamiento de datos personales puede tener en los ciudadanos, aplicando, desde el inicio, las medidas técnicas y de organización apropiadas para demostrar, tanto a clientes como a usuarios, el cumplimiento de todos y cada uno de los requisitos de la normativa de protección de datos.
Para ello, nuestra Metodología tiene en cuenta todos los requisitos que es necesario implantar para un estricto cumplimiento de la normativa aplicable.

Análisis de cumplimiento y privacidad
Antes de la puesta en marcha de cualquier servicio o proyecto, desde el área de cumplimiento, elaboramos estrictos análisis legales en los que se tienen en cuenta, al menos, las siguientes materias:
Privacidad y protección de datos.
Compatibilidad con Derecho de la Competencia.
Privacy Impact Assessment.
Otras cuestiones legales a tener en cuenta.
Medidas de seguridad a aplicar.
Continuidad de Negocio.
VALORES
Seguridad
Tanto en el diseño de red, como en el de los Servicios, prestamos especial atención en ofrecer las máximas garantías en la Seguridad Integral de la Información. La implantación de una arquitectura que soporta las últimas tecnologías en registro, notaría, encriptación y certificación digital, asegura:
La autenticación de los usuarios y los centros servidores:
Garantía de identidad.
La privacidad de las transmisiones:
Garantía de confidencialidad de la información intercambiada.
La integridad de la información:
Garantía de no manipulación de la información entre el origen y el destino.
El no repudio:
Garantía de irrevocabilidad de las transacciones realizadas.
El objetivo principal al que se tiende con esta forma de entender la seguridad es
garantizar la disponibilidad, integridad, confidencialidad y resiliencia de la información tratada.
Los inputs que determinan la seguridad a aplicar a los diferentes servicios tienen 2 vías de entrada:
Requisitos de seguridad establecidos por el cliente.
En este caso, es el cliente el que, vía requerimientos, establece qué medidas de seguridad entiende que se deben aplicar para que el servicio, las aplicaciones y la plataforma que soporta la prestación de aquél, cumplan los estándares de calidad y seguridad definidos.
Requisitos establecidos directamente por nosotros
como proveedor de los servicios
Conforme a la experiencia acumulada en sus 20 años, en la metodología de trabajo y el disponer de un equipo de trabajo multidisciplinar altamente cualificado, realizamos los análisis y estudios necesarios para determinar qué requisitos de seguridad son necesarios para dotar a cada servicio de la confiabilidad y robustez necesaria.
Procedimientos y Requerimientos
Sin perjuicio de ulteriores análisis que determinan cambios o acciones concretas, el marco general del que se parte para implementar los procedimientos y requerimientos necesarios en materia de seguridad es el Artículo 32 del RGPD. En base a este artículo tratan de concretarse:
Medidas de cifrado y seudonimización.
Confidencialidad, integridad, disponibilidad y resiliencia
Establecimiento de procedimientos y medidas tendentes a garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
Restaurar la disponibilidad a datos personales
Procedimientos destinados a garantizar una capacidad adecuada para restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
Procesos de verificación, evaluación y valoración
Establecimiento de procesos de verificación, evaluación y valoración para que, de forma periódica, se revise la eficacia de las medidas técnicas y organizativas aplicadas para garantizar la seguridad del tratamiento.
Medidas de seguridad
Aunque, como se ha dicho en líneas anteriores, el nivel de seguridad y las concretas medidas a aplicar vienen determinadas por el análisis de riesgos que se realice, las buenas prácticas seguidas hacen que, con carácter general, nuestros servicios tengan en cuenta las siguientes medidas de seguridad:
Cifrado de información
Estándares y metodologías
Aplicación de estándares y metodologías de desarrollo seguro.
Seguridad en las comunicaciones
Seguridad en las comunicaciones y la información en tránsito.
Bastionado de la infraestructura
Bastionado de la infraestructura sobre la que se despliega las aplicaciones para evitar la obtención de datos tales como el código fuente de la aplicación, acceso a interfaces administrativas, acceso a datos confidenciales, etc.
Gestión de vulnerabilidades
Autenticación y autorización
Medidas relativas a autenticación y autorización de usuarios con acceso a los servicios:
- Usuarios identificados inequívoca e unívocamente.
- Control de reintentos.
- Política de contraseñas.
- Perfiles de usuario en función de los recursos a los que está autorizado su acceso.
- Medidas relativas a la validación de datos de entrada para evitar las distintas vulnerabilidades relacionadas con una incorrecta validación de entrada de usuarios.
- Registros de accesos y logs de operación.
- Políticas de backup suficientes.
Evidentemente, lo anterior no deja de ser una muestra de las medidas de seguridad más destacables. La lista es mucho más extensa y con ella, lo que se intenta es dar una respuesta clara tanto a los requerimientos propios como los manifestados por nuestros clientes.
Gestión de la calidad
La calidad en la provisión de los servicios es uno de los ejes clave que articula toda nuestra actividad:
Filosofía de Contrato de Nivel de Servicio
Filosofía de Contrato de Nivel de Servicio mediante el establecimiento de los parámetros adecuados de capacidad de proceso, velocidad de acceso, ancho de banda...
Servicio de Atención a Usuarios (SAU)
Servicio de Atención a Usuarios (SAU), atendido por personal especialmente formado para la resolución de problemas de conexión, comunicación de incidencias y consultas.
Soporte especializado
Los administradores de las aplicaciones en las Entidades Aseguradoras disponen de un soporte especializado en técnica de sistemas.
Certificación UNE-EN ISO 9001:2015.
¿Tienes dudas?
Consulta Nuestras Preguntas Frecuentes
o Solicita Información Personalizada.
Consulta Nuestras Preguntas Frecuentes
o Solicita Información Personalizada.