Código: PO-SI-01
Versión: 4.2
Clasificación: Público
Fecha vigencia: 06-02-2026
Estado: Aprobado
El objetivo de esta política es establecer un marco integral de gestión de la seguridad de la información para proteger la confidencialidad, integridad, disponibilidad y autenticidad de los activos de información de ZeroQ. Esto incluye la identificación, evaluación y mitigación de riesgos asociados, garantizando la continuidad del negocio, el cumplimiento normativo y contractual, así como la protección contra amenazas internas y externas, con un enfoque en la mejora continua y la alineación con los objetivos estratégicos de la compañía.
Esta política aplica a todos los colaboradores de ZeroQ, incluyendo empleados permanentes, temporales, contratistas, proveedores, socios estratégicos y cualquier otra persona o entidad que tenga acceso a la información de ZeroQ, independientemente de su ubicación, área funcional o nivel jerárquico. También abarca todas las tecnologías, sistemas, procesos y activos de información gestionados o utilizados por la compañía, asegurando su protección en cualquier modalidad de acceso, ya sea presencial, remota o mediante servicios de terceros
- Definir, aprobar y comunicar la política de seguridad de la información, asegurando la asignación adecuada de recursos y apoyo para su implementación. Además,
- Supervisa el cumplimiento, fomenta una cultura de seguridad en toda la organización y revisa periódicamente la política para garantizar su relevancia y efectividad continua.
- Autoridad final sobre la aprobación y revisión de la política de Seguridad Información.
- Nombramiento y destitución de líderes de seguridad y cumplimiento.
- Asegurar el cumplimiento efectivo de la política de seguridad de la información.
- Supervisión de su implementación, la revisión periódica de su efectividad, la identificación y mitigación de riesgos, así como la promoción de una cultura de seguridad.
- Comunicar y reforzar activamente la importancia de la seguridad de la información en toda la organización, garantizando el apoyo y la participación de todos los niveles de la Compañía.
- Asegurar el cumplimiento efectivo de la política de seguridad de la información.
- Supervisar la implementación de la política.
- Realizar revisiones periódicas de su efectividad.
- Identificar y mitigar riesgos.- Promover una cultura de seguridad.
- Comunicar y reforzar la importancia de la seguridad de la información en toda la organización.
- Garantizar el apoyo y la participación de todos los niveles de la compañía.
- Asegurar el cumplimiento de la Política de Seguridad de la Información dentro de su área.
- Tomar conocimiento de las políticas en incumplimiento y excepciones.
- Velar por la protección de la confidencialidad, integridad y disponibilidad de la información procesada, transmitida y almacenada en los procesos y ámbitos bajo su responsabilidad.
- Velar por la protección de la confidencialidad, integridad y disponibilidad de la información delos Activos Individuales.
- Llevar a cabo procesos de seguridad de la información específicos.
- Tener autoridad para implementar y hacer cumplir la Política de Seguridad de la Información dentro de su área.
- Tomar decisiones relacionadas con el cumplimiento de las políticas y excepciones dentro de su ámbito de responsabilidad.
- Supervisar y dirigir los procesos de seguridad de la información específicos en su área.
- Coordinar con otros departamentos o áreas para garantizar la protección de la información en toda la organización.
- Desarrollar, implementar y mantener la política de seguridad de la información
- Identificar y evaluar los riesgos de seguridad de la información en la organización
- Supervisar la implementación de controles de seguridad de la información
- Capacitar al personal sobre prácticas seguras de manejo de la información
- Realizar auditorías y evaluaciones periódicas
- Tomar decisiones sobre la estructura y contenido de la política de seguridad de la información
- Tomar medidas correctivas para mitigar los riesgos identificados- Realizar cambios en los controles de seguridad según sea necesario para mejorar la eficacia
- Tomar medidas correctivas en caso de incumplimiento de los requisitos de seguridad de la información
- Cumplir con las políticas de seguridad de la información
- Reportar cualquier incidente o violación de seguridad de la información
-Autoridad para reportar incumplimientos en la política de seguridad de la información.
La compañía establece los siguientes objetivos Seguridad de la Información y Ciberseguridad:
1. Gestión de la Seguridad de la Información: Establecer un marco integral para la gestiónde la seguridad de la información (SGSI) en ZeroQ, que garantice la protección,confidencialidad, integridad, disponibilidad y autenticidad de la información, alineándosecon los objetivos estratégicos de la compañía y las mejores prácticas de la norma ISO27001:2022.
2. Gestión de Riesgos de Seguridad de la Información: Implementar un proceso efectivopara identificar, analizar, evaluar y mitigar los riesgos y oportunidades asociados a laseguridad de la información, asegurando su tratamiento oportuno y su revisión y mejoracontinua.
3. Concienciación y Cultura de Seguridad: Fortalecer la cultura de seguridad de lainformación mediante programas continuos de capacitación, concienciación y evaluacióndel personal en prácticas seguras, fomentando el compromiso y la participación activa detodos los colaboradores.
4. Mejora Continua del SGSI: Establecer y mantener un enfoque de mejora continua quepermita revisar, actualizar y optimizar los controles, procesos y procedimientos deseguridad de la información en respuesta a cambios internos, externos o tecnológicos.
5. Requerimientos Legales y Contractuales: Asegurar el cumplimiento de requisitoslegales, regulatorios y contractuales aplicables, garantizando que las operaciones de lacompañía y sean consistentes con las normativas ISO 27001, ISO 27002 y cualquierregulación específica aplicable del sector.
6. Indicadores y Medición del Desempeño: Desarrollar y monitorear indicadores clave de desempeño (KPIs) para evaluar objetivamente la madurez del SGSI y la efectividad de los controles implementados, permitiendo ajustes proactivos.
7. Gestión de Controles de Seguridad: Implementar y fortalecer controles específicos paragarantizar la confidencialidad, integridad y disponibilidad de los activos de informacióncríticos de la compañía, implementando acciones correctivas y preventivas según seanecesario.
8. Gestión de la Seguridad de la Información en la Continuidad del Negocio: Asegurar ladisponibilidad y resiliencia de sistemas críticos y datos mediante planes robustos decontinuidad del negocio y recuperación ante desastres, probados periódicamente
9. Gestión de Incidentes de Seguridad: Establecer procedimientos estructurados para ladetección, reporte, análisis, respuesta, documentación y aprendizaje continuo deincidentes de seguridad, minimizando su impacto en las operaciones y asegurando unarecuperación eficiente.
10. Salvaguarda de la Reputación Corporativa: Proteger la confianza de los clientes, socios ypartes interesadas mediante la implementación de controles efectivos que prevenganincidentes de seguridad y refuercen la reputación de la compañía.
11. Seguridad en la Nube y Privacidad de Datos: Implementar controles de seguridadespecíficos para servicios en la nube y garantizar la privacidad de los datos, alineados conlos requisitos de protección de datos personales.
12. Clasificación y Manejo de Activos de Información: Establecer políticas y procedimientos para clasificar, proteger y gestionar los activos de información según su criticidad, sensibilidad y valor para la organización, garantizando controles adecuados de acceso y custodia.
13. Protección del Ciclo de Vida del Desarrollo de Software: Asegurar que los aspectos de seguridad sean integrados en todas las etapas del ciclo de vida del desarrollo de software, desde la planificación y diseño hasta la implementación, pruebas y mantenimiento.
14. Monitoreo y Respuesta a Amenazas: Desarrollar capacidades de monitoreo continuo para detectar, analizar y responder proactivamente a amenazas y vulnerabilidades entiempo real, minimizando riesgos potenciales.
15. Control de Acceso: Establecer políticas, procedimientos e instructivos que refuercen los procesos contenidos en el sistema de seguridad de la información, para que la información cumpla con los niveles de acceso, autorización y responsabilidad correspondientes para su utilización, divulgación, administración, seguimiento y custodia.
○ Se debe implementar un sistema de gestión de seguridad de la información (SGSI) para proteger los activos más críticos de la compañía, minimizando los riesgos y aplicando controles a todos los procesos de TI de la compañía.
○ Se debe Implementar una estructura de gobierno de Seguridad de la Información con roles y responsabilidades específicas, para la aplicación de las políticas, procesos de gestión, controles, reporte de riesgos, evaluaciones de cumplimiento e inteligencia de seguridad.
○ Se deben Implementar las medidas de seguridad necesarias para proteger la confidencialidad, la integridad y la disponibilidad de la información en función de su criticidad y los riesgos existentes.
○ Se deben establecer controles de acceso y autenticación teniendo en cuenta el criterio de menor privilegio para proteger los activos de información críticos, como contraseñas y autenticación de dos factores, para garantizar que sólo las personas autorizadas tengan acceso a la información.
○ Se deben realizar pruebas periódicas de seguridad de la información para identificar posibles vulnerabilidades y riesgos.
○ Se debe implementar un programa de capacitación y concientización para todos los colaboradores de la compañía sobre los riesgos de seguridad de la información y las medidas de seguridad establecidas.
○ Se debe garantizar y mantener la protección de todos los activos de la Compañía. Para ello, deberá elaborarse y mantenerse un inventario completo de los mismos, clasificándolos de acuerdo a su criticidad y sensibilidad.
○ Se deben analizar, evaluar y priorizar los riesgos de seguridad y ciberseguridad, implementando controles específicos para minimizar su impacto en el negocio.
○ Se debe garantizar que todos los sistemas de información de ZeroQ sean monitoreados de forma activa para identificar y mitigar amenazas potenciales al entorno de la información.
○ Se deben aplicar mecanismos de cifrado para asegurar la confidencialidad, integridad, autenticidad y él no repudio de la información sensible almacenada, procesada y en tránsito.
○ Se debe implementar un proceso formal para gestionar los incidentes de seguridad que se producen en la compañía; estos deben incluir, análisis causa raíz, investigación, comunicación, registro, respuesta, resolución, validación de la solución, documentación de lecciones aprendidas y generar todas las evidencias correspondientes de todo el proceso.
○ Se debe llevar a cabo la prevención, detección y erradicación de software malicioso que afecten a los sistemas de información que almacenan o transmiten información de ZeroQ.
○ Se deberá proporcionar mecanismos de eliminación de datos seguros en todos los ambientes definidos en la compañía.
○ Se debe verificar que los proveedores que procesen y almacenen información de la compañía se encuentren alineados con las políticas y mejores prácticas de seguridad.
○ Se deben asegurar durante todo el ciclo de vida de desarrollo de software aspectos relativos a la seguridad de acuerdo con las mejores prácticas de seguridad de la información.
○ Se debe mantener una clara separación de los ambientes de Desarrollo, Prueba y Producción.
○ Se debe implementar un proceso de gestión de vulnerabilidades y parches tanto internas como externas que incluya el descubrimiento de la vulnerabilidad, análisis de riesgos, medidas de mitigación como también una infraestructura que permita un adecuado y continuo monitoreo, seguimiento y mejora.
El incumplimiento de las definiciones establecidas en esta Política, así como de las políticas y normas vinculadas a la seguridad de la Información de ZeroQ, conlleva las sanciones disciplinarias correspondientes, las cuales serán determinadas de acuerdo con la Política de Recursos Humanos y el Marco Normativo de Seguridad de la Información vigente.
La Política de Seguridad de la Información de ZEROQ se difundirá a los colaboradores a través de correo electrónico y estará disponible en la herramienta interna de gestión de recursos humanos, donde se requerirá la firma y aceptación de la misma. Esta política será revisada y difundida encaso de cualquier cambio, al menos una vez al año. Para garantizar su acceso, el texto completo y actualizado estará disponible en la página web de la empresa comercial.zeroq.cl.
La Política de Seguridad de la Información y todo su contenido tendrán vigencia a contar de su fecha de aprobación y puesta en marcha, y tendrá duración indefinida en tanto la Gerencia General de ZEROQ no adopte otra resolución al respecto.
La presente política será evaluada y revisada, al menos una vez al año, cuando el oficial de Seguridad de la Información o el Comité de Ciberseguridad y Riesgos lo requiera, para asegurar su continuidad e idoneidad, considerando cambios externos o internos que puedan afectarla.
Norma ISO 27001:2022 / 27002:2022.
-
Se refiere a cualquier dato o hecho que se pueda almacenar, procesar o comunicar.
En relación con la seguridad de la información, se refiere a cualquier información o elemento relacionado con el tratamiento de ésta (sistemas, soportes, edificios, personas) que tenga valor para la organización.
Garantizar que la información sea accesible sólo a aquellas personas autorizadas a tener acceso a la misma.
Salvaguardar la exactitud y totalidad de la información en su procesamiento, transmisión y almacenamiento.
Asegurar que los usuarios autorizados tengan acceso a la información y los activos asociados cuando éstos sean requeridos.
Fallo o debilidad de un sistema de información que pone en riesgo la seguridad de ésta.
Conjunto de medidas preventivas y reactivas de las organizaciones y sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de datos.
Un Sistema de Gestión de la Seguridad de la Información (SGSI) es un conjunto de políticas de seguridad de la información que siguen la norma ISO/IEC 27001.
Proceso sistemático de recolectar, analizar y utilizar información para hacer seguimiento al progreso de un programa en pos de la consecución de sus objetivos, y para guiar las decisiones de gestión.
07-01-2022
Generación primera versión del documento.
17-03-2023
Actualización de la Política de Seguridad de la Información.
18-03-2023
Actualización de la Política de Seguridad de la Información, agregado de apartados por recomendación la auditoría interna del SGSI.
18-04-2024
Actualización de la Política de Seguridad de la Información, agregado objetivos de Seguridad de la información.
20-12-2024
Actualización de los objetivos de la Política de Seguridad dela Información.
26-03-2025
Actualización de los objetivos de la Política de Seguridad dela Información.
06-02-2026
Actualización de los objetivos de la Política de Seguridad dela Información.
Este documento es propiedad exclusiva de ZEROQ © y su reproducción total o parcial está totalmente prohibida. El uso, copia, reproducción o venta de esta publicación, sólo podrá realizarse con autorización expresa y por escrito del propietario de la publicación. La versión impresa de este documento pierde automáticamente su vigencia.
Código: PO-SI-03
Versión: 3.0
Clasificación: Público
Fecha vigencia: 28-01-2026
Estado: En Revisión
Garantizar la privacidad y seguridad de la información de identificación personal (PII) de todas laspartes interesadas pertinentes, mediante la implementación de medidas adecuadas derecopilación, uso, divulgación y protección de datos, en cumplimiento de las leyes y regulacionesaplicables, con el fin de fomentar la confianza y mantener la integridad y reputación de ZeroQ.
Este documento abarca todas las actividades relacionadas con la recopilación, procesamiento ygestión de información de identificación personal (PII) realizadas por ZeroQ.Incluye a todos los empleados, contratistas, socios comerciales y terceros que tengan acceso oestén involucrados en el tratamiento de PII en nombre de la empresa.La política se aplica a todos los sistemas de información, procesos y actividades que involucrenPII, independientemente de la ubicación o el medio de procesamiento.
- Establecer políticas y objetivosrelacionados con la privacidad yprotección de PII.-
- Asignar recursos necesarios paraimplementar y mantener la política deprivacidad.- Revisar periódicamente el cumplimientode la política de privacidad y PII.
- Aprobar la Política de Privacidady Protección de PII
- Desarrollar y mantener políticas,procedimientos y controlesrelacionados con la protección de PII.
- Supervisar la implementación demedidas de seguridad para proteger laPII.- Mantenerse actualizado sobre lasregulaciones y estándares de privacidady seguridad de datos.
- Monitorear y evaluar elcumplimiento de las políticas yprocedimientos de privacidad yPII.
- Investigar y gestionar incidentesde seguridad relacionados con laPII.- Asesorar a la Alta Direcciónsobre temas de privacidad yseguridad de PII.
- Supervisar la implementación ymantenimiento de sistemas deinformación seguros y protegidos.- Garantizar que las solucionestecnológicas cumplan con los requisitosde privacidad y seguridad de PII.- Colaborar con el Encargado deCiberseguridad y Riesgos en larespuesta a incidentes de seguridadrelacionados con PII.
- Asignar recursos y presupuestopara iniciativas de seguridad dela información.- Coordinar con el Encargado deCiberseguridad y Riesgos en laevaluación de riesgos y laimplementación de controles.
- Informar a la Alta Dirección sobre el estado de la seguridadde la información y elcumplimiento de la política dePII.
● ZeroQ establece un modelo de gobernanza en protección de datos personales orientadoal cumplimiento normativo, la responsabilidad proactiva y la gestión del riesgo, conformea la Ley N° 21.719 sobre Protección de Datos Personales, la Ley N° 19.628 y buenasprácticas internacionales en materia de privacidad.
● La organización asume el principio de responsabilidad demostrada (accountability),comprometiéndose no solo a cumplir las obligaciones legales aplicables, sino también apoder acreditar dicho cumplimiento ante titulares de datos, clientes, autoridadescompetentes y otras partes interesadas.
● Este modelo de gobernanza se sustenta en directrices corporativas, roles definidos,controles organizacionales y técnicos, y mecanismos de supervisión periódica, los cuales se desarrollan y detallan en los procedimientos, normas e instrumentos del Sistema deGestión de Seguridad de la Información y Privacidad.
● ZeroQ reconoce que la protección de datos personales requiere no solo principios ycontroles, sino también un modelo de gobernanza que permita asegurar el cumplimientonormativo, la supervisión efectiva y la mejora continua en materia de privacidad de datospersonales.
● La compañía debe establecer y comunicar una política de privacidad y protección de PIIespecífica del tema a todas las partes interesadas pertinentes.
● ZeroQ reconoce que los datos personales de sus trabajadores y colaboradoresconstituyen datos personales protegidos por la legislación vigente en materia deprotección de datos. El tratamiento de dichos datos se realiza exclusivamente para finesvinculados a la relación laboral o contractual.
● La compañía debe desarrollar e implementar procedimientos para la preservación de laprivacidad y la protección de la PII. Estos procedimientos deben comunicarse a todas laspartes interesadas relevantes involucradas en el procesamiento de información deidentificación personal.
● El cumplimiento de estos procedimientos y de toda la legislación y los reglamentospertinentes relacionados con la preservación de la privacidad y la protección de la PIIrequiere roles, responsabilidades y controles apropiados. A menudo, esto se logra mejormediante el nombramiento de una persona responsable, como un oficial de privacidad,que debe brindar orientación al personal, los proveedores de servicios y otras partesinteresadas sobre sus responsabilidades individuales y los procedimientos específicosque deben seguirse
● La responsabilidad por el manejo de la PII debe abordarse teniendo en cuenta lalegislación y los reglamentos pertinentes.
● Se deben implementar medidas técnicas y organizativas apropiadas para proteger la PII.
● Rol de ZeroQ según el contexto: Cuando ZeroQ recolecta datos a través del sitio webhttps://zeroq.cl específicamente en los apartados “Regístrate” y “Hazte cliente”, actúacomo Responsable (Controller). Cuando ZeroQ opera tótems u otros servicios para uncliente, actúa como Encargado (Processor) y trata los datos por instrucción del cliente (Responsable). En este último caso, el aviso de privacidad del cliente aplica y ZeroQcanaliza las solicitudes de derechos a través del cliente.
● Cuando ZeroQ contrate a otros proveedores que tengan acceso a datos personales porcuenta de ZeroQ, estos actuarán como Encargados o Sub-encargados del tratamiento ydeberán cumplir, mediante contrato, obligaciones de confidencialidad, seguridad y respetode los derechos de los titulares equivalentes a las que ZeroQ asume frente a sus clientes.
● Uso restringido: Los datos personales no serán utilizados para fines distintos a losexpresamente informados al titular, salvo obligación legal o consentimiento expresoadicional.
● Principios Rectores del Tratamiento de Datos PersonalesEn todos los tratamientos de datos personales, ZeroQ aplica, entre otros, los siguientesprincipios:
○ Licitud y lealtad: los datos personales se tratan sobre la base de causales legalesy de manera leal hacia los titulares.
○ Minimización: ZeroQ solo recopilará los datos personales adecuados, pertinentesy estrictamente necesarios para las finalidades informadas, evitando larecolección excesiva o irrelevante.
○ Exactitud y actualización: ZeroQ implementará medidas razonables ysistemáticas para procurar que los datos personales sean exactos y semantengan actualizados.
○ Limitación de la conservación: los datos se conservan solo durante el tiemponecesario para las finalidades del tratamiento y según la normativa aplicable.
○ Integridad y confidencialidad: se adoptan medidas de seguridad razonables paraproteger los datos personales frente a accesos, usos o divulgaciones noautorizadas.
○ Responsabilidad proactiva: ZeroQ es responsable de cumplir estos principios y depoder demostrar dicho cumplimiento ante los titulares y las autoridadescompetentes.”
○ Nombres
○ Direcciones postales
○ Direcciones de correo electrónico
○ Números de teléfono
○ Información de pago (por ejemplo, números de tarjetas de crédito)
○ Datos de identificación del dispositivo
○ Sitio web de ZeroQ
○ Cookies y tecnologías similares
○ Interacciones directas (por ejemplo, correos electrónicos, llamadas telefónicas)
En caso de tratar datos personales sensibles o datos biométricos, ZeroQ adoptará medidasreforzadas de seguridad y cumplimiento, limitando su tratamiento estrictamente a las finalidadesautorizadas y aplicando controles técnicos y organizativos adicionales, conforme a la legislación vigente.
○ Procesamiento de transacciones y prestación de servicios solicitados.
○ Mejora de la experiencia del usuario.
○ Envío de comunicaciones de marketing (con consentimiento del usuario).
○ Cumplimiento de requisitos legales y reglamentarios.
○ Se solicitará el consentimiento explícito del usuario antes de procesar suinformación personal para fines no especificados en esta política.
○ Se compartirá información personal con terceros proveedores de servicios quenos ayudan a operar nuestro negocio, sujeto a acuerdos de confidencialidad.
○ Se divulgará información personal cuando sea requerido por ley, regulación oproceso legal.
○ Con terceros ajenos a los proveedores que actúan por cuenta de ZeroQ y a lasexigencias legales, se compartirá información personal solo con el consentimientoexplícito del usuario.
● Los datos personales tratados por ZeroQ pueden ser accesibles desde otros países através de la infraestructura en la nube de AWS u otros proveedores
● En estos casos, ZeroQ se asegurará de que existan mecanismos jurídicos adecuados (porejemplo, contratos que impongan obligaciones de confidencialidad y seguridadequivalentes, o las garantías que exija la legislación aplicable) para proteger los datospersonales y respetar los derechos de los titulares.
○ Implementaremos medidas de seguridad técnicas, administrativas y físicas paraproteger la información PII contra accesos no autorizados, uso o divulgación.
○ El acceso a los datos personales está limitado al personal y proveedores que lonecesitan para cumplir las finalidades informadas, bajo acuerdos deconfidencialidad e instrucciones de seguridad. Se registran accesos relevantespara fines de seguridad y cumplimiento.
● De acuerdo con la legislación aplicable, las personas titulares de datos pueden ejercer,entre otros, los derechos de acceso, rectificación y actualización, cancelación oeliminación, oposición y bloqueo del tratamiento de sus datos personales.
● En la medida en que nuevas leyes así lo dispongan, ZeroQ podrá reconocer derechosadicionales e incorporarlos en sus canales y procedimientos.
● ZeroQ se compromete a responder a las solicitudes de derechos dentro de los plazos ycondiciones establecidos en la legislación aplicable al tratamiento y según lo descritoen el procedimiento PR-SI-11A.
● Enfoque normativo: ZeroQ aplica la legislación vigente en cada país donde opera(incluida la Ley 19.628 en Chile) y se alinea progresivamente a la Ley 21.719 y a buenasprácticas de referencia internacional (como el GDPR), actualizando esta política cuandoentren en vigencia nuevas obligaciones.
El incumplimiento de las definiciones establecidas en esta Política de Protección de laInformación PII, así como de las políticas y normas vinculadas a la seguridad de la Información yActivos de TI de ZeroQ, conlleva las sanciones disciplinarias correspondientes, las cuales serándeterminadas de acuerdo con la Norma de Incumplimiento del Marco Normativo de Seguridad dela Información.
● Cuando la legislación aplicable así lo requiera o el tratamiento se base en esa figura,ZeroQ solicitará el consentimiento explícito antes de recopilar, almacenar o procesardatos personales para fines determinados. Este consentimiento se obtendrá mediante laaceptación en formularios web, contratos digitales o mediante la configuración depreferencias del usuario.
● Cuando el tratamiento se base en consentimiento, este se solicitará de manera clara(sin casillas pre-marcadas) y podrá revocarse en cualquier momento a través delmismo canal de contacto, por ejemplo el correo soporte@zeroq.cl, sin afectar usoslegítimos anteriores ni obligaciones legales.
● ZeroQ almacena la información personal en servidores seguros localizados en AmazonWeb Services (AWS) u otros proveedores equivalentes. En Perú y Colombia, la obligaciónde registrar bancos o bases de datos personales ante la autoridad competente recae enel Responsable del tratamiento.
● Cuando ZeroQ actúe como Responsable de un banco de datos propio en una jurisdiccióndonde dicho registro sea obligatorio, evaluará, junto con las áreas legales y decumplimiento, si la actividad de tratamiento se encuentra sujeta a esa obligación y,cuando corresponda, gestionará su inscripción y actualización ante la autoridadrespectiva.
● Cuando ZeroQ actúe únicamente como Encargado del tratamiento por cuenta de susclientes, la obligación de registro recaerá en estos últimos como Responsables, y ZeroQ les brindará la colaboración necesaria para que puedan cumplirla (por ejemplo,proporcionando información sobre infraestructura, medidas de seguridad y localizaciónde los datos)
● Cuando actúe como Encargado del tratamiento para un cliente, ZeroQ apoyará alResponsable para que cumpla con las obligaciones de registro que le correspondan.
● Los datos serán conservados por el período necesario para cumplir con los finesestablecidos en esta política, así como con la finalidad del tratamiento, las obligacionescontractuales y los requisitos legales aplicables o hasta que el usuario solicite su eliminación.
● ZeroQ evaluará, junto con las áreas responsables, si el incidente o brecha de seguridadimplica un riesgo relevante para los derechos de las personas y activa obligaciones denotificación derivadas de la legislación vigente y de los contratos aplicables. Cuandocorresponda, ZeroQ notificará a la autoridad competente y, de ser necesario, a los titularesde los datos, dentro de los plazos establecidos.
● Se activarán planes de respuesta y mitigación de riesgos para reducir los impactos ygarantizar la integridad de la información.
Ley N° 29733
Ley 1581
Ley N° 21.719
Ley N° 19.628
PO-SI-01
Normas aplicables
● ISO/IEC 27001:2022 – Seguridad de la información, Ciberseguridad y Protección de laPrivacidad. Sistema de Gestión de la Seguridad de la Información. Requisitos.
● ISO/IEC 27002:2022 – Seguridad de la información, Ciberseguridad y Protección de laPrivacidad. Controles de seguridad de la información.
Controles aplicables (ISO/IEC 27002:2022)
● 5.34 Privacidad y protección de PII (información de identificación personal)
Se refiere a cualquier dato o conjunto de datos que pueda utilizarsepara identificar directa o indirectamente a una persona físicaespecífica. Esto puede incluir nombres, direcciones, números deteléfono, direcciones de correo electrónico, números de segurosocial, números de identificación personal, imágenes faciales,huellas dactilares y cualquier otro dato que, solo o en combinacióncon otros datos, podría permitir la identificación de una persona específica.
El derecho fundamental de los individuos a controlar el acceso y eluso de su información personal.
Conjunto de medidas técnicas y organizativas diseñadas paragarantizar la seguridad y la privacidad de los datos personales,incluida la PII, durante su procesamiento, almacenamiento y transmisión.
01-05-2024
Desarrollo inicial de Política de Privacidad y protección de PII(Información de Identificación Personal)
26-03-2025
Actualización de Política de Privacidad y protección de PII(Información de Identificación Personal)
28- 01- 2026
Actualización de Política de Privacidad y protección dePII(Información de Identificación Personal)
Este documento es propiedad exclusiva de ZEROQ © y su reproducción total o parcial está totalmente prohibida. El uso, copia, reproducción o venta de esta publicación, sólo podrá realizarse con autorización expresa y por escrito del propietario de la publicación. La versión impresa de este documento pierde automáticamente su vigencia.
○ Se divulgará información personal cuando sea requerido por ley, regulación oproceso legal.