Código: PO-SI-01
Versión: 3.1
Clasificación: Uso Interno
Fecha vigencia: 18/04/2024
Estado: Aprobado
El objetivo de esta política es establecer objetivos y lineamientos claros y precisos para garantizar la continuidad, integridad, confidencialidad y disponibilidad de los activos de información que maneja la compañía, con el fin de protegerlos contra posibles amenazas y riesgos de seguridad de la información.
Esta política se aplica a todos los colaboradores de ZeroQ, incluyendo a empleados internos y externos, independientemente del área y el nivel de sus funciones. Asimismo, se extiende a cualquier persona externa que preste servicios a la compañía y que tenga acceso a la información de la misma, ya sea de manera temporal o permanente.
- Definir, aprobar y comunicar la política de seguridad de la información, asegurando la asignación adecuada de recursos y apoyo para su implementación.
- Además, supervisa el cumplimiento, fomenta una cultura de seguridad en toda la organización y revisa periódicamente la política para garantizar su relevancia y efectividad continua.
- Autoridad final sobre la aprobación y revisión de la política de Seguridad Información.
- Nombramiento y destitución de líderes de seguridad y cumplimiento.
- Asegurar el cumplimiento efectivo de la política de seguridad de la información.
- Supervisión de su implementación, la revisión periódica de su efectividad, la identificación y mitigación de riesgos, así como la promoción de una cultura de seguridad.
- Comunicar y reforzar activamente la importancia de la seguridad de la información en toda la organización, garantizando el apoyo y la participación de todos los niveles de la Compañía.
-Asegurar el cumplimiento efectivo de la política de seguridad de la información.
- Supervisar la implementación de la política.
- Realizar revisiones periódicas de su efectividad.
- Identificar y mitigar riesgos.
- Promover una cultura de seguridad.
- Comunicar y reforzar la importancia de la seguridad de la información en toda la organización.
- Garantizar el apoyo y la participación de todos los niveles de la compañía.
- Asegurar el cumplimiento de la Política de Seguridad de la Información dentro de su área.
- Tomar conocimiento de las políticas en incumplimiento y excepciones.
- Velar por la protección de la confidencialidad, integridad y disponibilidad de la información procesada, transmitida y almacenada en los procesos y ámbitos bajo su responsabilidad.
- Velar por la protección de la confidencialidad, integridad y disponibilidad de la información de los Activos Individuales.
- Llevar a cabo procesos de seguridad de la información específicos.
- Desarrollar, implementar y mantener la política de seguridad de la información.
- Identificar y evaluar los riesgos de seguridad de la información en la organización.
- Supervisar la implementación de controles de seguridad de la información.
- Capacitar al personal sobre prácticas seguras de manejo de la información.
- Realizar auditorías y evaluaciones periódicas
- Tener autoridad para implementar y hacer cumplir la Política de Seguridad de la Información dentro de su área.
- Tomar decisiones relacionadas con el cumplimiento de las políticas y excepciones dentro de su ámbito de responsabilidad.
- Supervisar y dirigir los procesos de seguridad de la información específicos en su área.
- Coordinar con otros departamentos o áreas para garantizar la protección de la información en toda la organización.
- Tomar decisiones sobre la estructura y contenido de la política de seguridad de la información.
- Tomar medidas correctivas para mitigar los riesgos identificados.
- Realizar cambios en los controles de seguridad según sea necesario para mejorar la eficacia.
- Tomar medidas correctivas en caso de incumplimiento de los requisitos de seguridad de la información.
- Cumplir con las políticas de seguridad de la información.
- Reportar cualquier incidente o violación de seguridad de la información.
- Autoridad para reportar incumplimientos en la política de seguridad de la información.
La compañía establece los siguientes objetivos Seguridad de la Información y Ciberseguridad:
1- Definir el marco global para la gestión de la Seguridad de la Información en ZEROQ, estableciendo los lineamientos, para la protección y preservación de la confidencialidad, integridad y disponibilidad de la información de ZeroQ y de sus clientes en forma consistente con las estrategias de la compañía.
2- Minimizar los riesgos de seguridad de la información a través de la gestión de riesgos del SGSI, identificando, evaluando y mitigando los riesgos de manera efectiva.
3- Fortalecer la cultura de seguridad de la información mediante la implementación de un plan integral de concientización para todos los colaboradores, promoviendo la participación activa y el compromiso con las prácticas seguras.
4- Acompañar los cambios estratégicos mediante la mejora continua de los procesos de gestión de seguridad de la información, asegurando su alineación con los objetivos y la estrategia de la compañía.
5- Cumplir con los requerimientos legales y contractuales asociados a la seguridad de la información en los distintos ámbitos de operación de la organización, garantizando el cumplimiento normativo y contractual.
6- Implementar un proceso de mejora continua de la seguridad de la información, evaluando regularmente la efectividad de los controles y procedimientos, e implementando acciones correctivas y preventivas según sea necesario.
7- Desarrollar indicadores de gestión del SGSI para medir y optimizar su madurez, permitiendo una evaluación objetiva del desempeño y la efectividad de las medidas de seguridad implementadas.
8- Implementar y fortalecer los controles para la protección de los activos de información, asegurando la confidencialidad, integridad y disponibilidad de la información en todo momento.
9- Garantizar la disponibilidad de sistemas críticos y datos en situaciones de desastre o interrupciones, participando activamente en la planificación y ejecución de la continuidad del negocio.
10- Establecer procedimientos sólidos para la detección, notificación y respuesta a incidentes de seguridad, minimizando el impacto en el negocio y asegurando una recuperación eficiente.
11- Salvaguardar la reputación de la empresa al prevenir incidentes de seguridad, protegiendo la confianza de los clientes y partes interesadas a través de la implementación efectiva de controles y medidas de seguridad.
12- Asegurar la privacidad y protección de la información basándonos en las normas ISO 27001 seguridad de la información, ISO 27017 controles de seguridad para servicios Cloud y ISO 27018 privacidad en la nube.
13- Establecer políticas, procedimientos e instructivos que refuercen los procesos contenidos en el sistema de seguridad de la información, para que la información cumpla con los niveles de acceso, autorización y responsabilidad correspondientes para su utilización, divulgación, administración, seguimiento y custodia.
14- Asegurar que los procedimientos para el manejo de excepciones a la política de seguridad de la información estén claramente definidos, documentados y comunicados a todo el personal relevante, garantizando que cualquier desviación de la política sea evaluada, autorizada y registrada adecuadamente para mitigar los riesgos asociados y mantener la integridad y coherencia del sistema de seguridad de la información
- Se debe implementar un sistema de gestión de seguridad de la información (SGSI) para proteger los activos más críticos de la compañía, minimizando los riesgos y aplicando controles a todos los procesos de TI de la compañía.
- Se debe Implementar una estructura de gobierno de Seguridad de la Información con roles y responsabilidades específicas, para la aplicación de las políticas, procesos de gestión, controles, reporte de riesgos, evaluaciones de cumplimiento e inteligencia de seguridad.
- Se deben Implementar las medidas de seguridad necesarias para proteger la confidencialidad, la integridad y la disponibilidad de la información en función de su criticidad y los riesgos existentes.
- Se deben establecer controles de acceso y autenticación teniendo en cuenta el criterio de menor privilegio para proteger los activos de información críticos, como contraseñas y autenticación de dos factores, para garantizar que sólo las personas autorizadas tengan acceso a la información.
- Se deben realizar pruebas periódicas de seguridad de la información para identificar posibles vulnerabilidades y riesgos.
- Se debe implementar un programa de capacitación y concientización para todos los colaboradores de la compañía sobre los riesgos de seguridad de la información y las medidas de seguridad establecidas.
- Se debe garantizar y mantener la protección de todos los activos de la Compañía. Para ello, deberá elaborarse y mantenerse un inventario completo de los mismos, clasificándolos de acuerdo a su criticidad y sensibilidad.
- Se deben analizar y evaluar los riesgos de Seguridad de la Información y Ciberseguridad, identificándolos, cuantificándolos y priorizándolos de acuerdo con el impacto que puedan generar directa o indirectamente en el negocio. Se debe garantizar que todos los sistemas de información de ZeroQ sean monitoreados de forma activa para identificar y mitigar amenazas potenciales al entorno de la información. Se deben aplicar mecanismos de cifrado para asegurar la confidencialidad, integridad, autenticidad y él no repudio de la información sensible almacenada, procesada y en tránsito.
- Se debe implementar un proceso formal para gestionar los incidentes de seguridad que se producen en la compañía; estos deben incluir, análisis causa raíz, investigación comunicación, registro, respuesta, resolución, validación de la solución, documentación de lecciones aprendidas y generar todas las evidencias correspondientes de todo el proceso.
- Se debe llevar a cabo la prevención, detección y erradicación de software malicioso que afecten a los sistemas de información que almacenan o transmiten información de ZeroQ.
- Se deberá proporcionar mecanismos de eliminación de datos seguros en todos los ambientes definidos en la compañía. Se debe verificar que los proveedores que procesen y almacenen información de la compañía se encuentren alineados con las políticas y mejores prácticas de seguridad.
- Se deben asegurar durante todo el ciclo de vida de desarrollo de software aspectos relativos a la seguridad de acuerdo con las mejores prácticas de seguridad de la información.
- Se debe mantener una clara separación de los ambientes de Desarrollo, Prueba y Producción.
- Se debe implementar un proceso de gestión de vulnerabilidades y parches tanto internas como externas que incluya el descubrimiento de la vulnerabilidad, análisis de riesgos, medidas de mitigación como también una infraestructura que permita un adecuado y continuo monitoreo, seguimiento y mejora.
El incumplimiento de las definiciones establecidas en esta Política, así como de las políticas y normas vinculadas a la seguridad de la Información de ZeroQ, conlleva las sanciones disciplinarias correspondientes, las cuales serán determinadas de acuerdo con la Política de Recursos Humanos y el Marco Normativo de Seguridad de la Información vigente.
La Política de Seguridad de la Información de ZEROQ se difundirá a los colaboradores a través de correo electrónico y estará disponible en la herramienta interna de gestión de recursos humanos, donde se requerirá la firma y aceptación de la misma. Esta política será revisada y difundida en caso de cualquier cambio, al menos una vez al año. Para garantizar su acceso, el texto completo y actualizado estará disponible en la página web de la empresa comercial.zeroq.cl.
La Política de Seguridad de la Información y todo su contenido tendrán vigencia a contar de su fecha de aprobación y puesta en marcha, y tendrá duración indefinida en tanto la Gerencia General de ZEROQ no adopte otra resolución al respecto.La presente política será evaluada y revisada, al menos una vez al año, cuando el oficial de Seguridad de la Información o el Comité de Ciberseguridad y Riesgos lo requiera, para asegurar su continuidad e idoneidad, considerando cambios externos o internos que puedan afectarla.
Norma ISO 27001:2022 / 27002:2022.
-
Se refiere a cualquier dato o hecho que se pueda almacenar, procesar o comunicar.
En relación con la seguridad de la información, se refiere a cualquier información o elemento relacionado con el tratamiento de ésta (sistemas, soportes, edificios, personas) que tenga valor para la organización.
Garantizar que la información sea accesible sólo a aquellas personas autorizadas a tener acceso a la misma.
Salvaguardar la exactitud y totalidad de la información en su procesamiento, transmisión y almacenamiento.
Asegurar que los usuarios autorizados tengan acceso a la información y los activos asociados cuando éstos sean requeridos.
Fallo o debilidad de un sistema de información que pone en riesgo la seguridad de ésta.
Conjunto de medidas preventivas y reactivas de las organizaciones y sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de datos.
Un Sistema de Gestión de la Seguridad de la Información (SGSI) es un conjunto de políticas de seguridad de la información que siguen la norma ISO/IEC 27001.
Proceso sistemático de recolectar, analizar y utilizar información para hacer seguimiento al progreso de un programa en pos de la consecución de sus objetivos, y para guiar las decisiones de gestión.
07-01-2022
Generación primera versión del documento.
17-03-2023
Actualización de la Política de Seguridad de la Información.
18-03-2023
Actualización de la Política de Seguridad de la Información, agregado de apartados por recomendación la auditoría interna del SGSI.
18-04-2024
Actualización de la Política de Seguridad de la Información, agregado objetivos de Seguridad de la información.
Este documento es propiedad exclusiva de ZEROQ © y su reproducción total o parcial está totalmente prohibida. El uso, copia, reproducción o venta de esta publicación, sólo podrá realizarse con autorización expresa y por escrito del propietario de la publicación. La versión impresa de este documento pierde automáticamente su vigencia.
Código: PO-SI-01
Versión: 1.0
Clasificación: Uso Interno
Fecha vigencia: 01/05/2024
Estado: Aprobado
Garantizar la privacidad y seguridad de la información de identificación personal (PII) de todas las partes interesadas pertinentes, mediante la implementación de medidas adecuadas de recopilación, uso, divulgación y protección de datos, en cumplimiento con las leyes y regulaciones aplicables, con el fin de fomentar la confianza y mantener la integridad y reputación de ZeroQ.
Este documento abarca todas las actividades relacionadas con la recopilación, procesamiento y gestión de Información Identificada Personal (PII) realizadas. Incluye a todos los empleados, contratistas, socios comerciales y terceros que tengan acceso o estén involucrados en el tratamiento de PII en nombre de la empresa. La política se aplica a todos los sistemas de información, procesos y actividades que involucren la PII, independientemente de la ubicación o el medio de procesamiento.
- Establecer políticas y objetivos relacionados con la privacidad y protección de PII.
- Asignar recursos necesarios para implementar y mantener la política de privacidad.
- Revisar periódicamente el cumplimiento de la política de privacidad y PII.
- Aprobar la Política de Privacidad y Protección de PII. seguridad y cumplimiento.
- Desarrollar y mantener políticas, procedimientos y controles relacionados con la protección de PII.
- Supervisar la implementación de medidas de seguridad para proteger la PII.
- Mantenerse actualizado sobre las regulaciones y estándares de privacidad y seguridad de datos.
- Monitorear y evaluar el cumplimiento de las políticas y procedimientos de privacidad y PII.
- Investigar y gestionar incidentes de seguridad relacionados con la PII.
- Asesorar a la Alta Dirección sobre temas de privacidad y seguridad de PII.
- Supervisar la implementación y mantenimiento de sistemas de información seguros y protegidos.
- Garantizar que las soluciones tecnológicas cumplan con los requisitos de privacidad y seguridad de PII.
- Colaborar con el Encargado de Ciberseguridad y Riesgos en la respuesta a incidentes de seguridad relacionados con PII.
- Asignar recursos y presupuesto para iniciativas de seguridad de la información.
- Coordinar con el Encargado de Ciberseguridad y Riesgos en la evaluación de riesgos y la implementación de controles.
- Informar a la Alta Dirección sobre el estado de la seguridad de la información y el cumplimiento de la política de PII.
- La compañía debe establecer y comunicar una política de privacidad y protección de PII específica del tema a todas las partes interesadas pertinentes.
- La compañía debe desarrollar e implementar procedimientos para la preservación de la privacidad y la protección de la PII. Estos procedimientos deben comunicarse a todas las partes interesadas relevantes involucradas en el procesamiento de información de identificación personal.
- El cumplimiento de estos procedimientos y de toda la legislación y los reglamentos pertinentes relacionados con la preservación de la privacidad y la protección de la PII requiere roles, responsabilidades y controles apropiados. A menudo, esto se logra mejor mediante el nombramiento de una persona responsable, como un oficial de privacidad, que debe brindar orientación al personal, los proveedores de servicios y otras partes interesadas sobre sus responsabilidades individuales y los procedimientos específicos que deben seguirse.
- La responsabilidad por el manejo de la PII debe abordarse teniendo en cuenta la legislación y los reglamentos pertinentes.
- Se deben implementar medidas técnicas y organizativas apropiadas para proteger la PII.
- Nombres
- Direcciones postales
- Direcciones de correo electrónico
- Números de teléfono
- Información de pago (por ejemplo, números de tarjetas de crédito)
- Datos de identificación del dispositivo
- Formularios en línea
- Cookies y tecnologías similares
- Interacciones directas (por ejemplo, correos electrónicos, llamadas telefónicas)
- Procesamiento de transacciones y prestación de servicios solicitados.
- Mejora de la experiencia del usuario.
- Envío de comunicaciones de marketing (con consentimiento del usuario).
- Cumplimiento de requisitos legales y reglamentarios.
- Se solicitará el consentimiento explícito del usuario antes de procesar su información personal para fines no especificados en esta política.
- Se compartirá información personal con terceros proveedores de servicios que nos ayudan a operar nuestro negocio, sujeto a acuerdos de confidencialidad.
- Se divulgará información personal cuando sea requerido por ley, regulación o proceso legal.
- Se compartirá información personal con terceros solo con el consentimiento explícito del usuario.
- Implementaremos medidas de seguridad técnicas, administrativas y físicas para proteger la información PII contra accesos no autorizados, uso o divulgación.
- El acceso a la información PII estará restringido solo a empleados autorizados que necesiten dicha información para desempeñar sus funciones laborales.
- Los usuarios tienen derecho a acceder y corregir su información personal.
- Los usuarios tienen derecho a retirar su consentimiento para el procesamiento de su información personal en cualquier momento.
El incumplimiento de las definiciones establecidas en esta Política de Protección de la Información PII, así como de las políticas y normas vinculadas a la seguridad de la Información y Activos de TI de ZeroQ, conlleva las sanciones disciplinarias correspondientes, las cuales serán determinadas de acuerdo con la Norma de Incumplimiento del Marco Normativo de Seguridad de la Información.
Se refiere a cualquier dato o conjunto de datos que pueda utilizarse para identificar directa o indirectamente a una persona física específica. Esto puede incluir nombres, direcciones, números de teléfono, direcciones de correo electrónico, números de seguro social, números de identificación personal, imágenes faciales, huellas dactilares y cualquier otro dato que, solo o en combinación con otros datos, podría permitir la identificación de una persona específica.
El derecho fundamental de los individuos a controlar el acceso y el uso de su información personal.
Conjunto de medidas técnicas y organizativas diseñadas para garantizar la seguridad y la privacidad de los datos personales, incluida la PII, durante su procesamiento, almacenamiento y transmisión.
01-05-2024
Desarrollo inicial de Política de Privacidad y protección de PII(Información de Identificación Personal)
Este documento es de USO INTERNO, propiedad exclusiva de ZEROQ © y su reproducción total o parcial está totalmente prohibida. El uso, copia, reproducción o venta de esta publicación, sólo podrá realizarse con autorización expresa y por escrito del propietario de la publicación. La versión impresa de este documento pierde automáticamente su vigencia.