Política de Seguridad de la Información

Código: PO-SI-01
Versión: 3.1
Clasificación: Uso Interno
Fecha vigencia: 18/04/2024
Estado: Aprobado

1- OBJETIVO

El objetivo de esta política es establecer objetivos y lineamientos claros y precisos para garantizar la continuidad, integridad, confidencialidad y disponibilidad de los activos de información que maneja la compañía, con el fin de protegerlos contra posibles amenazas y riesgos de seguridad de la información.

2- ALCANCE

Esta política se aplica a todos los colaboradores de ZeroQ, incluyendo a empleados internos y externos, independientemente del área y el nivel de sus funciones. Asimismo, se extiende a cualquier persona externa que preste servicios a la compañía y que tenga acceso a la información de la misma, ya sea de manera temporal o permanente.

3- ROLES, RESPONSABILIDADES Y AUTORIDADES

Rol

Alta Dirección

Responsabilidades

- Definir, aprobar y comunicar la política de seguridad de la información, asegurando la asignación adecuada de recursos y apoyo para su implementación.
- Además, supervisa el cumplimiento, fomenta una cultura de seguridad en toda la organización y revisa periódicamente la política para garantizar su relevancia y efectividad continua.

Autoridades

- Autoridad final sobre la aprobación y revisión de la política de Seguridad Información.
- Nombramiento y destitución de líderes de seguridad y cumplimiento.

Comité de Ciberseguridad y Riesgos

- Asegurar el cumplimiento efectivo de la política de seguridad de la información. 
- Supervisión de su implementación, la revisión periódica de su efectividad, la identificación y mitigación de riesgos, así como la promoción de una cultura de seguridad.
- Comunicar y reforzar activamente la importancia de la seguridad de la información en toda la organización, garantizando el apoyo y la participación de todos los niveles de la Compañía.

-Asegurar el cumplimiento efectivo de la política de seguridad de la información.
- Supervisar la implementación de la política.
- Realizar revisiones periódicas de su efectividad.
- Identificar y mitigar riesgos.
- Promover una cultura de seguridad.
- Comunicar y reforzar la importancia de la seguridad de la información en toda la organización.
- Garantizar el apoyo y la participación de todos los niveles de la compañía.

Gerentes de ZEROQ

- Asegurar el cumplimiento de la Política de Seguridad de la Información dentro de su área.
- Tomar conocimiento de las políticas en incumplimiento y excepciones.
- Velar por la protección de la confidencialidad, integridad y disponibilidad de la información procesada, transmitida y almacenada en los procesos y ámbitos bajo su responsabilidad.
- Velar por la protección de la confidencialidad, integridad y disponibilidad de la información de los Activos Individuales.
- Llevar a cabo procesos de seguridad de la información específicos.
- Desarrollar, implementar y mantener la política de seguridad de la información.
- Identificar y evaluar los riesgos de seguridad de la información en la organización.
- Supervisar la implementación de controles de seguridad de la información.
- Capacitar al personal sobre prácticas seguras de manejo de la información.
- Realizar auditorías y evaluaciones periódicas

- Tener autoridad para implementar y hacer cumplir la Política de Seguridad de la Información dentro de su área.
- Tomar decisiones relacionadas con el cumplimiento de las políticas y excepciones dentro de su ámbito de responsabilidad.
- Supervisar y dirigir los procesos de seguridad de la información específicos en su área.
- Coordinar con otros departamentos o áreas para garantizar la protección de la información en toda la organización.
- Tomar decisiones sobre la estructura y contenido de la política de seguridad de la información.
- Tomar medidas correctivas para mitigar los riesgos identificados.
- Realizar cambios en los controles de seguridad según sea necesario para mejorar la eficacia.
- Tomar medidas correctivas en caso de incumplimiento de los requisitos de seguridad de la información.

Colaboradores Internos

- Cumplir con las políticas de seguridad de la información.
- Reportar cualquier incidente o violación de seguridad de la información.

- Autoridad para reportar incumplimientos en la política de seguridad de la información.

4- DESCRIPCIÓN DE LA POLÍTICA

4.1- Objetivos de la Política de Seguridad de la Información

La compañía establece los siguientes objetivos Seguridad de la Información y Ciberseguridad:

1- Definir el marco global para la gestión de la Seguridad de la Información en ZEROQ, estableciendo los lineamientos, para la protección y preservación de la confidencialidad, integridad y disponibilidad de la información de ZeroQ y de sus clientes en forma consistente con las estrategias de la compañía.
2- Minimizar los riesgos de seguridad de la información a través de la gestión de riesgos del SGSI, identificando, evaluando y mitigando los riesgos de manera efectiva.
3- Fortalecer la cultura de seguridad de la información mediante la implementación de un plan integral de concientización para todos los colaboradores, promoviendo la participación activa y el compromiso con las prácticas seguras.
4- Acompañar los cambios estratégicos mediante la mejora continua de los procesos de gestión de seguridad de la información, asegurando su alineación con los objetivos y la estrategia de la compañía.
5- Cumplir con los requerimientos legales y contractuales asociados a la seguridad de la información en los distintos ámbitos de operación de la organización, garantizando el cumplimiento normativo y contractual.
6- Implementar un proceso de mejora continua de la seguridad de la información, evaluando regularmente la efectividad de los controles y procedimientos, e implementando acciones correctivas y preventivas según sea necesario.
7- Desarrollar indicadores de gestión del SGSI para medir y optimizar su madurez, permitiendo una evaluación objetiva del desempeño y la efectividad de las medidas de seguridad implementadas.
8- Implementar y fortalecer los controles para la protección de los activos de información, asegurando la confidencialidad, integridad y disponibilidad de la información en todo momento.
9- Garantizar la disponibilidad de sistemas críticos y datos en situaciones de desastre o interrupciones, participando activamente en la planificación y ejecución de la continuidad del negocio.
10- Establecer procedimientos sólidos para la detección, notificación y respuesta a incidentes de seguridad, minimizando el impacto en el negocio y asegurando una recuperación eficiente.
11- Salvaguardar la reputación de la empresa al prevenir incidentes de seguridad, protegiendo la confianza de los clientes y partes interesadas a través de la implementación efectiva de controles y medidas de seguridad.
12- Asegurar la privacidad y protección de la información basándonos en las normas ISO 27001 seguridad de la información, ISO 27017 controles de seguridad para servicios Cloud y ISO 27018 privacidad en la nube. 
13- Establecer políticas, procedimientos e instructivos que refuercen los procesos contenidos en el sistema de seguridad de la información, para que la información cumpla con los niveles de acceso, autorización y responsabilidad correspondientes para su utilización, divulgación, administración, seguimiento y custodia.
14- Asegurar que los procedimientos para el manejo de excepciones a la política de seguridad de la información estén claramente definidos, documentados y comunicados a todo el personal relevante, garantizando que cualquier desviación de la política sea evaluada, autorizada y registrada adecuadamente para mitigar los riesgos asociados y mantener la integridad y coherencia del sistema de seguridad de la información

4.2- Lineamientos de la Política de Seguridad

- Se debe implementar un sistema de gestión de seguridad de la información (SGSI) para proteger los activos más críticos de la compañía, minimizando los riesgos y aplicando controles a todos los procesos de TI de la compañía.
- Se debe Implementar una estructura de gobierno de Seguridad de la Información con roles y responsabilidades específicas, para la aplicación de las políticas, procesos de gestión, controles, reporte de riesgos, evaluaciones de cumplimiento e inteligencia de seguridad.
- Se deben Implementar las medidas de seguridad necesarias para proteger la confidencialidad, la integridad y la disponibilidad de la información en función de su criticidad y los riesgos existentes.
- Se deben establecer controles de acceso y autenticación teniendo en cuenta el criterio de menor privilegio para proteger los activos de información críticos, como contraseñas y autenticación de dos factores, para garantizar que sólo las personas autorizadas tengan acceso a la información.
- Se deben realizar pruebas periódicas de seguridad de la información para identificar posibles vulnerabilidades y riesgos.
- Se debe implementar un programa de capacitación y concientización para todos los colaboradores de la compañía sobre los riesgos de seguridad de la información y las medidas de seguridad establecidas.
- Se debe garantizar y mantener la protección de todos los activos de la Compañía. Para ello, deberá elaborarse y mantenerse un inventario completo de los mismos, clasificándolos de acuerdo a su criticidad y sensibilidad.
- Se deben analizar y evaluar los riesgos de Seguridad de la Información y Ciberseguridad, identificándolos, cuantificándolos y priorizándolos de acuerdo con el impacto que puedan generar directa o indirectamente en el negocio. Se debe garantizar que todos los sistemas de información de ZeroQ sean monitoreados de forma activa para identificar y mitigar amenazas potenciales al entorno de la información. Se deben aplicar mecanismos de cifrado para asegurar la confidencialidad, integridad, autenticidad y él no repudio de la información sensible almacenada, procesada y en tránsito.
- Se debe implementar un proceso formal para gestionar los incidentes de seguridad que se producen en la compañía; estos deben incluir, análisis causa raíz, investigación comunicación, registro, respuesta, resolución, validación de la solución, documentación de lecciones aprendidas y generar todas las evidencias correspondientes de todo el proceso.
- Se debe llevar a cabo la prevención, detección y erradicación de software malicioso que afecten a los sistemas de información que almacenan o transmiten información de ZeroQ.
- Se deberá proporcionar mecanismos de eliminación de datos seguros en todos los ambientes definidos en la compañía. Se debe verificar que los proveedores que procesen y almacenen información de la compañía se encuentren alineados con las políticas y mejores prácticas de seguridad.
- Se deben asegurar durante todo el ciclo de vida de desarrollo de software aspectos relativos a la seguridad de acuerdo con las mejores prácticas de seguridad de la información.
- Se debe mantener una clara separación de los ambientes de Desarrollo, Prueba y Producción.
- Se debe implementar un proceso de gestión de vulnerabilidades y parches tanto internas como externas que incluya el descubrimiento de la vulnerabilidad, análisis de riesgos, medidas de mitigación como también una infraestructura que permita un adecuado y continuo monitoreo, seguimiento y mejora.

4.3- Sanciones e Incumplimiento

El incumplimiento de las definiciones establecidas en esta Política, así como de las políticas y normas vinculadas a la seguridad de la Información de ZeroQ, conlleva las sanciones disciplinarias correspondientes, las cuales serán determinadas de acuerdo con la Política de Recursos Humanos y el Marco Normativo de Seguridad de la Información vigente.

4.4- Difusión de la Política de Seguridad de la Información

La Política de Seguridad de la Información de ZEROQ se difundirá a los colaboradores a través de correo electrónico y estará disponible en la herramienta interna de gestión de recursos humanos, donde se requerirá la firma y aceptación de la misma. Esta política será revisada y difundida en caso de cualquier cambio, al menos una vez al año. Para garantizar su acceso, el texto completo y actualizado estará disponible en la página web de la empresa comercial.zeroq.cl.

4.5- Vigencia, Revisión y Retención

La Política de Seguridad de la Información y todo su contenido tendrán vigencia a contar de su fecha de aprobación y puesta en marcha, y tendrá duración indefinida en tanto la Gerencia General de ZEROQ no adopte otra resolución al respecto.La presente política será evaluada y revisada, al menos una vez al año, cuando el oficial de Seguridad de la Información o el Comité de Ciberseguridad y Riesgos lo requiera, para asegurar su continuidad e idoneidad, considerando cambios externos o internos que puedan afectarla.

5- REFERENCIAS

5.1- Normativa relacionada

Categoría

Norma ISO 27001/ 27002:2022.

Título

Norma ISO 27001:2022 / 27002:2022.

Código

-

5.2- Definiciones

Término

Información

Descripción

Se refiere a cualquier dato o hecho que se pueda almacenar, procesar o comunicar.

Activo

En relación con la seguridad de la información, se refiere a cualquier información o elemento relacionado con el tratamiento de ésta (sistemas, soportes, edificios, personas) que tenga valor para la organización.

Confidencialidad

Garantizar que la información sea accesible sólo a aquellas personas autorizadas a tener acceso a la misma.

Integridad

Salvaguardar la exactitud y totalidad de la información en su procesamiento, transmisión y almacenamiento.

Disponibilidad

Asegurar que los usuarios autorizados tengan acceso a la información y los activos asociados cuando éstos sean requeridos.

Vulnerabilidad

Fallo o debilidad de un sistema de información que pone en riesgo la seguridad de ésta.

Seguridad de la Información

Conjunto de medidas preventivas y reactivas de las organizaciones y sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de datos.

SGSI

Un Sistema de Gestión de la Seguridad de la Información (SGSI) es un conjunto de políticas de seguridad de la información que siguen la norma ISO/IEC 27001.

Monitoreo y control

Proceso sistemático de recolectar, analizar y utilizar información para hacer seguimiento al progreso de un programa en pos de la consecución de sus objetivos, y para guiar las decisiones de gestión.

6- HISTORIAL DE VERSIONES

Versión

1.0

Fecha

07-01-2022

Detalle de Cambios

Generación primera versión del documento.

2.0

17-03-2023

Actualización de la Política de Seguridad de la Información.

3.0

18-03-2023

Actualización de la Política de Seguridad de la Información, agregado de apartados por recomendación la auditoría interna del SGSI.

3.1

18-04-2024

Actualización de la Política de Seguridad de la Información, agregado objetivos de Seguridad de la información.

Este documento es  propiedad exclusiva de ZEROQ © y su reproducción total o parcial está totalmente prohibida. El uso, copia, reproducción o venta de esta publicación, sólo podrá realizarse con autorización expresa y por escrito del propietario de la publicación. La versión impresa de este documento pierde automáticamente su vigencia.

Política de Privacidad y protección de PII
(Información de Identificación Personal)

Código: PO-SI-01
Versión: 1.0
Clasificación: Uso Interno
Fecha vigencia: 01/05/2024
Estado: Aprobado

1- OBJETIVO

Garantizar la privacidad y seguridad de la información de identificación personal (PII) de todas las partes interesadas pertinentes, mediante la implementación de medidas adecuadas de recopilación, uso, divulgación y protección de datos, en cumplimiento con las leyes y regulaciones aplicables, con el fin de fomentar la confianza y mantener la integridad y reputación de ZeroQ.

2- ALCANCE

Este documento abarca todas las actividades relacionadas con la recopilación, procesamiento y gestión de Información Identificada Personal (PII) realizadas. Incluye a todos los empleados, contratistas, socios comerciales y terceros que tengan acceso o estén involucrados en el tratamiento de PII en nombre de la empresa. La política se aplica a todos los sistemas de información, procesos y actividades que involucren la PII, independientemente de la ubicación o el medio de procesamiento.

3- ROLES, RESPONSABILIDADES Y AUTORIDADES

Rol

Alta Dirección

Responsabilidades

- Establecer políticas y objetivos relacionados con la privacidad y protección de PII.
- Asignar recursos necesarios para implementar y mantener la política de privacidad.
- Revisar periódicamente el cumplimiento de la política de privacidad y PII.

Autoridades

- Aprobar la Política de Privacidad y Protección de PII. seguridad y cumplimiento.

Encargado de Ciberseguridad y Riesgos

- Desarrollar y mantener políticas, procedimientos y controles relacionados con la protección de PII.
- Supervisar la implementación de medidas de seguridad para proteger la PII.
- Mantenerse actualizado sobre las regulaciones y estándares de privacidad y seguridad de datos.

- Monitorear y evaluar el cumplimiento de las políticas y procedimientos de privacidad y PII.
- Investigar y gestionar incidentes de seguridad relacionados con la PII.
- Asesorar a la Alta Dirección sobre temas de privacidad y seguridad de PII.

CTO

- Supervisar la implementación y mantenimiento de sistemas de información seguros y protegidos.
- Garantizar que las soluciones tecnológicas cumplan con los requisitos de privacidad y seguridad de PII.
- Colaborar con el Encargado de Ciberseguridad y Riesgos en la respuesta a incidentes de seguridad relacionados con PII.

- Asignar recursos y presupuesto para iniciativas de seguridad de la información.
- Coordinar con el Encargado de Ciberseguridad y Riesgos en la evaluación de riesgos y la implementación de controles.
- Informar a la Alta Dirección sobre el estado de la seguridad de la información y el cumplimiento de la política de PII.

4- DESARROLLO

4.1- Consideraciones Generales

- La compañía debe establecer y comunicar una política de privacidad y protección de PII específica del tema a todas las partes interesadas pertinentes.
- La compañía debe desarrollar e implementar procedimientos para la preservación de la privacidad y la protección de la PII. Estos procedimientos deben comunicarse a todas las partes interesadas relevantes involucradas en el procesamiento de información de identificación personal.
- El cumplimiento de estos procedimientos y de toda la legislación y los reglamentos pertinentes relacionados con la preservación de la privacidad y la protección de la PII requiere roles, responsabilidades y controles apropiados. A menudo, esto se logra mejor mediante el nombramiento de una persona responsable, como un oficial de privacidad, que debe brindar orientación al personal, los proveedores de servicios y otras partes interesadas sobre sus responsabilidades individuales y los procedimientos específicos que deben seguirse.
- La responsabilidad por el manejo de la PII debe abordarse teniendo en cuenta la legislación y los reglamentos pertinentes.
- Se deben implementar medidas técnicas y organizativas apropiadas para proteger la PII.

4.2- Recopilación de Información PII

- Tipos de Información Recopilada:

- Nombres
- Direcciones postales
- Direcciones de correo electrónico
- Números de teléfono
- Información de pago (por ejemplo, números de tarjetas de crédito)
- Datos de identificación del dispositivo

- Métodos de Recopilación:

- Formularios en línea
- Cookies y tecnologías similares
- Interacciones directas (por ejemplo, correos electrónicos, llamadas telefónicas)

4.3- Uso de la Información PII

- Propósitos del Uso:

- Procesamiento de transacciones y prestación de servicios solicitados.
- Mejora de la experiencia del usuario.
- Envío de comunicaciones de marketing (con consentimiento del usuario).
- Cumplimiento de requisitos legales y reglamentarios.

- Consentimiento del Usuario:

- Se solicitará el consentimiento explícito del usuario antes de procesar su información personal para fines no especificados en esta política.

4.4- Divulgación de la Información PII

- Terceros Proveedores de Servicios:

- Se compartirá información personal con terceros proveedores de servicios que nos ayudan a operar nuestro negocio, sujeto a acuerdos de confidencialidad.

- Cumplimiento Legal:

- Se divulgará información personal cuando sea requerido por ley, regulación o proceso legal.

- Consentimiento del Usuario:

- Se compartirá información personal con terceros solo con el consentimiento explícito del usuario.

4.5- Protección de la Información PII

- Medidas de Seguridad:

- Implementaremos medidas de seguridad técnicas, administrativas y físicas para proteger la información PII contra accesos no autorizados, uso o divulgación.

- Acceso Restringido:

- El acceso a la información PII estará restringido solo a empleados autorizados que necesiten dicha información para desempeñar sus funciones laborales.

4.6- Derechos de los Usuarios

- Derechos de Acceso y Rectificación:

- Los usuarios tienen derecho a acceder y corregir su información personal.

- Derecho a Retirar el Consentimiento:

- Los usuarios tienen derecho a retirar su consentimiento para el procesamiento de su información personal en cualquier momento.

4.7- Incumplimiento

El incumplimiento de las definiciones establecidas en esta Política de Protección de la Información PII, así como de las políticas y normas vinculadas a la seguridad de la Información y Activos de TI de ZeroQ, conlleva las sanciones disciplinarias correspondientes, las cuales serán determinadas de acuerdo con la Norma de Incumplimiento del Marco Normativo de Seguridad de la Información.

5- REFERENCIAS

5.1- Normativa relacionada

Categoría

Política

Código

PO-SI-01

5.2- Definiciones

Término

PII, o Información de Identificación Personal

Descripción

Se refiere a cualquier dato o conjunto de datos que pueda utilizarse para identificar directa o indirectamente a una persona física específica. Esto puede incluir nombres, direcciones, números de teléfono, direcciones de correo electrónico, números de seguro social, números de identificación personal, imágenes faciales, huellas dactilares y cualquier otro dato que, solo o en combinación con otros datos, podría permitir la identificación de una persona específica.

Privacidad

El derecho fundamental de los individuos a controlar el acceso y el uso de su información personal.

6- Protección de Datos

Conjunto de medidas técnicas y organizativas diseñadas para garantizar la seguridad y la privacidad de los datos personales, incluida la PII, durante su procesamiento, almacenamiento y transmisión.

7- HISTORIAL DE VERSIONES

Versión

1.0

Fecha

01-05-2024

Detalle de Cambios

Desarrollo inicial de Política de Privacidad y protección de PII(Información de Identificación Personal)

Este documento es de USO INTERNO, propiedad exclusiva de ZEROQ © y su reproducción total o parcial está totalmente prohibida. El uso, copia, reproducción o venta de esta publicación, sólo podrá realizarse con autorización expresa y por escrito del propietario de la publicación. La versión impresa de este documento pierde automáticamente su vigencia.