Política de Seguridad de la Información

Código: PO-SI-01
Versión: 4.0
Clasificación: Uso Interno
Fecha vigencia: 20/12/2024
Estado: Aprobado

1- OBJETIVO

El objetivo de esta política es establecer un marco integral de gestión de la seguridad de la información para proteger la confidencialidad, integridad, disponibilidad y autenticidad de los activos de información de ZeroQ. Esto incluye la identificación, evaluación y mitigación de riesgos asociados, garantizando la continuidad del negocio, el cumplimiento normativo y contractual, así como la protección contra amenazas internas y externas, con un enfoque en la mejora continua y la alineación con los objetivos estratégicos de la compañía.

2- ALCANCE

Esta política aplica a todos los colaboradores de ZeroQ, incluyendo empleados permanentes, temporales, contratistas, proveedores, socios estratégicos y cualquier otra persona o entidad que tenga acceso a la información de ZeroQ, independientemente de su ubicación, área funcional o nivel jerárquico. También abarca todas las tecnologías, sistemas, procesos y activos de información gestionados o utilizados por la compañía, asegurando su protección en cualquier modalidad de acceso, ya sea presencial, remota o mediante servicios de terceros

3- ROLES, RESPONSABILIDADES Y AUTORIDADES

Rol

Alta Dirección

Responsabilidades

- Definir, aprobar y comunicar la política de seguridad de la información, asegurando la asignación adecuada de recursos y apoyo para su implementación. Además,- Supervisa el cumplimiento, fomenta una cultura de seguridad en toda la organización y revisa periódicamente la política para garantizar su relevancia y efectividad continua.

Autoridades

- Autoridad final sobre la aprobación y revisión de la política de Seguridad Información.- Nombramiento y destitución de líderes de seguridad y cumplimiento.

Comité de Ciberseguridad y Riesgos

- Asegurar el cumplimiento efectivo de la política de seguridad de la información.
- Supervisión de su implementación, la revisión periódica de su efectividad, la identificación y mitigación de riesgos, así como la promoción de una cultura de seguridad.- Comunicar y reforzar activamente la importancia de la seguridad de la información en toda la organización, garantizando el apoyo y la participación de todos los niveles de la Compañía.

- Asegurar el cumplimiento efectivo de la política de seguridad de la información.
- Supervisar la implementación de la política.
- Realizar revisiones periódicas de su efectividad.
- Identificar y mitigar riesgos.- Promover una cultura de seguridad.
- Comunicar y reforzar la importancia de la seguridad de la información en toda la organización.
- Garantizar el apoyo y la participación de todos los niveles de la compañía.

Gerentes de ZEROQ

- Asegurar el cumplimiento de la Política de Seguridad de la Información dentro de su área.
- Tomar conocimiento de las políticas en incumplimiento y excepciones.
- Velar por la protección de la confidencialidad, integridad y disponibilidad de la información procesada, transmitida y almacenada en los procesos y ámbitos bajo su responsabilidad.
- Velar por la protección de la confidencialidad, integridad y disponibilidad de la información delos Activos Individuales.
- Llevar a cabo procesos de seguridad de la información específicos.

- Tener autoridad para implementar y hacer cumplir la Política de Seguridad de la Información dentro de su área.
- Tomar decisiones relacionadas con el cumplimiento de las políticas y excepciones dentro de su ámbito de responsabilidad.
- Supervisar y dirigir los procesos de seguridad de la información específicos en su área.
- Coordinar con otros departamentos o áreas para garantizar la protección de la información en toda la organización.

Encargado de
Ciberseguridad y Riesgos

- Desarrollar, implementar y mantener la política de seguridad de la información
- Identificar y evaluar los riesgos de seguridad de la información en la organización
- Supervisar la implementación de controles de seguridad de la información
- Capacitar al personal sobre prácticas seguras de manejo de la información
- Realizar auditorías y evaluaciones periódicas

- Tomar decisiones sobre la estructura y contenido de la política de seguridad de la información
- Tomar medidas correctivas para mitigar los riesgos identificados- Realizar cambios en los controles de seguridad según sea necesario para mejorar la eficacia
- Tomar medidas correctivas en caso de incumplimiento de los requisitos de seguridad de la información

Colaboradores Internos

- Cumplir con las políticas de seguridad de la información
- Reportar cualquier incidente o violación de seguridad de la información

-Autoridad para reportar incumplimientos en la política de seguridad de la información.

4- DESCRIPCIÓN DE LA POLÍTICA

4.1- Objetivos de la Política de Seguridad de la Información

La compañía establece los siguientes objetivos Seguridad de la Información y Ciberseguridad:

1. Gestión de la Seguridad de la Información: Establecer un marco integral para la gestión de la seguridad de la información (SGSI) en ZeroQ, que garantice la protección, confidencialidad, integridad, disponibilidad y autenticidad de la información, alineándose con los objetivos estratégicos de la compañía y las mejores prácticas de la norma ISO27001:2022.
2. Gestión de Riesgos de Seguridad de la Información: Implementar un proceso efectivo para identificar, analizar, evaluar y mitigar los riesgos y oportunidades asociados a la seguridad de la información, asegurando su tratamiento oportuno y su revisión continua conforme a un marco basado en ISO 31000.
3. Concienciación y Cultura de Seguridad: Fortalecer la cultura de seguridad de la información mediante programas continuos de capacitación, concienciación y evaluación del personal en prácticas seguras, fomentando el compromiso y la participación activa de todos los colaboradores.
4. Mejora Continua del SGSI: Establecer y mantener un enfoque de mejora continua que permita revisar, actualizar y optimizar los controles, procesos y procedimientos de seguridad de la información en respuesta a cambios internos, externos o tecnológicos.
5. Requerimientos Legales y Contractuales: Asegurar el cumplimiento de requisitos legales, regulatorios y contractuales aplicables, garantizando que las operaciones de la compañía y sean consistentes con las normativas ISO 27001, ISO 27002 y cualquier regulación específica aplicable del sector.
6. Indicadores y Medición del Desempeño: Desarrollar y monitorear indicadores clave de desempeño (KPIs) para evaluar objetivamente la madurez del SGSI y la efectividad de los controles implementados, permitiendo ajustes proactivos.
7. Gestión de Controles de Seguridad: Implementar y fortalecer controles específicos para garantizar la confidencialidad, integridad y disponibilidad de los activos de información críticos de la compañía, implementando acciones correctivas y preventivas según sea necesario.
8. Gestión de la Seguridad de la Información en la Continuidad del Negocio: Asegurar la disponibilidad y resiliencia de sistemas críticos y datos mediante planes robustos de continuidad del negocio y recuperación ante desastres, probados periódicamente.
9. Gestión de Incidentes de Seguridad: Establecer procedimientos estructurados para la detección, reporte, análisis, respuesta, documentación y aprendizaje continuo de incidentes de seguridad, minimizando su impacto en las operaciones y asegurando una recuperación eficiente.
10. Salvaguarda de la Reputación Corporativa: Proteger la confianza de los clientes, socios y partes interesadas mediante la implementación de controles efectivos que prevengan incidentes de seguridad y refuercen la reputación de la compañía.
11. Seguridad en la Nube y Privacidad de Datos: Implementar controles de seguridad específicos para servicios en la nube y garantizar la privacidad de los datos, conforme alas normativas ISO 27017 y ISO 27018, alineados con los requisitos de protección de datos personales.
12. Excepciones y Desviaciones: Definir, documentar y comunicar procedimientos claros para manejar excepciones a las políticas de seguridad, garantizando su aprobación y registro, y evaluando su impacto en la seguridad de la compañía.
13. Clasificación y Manejo de Activos de Información: Establecer políticas y procedimientos para clasificar, proteger y gestionar los activos de información según su criticidad, sensibilidad y valor para la organización, garantizando controles adecuados de acceso y custodia.
14. Protección del Ciclo de Vida del Desarrollo de Software: Asegurar que los aspectos de seguridad sean integrados en todas las etapas del ciclo de vida del desarrollo de software, desde la planificación y diseño hasta la implementación, pruebas y mantenimiento.
15. Monitoreo y Respuesta a Amenazas: Desarrollar capacidades de monitoreo continuo para detectar, analizar y responder proactivamente a amenazas y vulnerabilidades entiempo real, minimizando riesgos potenciales.
16. Control de Acceso: Establecer políticas, procedimientos e instructivos que refuercen los procesos contenidos en el sistema de seguridad de la información, para que la información cumpla con los niveles de acceso, autorización y responsabilidad correspondientes para su utilización, divulgación, administración, seguimiento y custodia.

4.2- Lineamientos de la Política de Seguridad

○ Se debe implementar un sistema de gestión de seguridad de la información (SGSI) para proteger los activos más críticos de la compañía, minimizando los riesgos y aplicando controles a todos los procesos de TI de la compañía.
○ Se debe Implementar una estructura de gobierno de Seguridad de la Información con roles y responsabilidades específicas, para la aplicación de las políticas, procesos de gestión, controles, reporte de riesgos, evaluaciones de cumplimiento e inteligencia de seguridad.
○ Se deben Implementar las medidas de seguridad necesarias para proteger la confidencialidad, la integridad y la disponibilidad de la información en función de su criticidad y los riesgos existentes.
○ Se deben establecer controles de acceso y autenticación teniendo en cuenta el criterio de menor privilegio para proteger los activos de información críticos, como contraseñas y autenticación de dos factores, para garantizar que sólo las personas autorizadas tengan acceso a la información.
○ Se deben realizar pruebas periódicas de seguridad de la información para identificar posibles vulnerabilidades y riesgos.
○ Se debe implementar un programa de capacitación y concientización para todos los colaboradores de la compañía sobre los riesgos de seguridad de la información y las medidas de seguridad establecidas.
○ Se debe garantizar y mantener la protección de todos los activos de la Compañía. Para ello, deberá elaborarse y mantenerse un inventario completo de los mismos, clasificándolos de acuerdo a su criticidad y sensibilidad.
○ Se deben analizar, evaluar y priorizar los riesgos de seguridad y ciberseguridad, implementando controles específicos para minimizar su impacto en el negocio.
○ Se debe garantizar que todos los sistemas de información de ZeroQ sean monitoreados de forma activa para identificar y mitigar amenazas potenciales al entorno de la información.
○ Se deben aplicar mecanismos de cifrado para asegurar la confidencialidad, integridad, autenticidad y él no repudio de la información sensible almacenada, procesada y en tránsito.
○ Se debe implementar un proceso formal para gestionar los incidentes de seguridad que se producen en la compañía; estos deben incluir, análisis causa raíz, investigación, comunicación, registro, respuesta, resolución, validación de la solución, documentación de lecciones aprendidas y generar todas las evidencias correspondientes de todo el proceso.
○ Se debe llevar a cabo la prevención, detección y erradicación de software malicioso que afecten a los sistemas de información que almacenan o transmiten información de ZeroQ.
○ Se deberá proporcionar mecanismos de eliminación de datos seguros en todos los ambientes definidos en la compañía.
○ Se debe verificar que los proveedores que procesen y almacenen información de la compañía se encuentren alineados con las políticas y mejores prácticas de seguridad.
○ Se deben asegurar durante todo el ciclo de vida de desarrollo de software aspectos relativos a la seguridad de acuerdo con las mejores prácticas de seguridad de la información.
○ Se debe mantener una clara separación de los ambientes de Desarrollo, Prueba y Producción.
○ Se debe implementar un proceso de gestión de vulnerabilidades y parches tanto internas como externas que incluya el descubrimiento de la vulnerabilidad, análisis de riesgos, medidas de mitigación como también una infraestructura que permita un adecuado y continuo monitoreo, seguimiento y mejora.

4.3- Sanciones e Incumplimiento

El incumplimiento de las definiciones establecidas en esta Política, así como de las políticas y normas vinculadas a la seguridad de la Información de ZeroQ, conlleva las sanciones disciplinarias correspondientes, las cuales serán determinadas de acuerdo con la Política de Recursos Humanos y el Marco Normativo de Seguridad de la Información vigente.

4.4- Difusión de la Política de Seguridad de la Información

La Política de Seguridad de la Información de ZEROQ se difundirá a los colaboradores a través de correo electrónico y estará disponible en la herramienta interna de gestión de recursos humanos, donde se requerirá la firma y aceptación de la misma. Esta política será revisada y difundida encaso de cualquier cambio, al menos una vez al año. Para garantizar su acceso, el texto completo y actualizado estará disponible en la página web de la empresa comercial.zeroq.cl.

4.5- Vigencia, Revisión y Retención

La Política de Seguridad de la Información y todo su contenido tendrán vigencia a contar de su fecha de aprobación y puesta en marcha, y tendrá duración indefinida en tanto la Gerencia General de ZEROQ no adopte otra resolución al respecto.

La presente política será evaluada y revisada, al menos una vez al año, cuando el oficial de Seguridad de la Información o el Comité de Ciberseguridad y Riesgos lo requiera, para asegurar su continuidad e idoneidad, considerando cambios externos o internos que puedan afectarla.

5- REFERENCIAS

5.1- Normativa relacionada

Categoría

Norma ISO 27001/ 27002:2022.

Título

Norma ISO 27001:2022 / 27002:2022.

Código

-

5.2- Definiciones

Término

Información

Descripción

Se refiere a cualquier dato o hecho que se pueda almacenar, procesar o comunicar.

Activo

En relación con la seguridad de la información, se refiere a cualquier información o elemento relacionado con el tratamiento de ésta (sistemas, soportes, edificios, personas) que tenga valor para la organización.

Confidencialidad

Garantizar que la información sea accesible sólo a aquellas personas autorizadas a tener acceso a la misma.

Integridad

Salvaguardar la exactitud y totalidad de la información en su procesamiento, transmisión y almacenamiento.

Disponibilidad

Asegurar que los usuarios autorizados tengan acceso a la información y los activos asociados cuando éstos sean requeridos.

Vulnerabilidad

Fallo o debilidad de un sistema de información que pone en riesgo la seguridad de ésta.

Seguridad de la Información

Conjunto de medidas preventivas y reactivas de las organizaciones y sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de datos.

SGSI

Un Sistema de Gestión de la Seguridad de la Información (SGSI) es un conjunto de políticas de seguridad de la información que siguen la norma ISO/IEC 27001.

Monitoreo y control

Proceso sistemático de recolectar, analizar y utilizar información para hacer seguimiento al progreso de un programa en pos de la consecución de sus objetivos, y para guiar las decisiones de gestión.

6- HISTORIAL DE VERSIONES

Versión

1.0

Fecha

07-01-2022

Detalle de Cambios

Generación primera versión del documento.

2.0

17-03-2023

Actualización de la Política de Seguridad de la Información.

3.0

18-03-2023

Actualización de la Política de Seguridad de la Información, agregado de apartados por recomendación la auditoría interna del SGSI.

3.1

18-04-2024

Actualización de la Política de Seguridad de la Información, agregado objetivos de Seguridad de la información.

4.0

20-12-2024

Actualización de los objetivos de la Política de Seguridad dela Información.

Este documento es  propiedad exclusiva de ZEROQ © y su reproducción total o parcial está totalmente prohibida. El uso, copia, reproducción o venta de esta publicación, sólo podrá realizarse con autorización expresa y por escrito del propietario de la publicación. La versión impresa de este documento pierde automáticamente su vigencia.

Política de Privacidad y protección de PII
(Información de Identificación Personal)

Código: PO-SI-01
Versión: 1.0
Clasificación: Uso Interno
Fecha vigencia: 01/05/2024
Estado: Aprobado

1- OBJETIVO

Garantizar la privacidad y seguridad de la información de identificación personal (PII) de todas las partes interesadas pertinentes, mediante la implementación de medidas adecuadas de recopilación, uso, divulgación y protección de datos, en cumplimiento con las leyes y regulaciones aplicables, con el fin de fomentar la confianza y mantener la integridad y reputación de ZeroQ.

2- ALCANCE

Este documento abarca todas las actividades relacionadas con la recopilación, procesamiento y gestión de Información Identificada Personal (PII) realizadas. Incluye a todos los empleados, contratistas, socios comerciales y terceros que tengan acceso o estén involucrados en el tratamiento de PII en nombre de la empresa. La política se aplica a todos los sistemas de información, procesos y actividades que involucren la PII, independientemente de la ubicación o el medio de procesamiento.

3- ROLES, RESPONSABILIDADES Y AUTORIDADES

Rol

Alta Dirección

Responsabilidades

- Establecer políticas y objetivos relacionados con la privacidad y protección de PII.
- Asignar recursos necesarios para implementar y mantener la política de privacidad.
- Revisar periódicamente el cumplimiento de la política de privacidad y PII.

Autoridades

- Aprobar la Política de Privacidad y Protección de PII. seguridad y cumplimiento.

Encargado de Ciberseguridad y Riesgos

- Desarrollar y mantener políticas, procedimientos y controles relacionados con la protección de PII.
- Supervisar la implementación de medidas de seguridad para proteger la PII.
- Mantenerse actualizado sobre las regulaciones y estándares de privacidad y seguridad de datos.

- Monitorear y evaluar el cumplimiento de las políticas y procedimientos de privacidad y PII.
- Investigar y gestionar incidentes de seguridad relacionados con la PII.
- Asesorar a la Alta Dirección sobre temas de privacidad y seguridad de PII.

CTO

- Supervisar la implementación y mantenimiento de sistemas de información seguros y protegidos.
- Garantizar que las soluciones tecnológicas cumplan con los requisitos de privacidad y seguridad de PII.
- Colaborar con el Encargado de Ciberseguridad y Riesgos en la respuesta a incidentes de seguridad relacionados con PII.

- Asignar recursos y presupuesto para iniciativas de seguridad de la información.
- Coordinar con el Encargado de Ciberseguridad y Riesgos en la evaluación de riesgos y la implementación de controles.
- Informar a la Alta Dirección sobre el estado de la seguridad de la información y el cumplimiento de la política de PII.

4- DESARROLLO

4.1- Consideraciones Generales

- La compañía debe establecer y comunicar una política de privacidad y protección de PII específica del tema a todas las partes interesadas pertinentes.
- La compañía debe desarrollar e implementar procedimientos para la preservación de la privacidad y la protección de la PII. Estos procedimientos deben comunicarse a todas las partes interesadas relevantes involucradas en el procesamiento de información de identificación personal.
- El cumplimiento de estos procedimientos y de toda la legislación y los reglamentos pertinentes relacionados con la preservación de la privacidad y la protección de la PII requiere roles, responsabilidades y controles apropiados. A menudo, esto se logra mejor mediante el nombramiento de una persona responsable, como un oficial de privacidad, que debe brindar orientación al personal, los proveedores de servicios y otras partes interesadas sobre sus responsabilidades individuales y los procedimientos específicos que deben seguirse.
- La responsabilidad por el manejo de la PII debe abordarse teniendo en cuenta la legislación y los reglamentos pertinentes.
- Se deben implementar medidas técnicas y organizativas apropiadas para proteger la PII.

4.2- Recopilación de Información PII

- Tipos de Información Recopilada:

- Nombres
- Direcciones postales
- Direcciones de correo electrónico
- Números de teléfono
- Información de pago (por ejemplo, números de tarjetas de crédito)
- Datos de identificación del dispositivo

- Métodos de Recopilación:

- Formularios en línea
- Cookies y tecnologías similares
- Interacciones directas (por ejemplo, correos electrónicos, llamadas telefónicas)

4.3- Uso de la Información PII

- Propósitos del Uso:

- Procesamiento de transacciones y prestación de servicios solicitados.
- Mejora de la experiencia del usuario.
- Envío de comunicaciones de marketing (con consentimiento del usuario).
- Cumplimiento de requisitos legales y reglamentarios.

- Consentimiento del Usuario:

- Se solicitará el consentimiento explícito del usuario antes de procesar su información personal para fines no especificados en esta política.

4.4- Divulgación de la Información PII

- Terceros Proveedores de Servicios:

- Se compartirá información personal con terceros proveedores de servicios que nos ayudan a operar nuestro negocio, sujeto a acuerdos de confidencialidad.

- Cumplimiento Legal:

- Se divulgará información personal cuando sea requerido por ley, regulación o proceso legal.

- Consentimiento del Usuario:

- Se compartirá información personal con terceros solo con el consentimiento explícito del usuario.

4.5- Protección de la Información PII

- Medidas de Seguridad:

- Implementaremos medidas de seguridad técnicas, administrativas y físicas para proteger la información PII contra accesos no autorizados, uso o divulgación.

- Acceso Restringido:

- El acceso a la información PII estará restringido solo a empleados autorizados que necesiten dicha información para desempeñar sus funciones laborales.

4.6- Derechos de los Usuarios

- Derechos de Acceso y Rectificación:

- Los usuarios tienen derecho a acceder y corregir su información personal.

- Derecho a Retirar el Consentimiento:

- Los usuarios tienen derecho a retirar su consentimiento para el procesamiento de su información personal en cualquier momento.

4.7- Incumplimiento

El incumplimiento de las definiciones establecidas en esta Política de Protección de la Información PII, así como de las políticas y normas vinculadas a la seguridad de la Información y Activos de TI de ZeroQ, conlleva las sanciones disciplinarias correspondientes, las cuales serán determinadas de acuerdo con la Norma de Incumplimiento del Marco Normativo de Seguridad de la Información.

5- REFERENCIAS

5.1- Normativa relacionada

Categoría

Política

Código

PO-SI-01

5.2- Definiciones

Término

PII, o Información de Identificación Personal

Descripción

Se refiere a cualquier dato o conjunto de datos que pueda utilizarse para identificar directa o indirectamente a una persona física específica. Esto puede incluir nombres, direcciones, números de teléfono, direcciones de correo electrónico, números de seguro social, números de identificación personal, imágenes faciales, huellas dactilares y cualquier otro dato que, solo o en combinación con otros datos, podría permitir la identificación de una persona específica.

Privacidad

El derecho fundamental de los individuos a controlar el acceso y el uso de su información personal.

6- Protección de Datos

Conjunto de medidas técnicas y organizativas diseñadas para garantizar la seguridad y la privacidad de los datos personales, incluida la PII, durante su procesamiento, almacenamiento y transmisión.

7- HISTORIAL DE VERSIONES

Versión

1.0

Fecha

01-05-2024

Detalle de Cambios

Desarrollo inicial de Política de Privacidad y protección de PII(Información de Identificación Personal)

Este documento es de USO INTERNO, propiedad exclusiva de ZEROQ © y su reproducción total o parcial está totalmente prohibida. El uso, copia, reproducción o venta de esta publicación, sólo podrá realizarse con autorización expresa y por escrito del propietario de la publicación. La versión impresa de este documento pierde automáticamente su vigencia.