Código: PO-SI-01
Versión: 4.0
Clasificación: Uso Interno
Fecha vigencia: 20/12/2024
Estado: Aprobado
El objetivo de esta política es establecer un marco integral de gestión de la seguridad de la información para proteger la confidencialidad, integridad, disponibilidad y autenticidad de los activos de información de ZeroQ. Esto incluye la identificación, evaluación y mitigación de riesgos asociados, garantizando la continuidad del negocio, el cumplimiento normativo y contractual, así como la protección contra amenazas internas y externas, con un enfoque en la mejora continua y la alineación con los objetivos estratégicos de la compañía.
Esta política aplica a todos los colaboradores de ZeroQ, incluyendo empleados permanentes, temporales, contratistas, proveedores, socios estratégicos y cualquier otra persona o entidad que tenga acceso a la información de ZeroQ, independientemente de su ubicación, área funcional o nivel jerárquico. También abarca todas las tecnologías, sistemas, procesos y activos de información gestionados o utilizados por la compañía, asegurando su protección en cualquier modalidad de acceso, ya sea presencial, remota o mediante servicios de terceros
- Definir, aprobar y comunicar la política de seguridad de la información, asegurando la asignación adecuada de recursos y apoyo para su implementación. Además,- Supervisa el cumplimiento, fomenta una cultura de seguridad en toda la organización y revisa periódicamente la política para garantizar su relevancia y efectividad continua.
- Autoridad final sobre la aprobación y revisión de la política de Seguridad Información.- Nombramiento y destitución de líderes de seguridad y cumplimiento.
- Asegurar el cumplimiento efectivo de la política de seguridad de la información.
- Supervisión de su implementación, la revisión periódica de su efectividad, la identificación y mitigación de riesgos, así como la promoción de una cultura de seguridad.- Comunicar y reforzar activamente la importancia de la seguridad de la información en toda la organización, garantizando el apoyo y la participación de todos los niveles de la Compañía.
- Asegurar el cumplimiento efectivo de la política de seguridad de la información.
- Supervisar la implementación de la política.
- Realizar revisiones periódicas de su efectividad.
- Identificar y mitigar riesgos.- Promover una cultura de seguridad.
- Comunicar y reforzar la importancia de la seguridad de la información en toda la organización.
- Garantizar el apoyo y la participación de todos los niveles de la compañía.
- Asegurar el cumplimiento de la Política de Seguridad de la Información dentro de su área.
- Tomar conocimiento de las políticas en incumplimiento y excepciones.
- Velar por la protección de la confidencialidad, integridad y disponibilidad de la información procesada, transmitida y almacenada en los procesos y ámbitos bajo su responsabilidad.
- Velar por la protección de la confidencialidad, integridad y disponibilidad de la información delos Activos Individuales.
- Llevar a cabo procesos de seguridad de la información específicos.
- Tener autoridad para implementar y hacer cumplir la Política de Seguridad de la Información dentro de su área.
- Tomar decisiones relacionadas con el cumplimiento de las políticas y excepciones dentro de su ámbito de responsabilidad.
- Supervisar y dirigir los procesos de seguridad de la información específicos en su área.
- Coordinar con otros departamentos o áreas para garantizar la protección de la información en toda la organización.
- Desarrollar, implementar y mantener la política de seguridad de la información
- Identificar y evaluar los riesgos de seguridad de la información en la organización
- Supervisar la implementación de controles de seguridad de la información
- Capacitar al personal sobre prácticas seguras de manejo de la información
- Realizar auditorías y evaluaciones periódicas
- Tomar decisiones sobre la estructura y contenido de la política de seguridad de la información
- Tomar medidas correctivas para mitigar los riesgos identificados- Realizar cambios en los controles de seguridad según sea necesario para mejorar la eficacia
- Tomar medidas correctivas en caso de incumplimiento de los requisitos de seguridad de la información
- Cumplir con las políticas de seguridad de la información
- Reportar cualquier incidente o violación de seguridad de la información
-Autoridad para reportar incumplimientos en la política de seguridad de la información.
La compañía establece los siguientes objetivos Seguridad de la Información y Ciberseguridad:
1. Gestión de la Seguridad de la Información: Establecer un marco integral para la gestión de la seguridad de la información (SGSI) en ZeroQ, que garantice la protección, confidencialidad, integridad, disponibilidad y autenticidad de la información, alineándose con los objetivos estratégicos de la compañía y las mejores prácticas de la norma ISO27001:2022.
2. Gestión de Riesgos de Seguridad de la Información: Implementar un proceso efectivo para identificar, analizar, evaluar y mitigar los riesgos y oportunidades asociados a la seguridad de la información, asegurando su tratamiento oportuno y su revisión continua conforme a un marco basado en ISO 31000.
3. Concienciación y Cultura de Seguridad: Fortalecer la cultura de seguridad de la información mediante programas continuos de capacitación, concienciación y evaluación del personal en prácticas seguras, fomentando el compromiso y la participación activa de todos los colaboradores.
4. Mejora Continua del SGSI: Establecer y mantener un enfoque de mejora continua que permita revisar, actualizar y optimizar los controles, procesos y procedimientos de seguridad de la información en respuesta a cambios internos, externos o tecnológicos.
5. Requerimientos Legales y Contractuales: Asegurar el cumplimiento de requisitos legales, regulatorios y contractuales aplicables, garantizando que las operaciones de la compañía y sean consistentes con las normativas ISO 27001, ISO 27002 y cualquier regulación específica aplicable del sector.
6. Indicadores y Medición del Desempeño: Desarrollar y monitorear indicadores clave de desempeño (KPIs) para evaluar objetivamente la madurez del SGSI y la efectividad de los controles implementados, permitiendo ajustes proactivos.
7. Gestión de Controles de Seguridad: Implementar y fortalecer controles específicos para garantizar la confidencialidad, integridad y disponibilidad de los activos de información críticos de la compañía, implementando acciones correctivas y preventivas según sea necesario.
8. Gestión de la Seguridad de la Información en la Continuidad del Negocio: Asegurar la disponibilidad y resiliencia de sistemas críticos y datos mediante planes robustos de continuidad del negocio y recuperación ante desastres, probados periódicamente.
9. Gestión de Incidentes de Seguridad: Establecer procedimientos estructurados para la detección, reporte, análisis, respuesta, documentación y aprendizaje continuo de incidentes de seguridad, minimizando su impacto en las operaciones y asegurando una recuperación eficiente.
10. Salvaguarda de la Reputación Corporativa: Proteger la confianza de los clientes, socios y partes interesadas mediante la implementación de controles efectivos que prevengan incidentes de seguridad y refuercen la reputación de la compañía.
11. Seguridad en la Nube y Privacidad de Datos: Implementar controles de seguridad específicos para servicios en la nube y garantizar la privacidad de los datos, conforme alas normativas ISO 27017 y ISO 27018, alineados con los requisitos de protección de datos personales.
12. Excepciones y Desviaciones: Definir, documentar y comunicar procedimientos claros para manejar excepciones a las políticas de seguridad, garantizando su aprobación y registro, y evaluando su impacto en la seguridad de la compañía.
13. Clasificación y Manejo de Activos de Información: Establecer políticas y procedimientos para clasificar, proteger y gestionar los activos de información según su criticidad, sensibilidad y valor para la organización, garantizando controles adecuados de acceso y custodia.
14. Protección del Ciclo de Vida del Desarrollo de Software: Asegurar que los aspectos de seguridad sean integrados en todas las etapas del ciclo de vida del desarrollo de software, desde la planificación y diseño hasta la implementación, pruebas y mantenimiento.
15. Monitoreo y Respuesta a Amenazas: Desarrollar capacidades de monitoreo continuo para detectar, analizar y responder proactivamente a amenazas y vulnerabilidades entiempo real, minimizando riesgos potenciales.
16. Control de Acceso: Establecer políticas, procedimientos e instructivos que refuercen los procesos contenidos en el sistema de seguridad de la información, para que la información cumpla con los niveles de acceso, autorización y responsabilidad correspondientes para su utilización, divulgación, administración, seguimiento y custodia.
○ Se debe implementar un sistema de gestión de seguridad de la información (SGSI) para proteger los activos más críticos de la compañía, minimizando los riesgos y aplicando controles a todos los procesos de TI de la compañía.
○ Se debe Implementar una estructura de gobierno de Seguridad de la Información con roles y responsabilidades específicas, para la aplicación de las políticas, procesos de gestión, controles, reporte de riesgos, evaluaciones de cumplimiento e inteligencia de seguridad.
○ Se deben Implementar las medidas de seguridad necesarias para proteger la confidencialidad, la integridad y la disponibilidad de la información en función de su criticidad y los riesgos existentes.
○ Se deben establecer controles de acceso y autenticación teniendo en cuenta el criterio de menor privilegio para proteger los activos de información críticos, como contraseñas y autenticación de dos factores, para garantizar que sólo las personas autorizadas tengan acceso a la información.
○ Se deben realizar pruebas periódicas de seguridad de la información para identificar posibles vulnerabilidades y riesgos.
○ Se debe implementar un programa de capacitación y concientización para todos los colaboradores de la compañía sobre los riesgos de seguridad de la información y las medidas de seguridad establecidas.
○ Se debe garantizar y mantener la protección de todos los activos de la Compañía. Para ello, deberá elaborarse y mantenerse un inventario completo de los mismos, clasificándolos de acuerdo a su criticidad y sensibilidad.
○ Se deben analizar, evaluar y priorizar los riesgos de seguridad y ciberseguridad, implementando controles específicos para minimizar su impacto en el negocio.
○ Se debe garantizar que todos los sistemas de información de ZeroQ sean monitoreados de forma activa para identificar y mitigar amenazas potenciales al entorno de la información.
○ Se deben aplicar mecanismos de cifrado para asegurar la confidencialidad, integridad, autenticidad y él no repudio de la información sensible almacenada, procesada y en tránsito.
○ Se debe implementar un proceso formal para gestionar los incidentes de seguridad que se producen en la compañía; estos deben incluir, análisis causa raíz, investigación, comunicación, registro, respuesta, resolución, validación de la solución, documentación de lecciones aprendidas y generar todas las evidencias correspondientes de todo el proceso.
○ Se debe llevar a cabo la prevención, detección y erradicación de software malicioso que afecten a los sistemas de información que almacenan o transmiten información de ZeroQ.
○ Se deberá proporcionar mecanismos de eliminación de datos seguros en todos los ambientes definidos en la compañía.
○ Se debe verificar que los proveedores que procesen y almacenen información de la compañía se encuentren alineados con las políticas y mejores prácticas de seguridad.
○ Se deben asegurar durante todo el ciclo de vida de desarrollo de software aspectos relativos a la seguridad de acuerdo con las mejores prácticas de seguridad de la información.
○ Se debe mantener una clara separación de los ambientes de Desarrollo, Prueba y Producción.
○ Se debe implementar un proceso de gestión de vulnerabilidades y parches tanto internas como externas que incluya el descubrimiento de la vulnerabilidad, análisis de riesgos, medidas de mitigación como también una infraestructura que permita un adecuado y continuo monitoreo, seguimiento y mejora.
El incumplimiento de las definiciones establecidas en esta Política, así como de las políticas y normas vinculadas a la seguridad de la Información de ZeroQ, conlleva las sanciones disciplinarias correspondientes, las cuales serán determinadas de acuerdo con la Política de Recursos Humanos y el Marco Normativo de Seguridad de la Información vigente.
La Política de Seguridad de la Información de ZEROQ se difundirá a los colaboradores a través de correo electrónico y estará disponible en la herramienta interna de gestión de recursos humanos, donde se requerirá la firma y aceptación de la misma. Esta política será revisada y difundida encaso de cualquier cambio, al menos una vez al año. Para garantizar su acceso, el texto completo y actualizado estará disponible en la página web de la empresa comercial.zeroq.cl.
La Política de Seguridad de la Información y todo su contenido tendrán vigencia a contar de su fecha de aprobación y puesta en marcha, y tendrá duración indefinida en tanto la Gerencia General de ZEROQ no adopte otra resolución al respecto.
La presente política será evaluada y revisada, al menos una vez al año, cuando el oficial de Seguridad de la Información o el Comité de Ciberseguridad y Riesgos lo requiera, para asegurar su continuidad e idoneidad, considerando cambios externos o internos que puedan afectarla.
Norma ISO 27001:2022 / 27002:2022.
-
Se refiere a cualquier dato o hecho que se pueda almacenar, procesar o comunicar.
En relación con la seguridad de la información, se refiere a cualquier información o elemento relacionado con el tratamiento de ésta (sistemas, soportes, edificios, personas) que tenga valor para la organización.
Garantizar que la información sea accesible sólo a aquellas personas autorizadas a tener acceso a la misma.
Salvaguardar la exactitud y totalidad de la información en su procesamiento, transmisión y almacenamiento.
Asegurar que los usuarios autorizados tengan acceso a la información y los activos asociados cuando éstos sean requeridos.
Fallo o debilidad de un sistema de información que pone en riesgo la seguridad de ésta.
Conjunto de medidas preventivas y reactivas de las organizaciones y sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de datos.
Un Sistema de Gestión de la Seguridad de la Información (SGSI) es un conjunto de políticas de seguridad de la información que siguen la norma ISO/IEC 27001.
Proceso sistemático de recolectar, analizar y utilizar información para hacer seguimiento al progreso de un programa en pos de la consecución de sus objetivos, y para guiar las decisiones de gestión.
07-01-2022
Generación primera versión del documento.
17-03-2023
Actualización de la Política de Seguridad de la Información.
18-03-2023
Actualización de la Política de Seguridad de la Información, agregado de apartados por recomendación la auditoría interna del SGSI.
18-04-2024
Actualización de la Política de Seguridad de la Información, agregado objetivos de Seguridad de la información.
20-12-2024
Actualización de los objetivos de la Política de Seguridad dela Información.
Este documento es propiedad exclusiva de ZEROQ © y su reproducción total o parcial está totalmente prohibida. El uso, copia, reproducción o venta de esta publicación, sólo podrá realizarse con autorización expresa y por escrito del propietario de la publicación. La versión impresa de este documento pierde automáticamente su vigencia.
Código: PO-SI-01
Versión: 1.0
Clasificación: Uso Interno
Fecha vigencia: 01/05/2024
Estado: Aprobado
Garantizar la privacidad y seguridad de la información de identificación personal (PII) de todas las partes interesadas pertinentes, mediante la implementación de medidas adecuadas de recopilación, uso, divulgación y protección de datos, en cumplimiento con las leyes y regulaciones aplicables, con el fin de fomentar la confianza y mantener la integridad y reputación de ZeroQ.
Este documento abarca todas las actividades relacionadas con la recopilación, procesamiento y gestión de Información Identificada Personal (PII) realizadas. Incluye a todos los empleados, contratistas, socios comerciales y terceros que tengan acceso o estén involucrados en el tratamiento de PII en nombre de la empresa. La política se aplica a todos los sistemas de información, procesos y actividades que involucren la PII, independientemente de la ubicación o el medio de procesamiento.
- Establecer políticas y objetivos relacionados con la privacidad y protección de PII.
- Asignar recursos necesarios para implementar y mantener la política de privacidad.
- Revisar periódicamente el cumplimiento de la política de privacidad y PII.
- Aprobar la Política de Privacidad y Protección de PII. seguridad y cumplimiento.
- Desarrollar y mantener políticas, procedimientos y controles relacionados con la protección de PII.
- Supervisar la implementación de medidas de seguridad para proteger la PII.
- Mantenerse actualizado sobre las regulaciones y estándares de privacidad y seguridad de datos.
- Monitorear y evaluar el cumplimiento de las políticas y procedimientos de privacidad y PII.
- Investigar y gestionar incidentes de seguridad relacionados con la PII.
- Asesorar a la Alta Dirección sobre temas de privacidad y seguridad de PII.
- Supervisar la implementación y mantenimiento de sistemas de información seguros y protegidos.
- Garantizar que las soluciones tecnológicas cumplan con los requisitos de privacidad y seguridad de PII.
- Colaborar con el Encargado de Ciberseguridad y Riesgos en la respuesta a incidentes de seguridad relacionados con PII.
- Asignar recursos y presupuesto para iniciativas de seguridad de la información.
- Coordinar con el Encargado de Ciberseguridad y Riesgos en la evaluación de riesgos y la implementación de controles.
- Informar a la Alta Dirección sobre el estado de la seguridad de la información y el cumplimiento de la política de PII.
- La compañía debe establecer y comunicar una política de privacidad y protección de PII específica del tema a todas las partes interesadas pertinentes.
- La compañía debe desarrollar e implementar procedimientos para la preservación de la privacidad y la protección de la PII. Estos procedimientos deben comunicarse a todas las partes interesadas relevantes involucradas en el procesamiento de información de identificación personal.
- El cumplimiento de estos procedimientos y de toda la legislación y los reglamentos pertinentes relacionados con la preservación de la privacidad y la protección de la PII requiere roles, responsabilidades y controles apropiados. A menudo, esto se logra mejor mediante el nombramiento de una persona responsable, como un oficial de privacidad, que debe brindar orientación al personal, los proveedores de servicios y otras partes interesadas sobre sus responsabilidades individuales y los procedimientos específicos que deben seguirse.
- La responsabilidad por el manejo de la PII debe abordarse teniendo en cuenta la legislación y los reglamentos pertinentes.
- Se deben implementar medidas técnicas y organizativas apropiadas para proteger la PII.
- Nombres
- Direcciones postales
- Direcciones de correo electrónico
- Números de teléfono
- Información de pago (por ejemplo, números de tarjetas de crédito)
- Datos de identificación del dispositivo
- Formularios en línea
- Cookies y tecnologías similares
- Interacciones directas (por ejemplo, correos electrónicos, llamadas telefónicas)
- Procesamiento de transacciones y prestación de servicios solicitados.
- Mejora de la experiencia del usuario.
- Envío de comunicaciones de marketing (con consentimiento del usuario).
- Cumplimiento de requisitos legales y reglamentarios.
- Se solicitará el consentimiento explícito del usuario antes de procesar su información personal para fines no especificados en esta política.
- Se compartirá información personal con terceros proveedores de servicios que nos ayudan a operar nuestro negocio, sujeto a acuerdos de confidencialidad.
- Se divulgará información personal cuando sea requerido por ley, regulación o proceso legal.
- Se compartirá información personal con terceros solo con el consentimiento explícito del usuario.
- Implementaremos medidas de seguridad técnicas, administrativas y físicas para proteger la información PII contra accesos no autorizados, uso o divulgación.
- El acceso a la información PII estará restringido solo a empleados autorizados que necesiten dicha información para desempeñar sus funciones laborales.
- Los usuarios tienen derecho a acceder y corregir su información personal.
- Los usuarios tienen derecho a retirar su consentimiento para el procesamiento de su información personal en cualquier momento.
El incumplimiento de las definiciones establecidas en esta Política de Protección de la Información PII, así como de las políticas y normas vinculadas a la seguridad de la Información y Activos de TI de ZeroQ, conlleva las sanciones disciplinarias correspondientes, las cuales serán determinadas de acuerdo con la Norma de Incumplimiento del Marco Normativo de Seguridad de la Información.
Se refiere a cualquier dato o conjunto de datos que pueda utilizarse para identificar directa o indirectamente a una persona física específica. Esto puede incluir nombres, direcciones, números de teléfono, direcciones de correo electrónico, números de seguro social, números de identificación personal, imágenes faciales, huellas dactilares y cualquier otro dato que, solo o en combinación con otros datos, podría permitir la identificación de una persona específica.
El derecho fundamental de los individuos a controlar el acceso y el uso de su información personal.
Conjunto de medidas técnicas y organizativas diseñadas para garantizar la seguridad y la privacidad de los datos personales, incluida la PII, durante su procesamiento, almacenamiento y transmisión.
01-05-2024
Desarrollo inicial de Política de Privacidad y protección de PII(Información de Identificación Personal)
Este documento es de USO INTERNO, propiedad exclusiva de ZEROQ © y su reproducción total o parcial está totalmente prohibida. El uso, copia, reproducción o venta de esta publicación, sólo podrá realizarse con autorización expresa y por escrito del propietario de la publicación. La versión impresa de este documento pierde automáticamente su vigencia.