[chatbot]
saltar al contenido
comienzo » POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y PROTECCIÓN DE DATOS

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y PROTECCIÓN DE DATOS

La Política de Seguridad de la Información y Protección de Datos de GRUPO I CAN se aplica a todos los empleados, prestadores de servicios (autónomos), proveedores, sistemas y servicios, incluidos los trabajos realizados externamente o por terceros, que utilicen el entorno de procesamiento de la Empresa, o accedan a información perteneciente a GRUPO I CAN.

Todos y cada uno de los usuarios de los recursos informáticos de la Empresa son responsables de resguardar la seguridad e integridad de la información y equipos de cómputo, ya sea en las instalaciones de GRUPO I CAN, en el servicio externo o en el trabajo a domicilio.

Una violación de esta política de seguridad es cualquier acto que:

  • Exponer a la Compañía a pérdidas monetarias reales o potenciales a través del compromiso de la seguridad de los datos o la información o la pérdida de equipos.
  • Involucrar la divulgación de datos confidenciales, derechos de autor, intercambios, patentes o uso no autorizado de datos corporativos.
  • Implica el uso de datos para fines ilegales, que pueden incluir la violación de cualquier ley, regulación o cualquier otro dispositivo gubernamental.

Objeto de la Política de Seguridad de la Información:

Asegurar la disponibilidad, integridad, confidencialidad, legalidad, autenticidad y auditabilidad de la información necesaria para llevar a cabo los negocios de GRUPO I CAN.

Buscamos como referencia la ISO 27001 y los criterios de excelencia de la FPNQ.

Es deber de todos dentro del GRUPO YO PUEDO:

Considerar la información como un activo de la organización, uno de los recursos críticos para el desarrollo del negocio, que es de gran valor para GRUPO I CAN y siempre debe ser tratada con profesionalidad.

01 - CLASIFICACIÓN DE LA INFORMACIÓN

Es responsabilidad de cada área utilizar los criterios relacionados con el nivel de confidencialidad de la información (informes y/o medios) generados por su área de acuerdo a la siguiente tabla:

1 - Público
2 - Interno
3 - Confidencial
4 - Restringido

Conceptos:

Información Pública: Es toda información a la que pueden acceder los usuarios de la organización, clientes, proveedores, prestadores de servicios y el público en general.
Información Interna: Es toda información a la que solo pueden acceder los empleados de la organización. Es información que tiene un grado de confidencialidad que puede comprometer la imagen de la organización.
Información Confidencial: Es toda información a la que pueden acceder los usuarios de la organización y los socios de la organización. La divulgación no autorizada de esta información puede tener un impacto (financiero, de imagen u operativo) en el negocio de la organización o del socio.

Información Restringida: Es toda información a la que sólo pueden acceder los usuarios de la organización indicada explícitamente por el nombre o área a la que pertenece. La divulgación no autorizada de esta información puede causar daños graves al negocio y/o comprometer la estrategia comercial de la organización.

Todo Gerente/Supervisor debe orientar a su equipo a no circular información y/o medios considerados confidenciales y/o restringidos, así como a no dejar reportes en las impresoras, y medios en lugares de fácil acceso, teniendo siempre presente el “limpio concepto de mesa”, es decir, al terminar el trabajo, no dejen informes y/o medios confidenciales y/o restringidos sobre sus escritorios.

02 - DATOS PERSONALES DE LOS EMPLEADOS

GRUPO I CAN se compromete a no acumular o mantener intencionalmente Datos Personales de los Empleados que no sean los relevantes para la realización de sus negocios.

Todos los Datos Personales de los Empleados se considerarán datos confidenciales. Los Datos Personales de los Empleados bajo la responsabilidad de GRUPO I CAN no serán utilizados para fines distintos a aquellos para los que fueron recabados.

Los Datos Personales de los empleados no serán transferidos a terceros, excepto cuando así lo requiera nuestro negocio, y siempre que dichos terceros mantengan la confidencialidad de dichos datos, incluyendo, en este caso, la lista de direcciones electrónicas (correos electrónicos) utilizadas por los empleados del GRUPO. YO PUEDO.

03 - PROGRAMAS ILEGALES

É terminantemente proibido o uso de programas ilegais (PIRATAS) no GRUPO I CAN. Os usuários não podem, em hipótese alguma, instalar este tipo de “software” (programa) nos equipamentos da Companhia.

Periódicamente, el Sector de Tecnologías de la Información verificará los datos en los servidores y/o en los equipos de los usuarios, con el fin de garantizar la correcta aplicación de esta directriz.

04 - PERMISOS Y CONTRASEÑAS

Quando da necessidade de cadastramento de um novo usuário para utilização da “rede”, sistemas ou equipamentos de informática da Companhia, o setor de origem do novo usuário deverá comunicar esta necessidade ao setor de Informática, por meio de memorando ou e-mail, informando a que tipo de rotinas e programas o novo usuário terá direito de acesso e quais serão restritos. A Informática fará o cadastramento e informará ao novo usuário qual será a sua primeira senha, a qual deverá, obrigatoriamente, ser alterada a cada 45 (quarenta e cinco) dias.

Por seguridad, Informática recomienda que las contraseñas tengan siempre un mínimo de 8 (ocho) caracteres alfanuméricos.

Todos los usuarios responsables de la aprobación electrónica de documentos (ejemplo: órdenes de compra, solicitudes, poderes, etc.).

Los perfiles de acceso a la base de datos se definen en el 08 y respecto al uso del correo electrónico en el ítem 13.

05 - COMPARTIR CARPETAS Y DATOS

Los usuarios están obligados a revisar periódicamente todos los recursos compartidos existentes en sus estaciones de trabajo y asegurarse de que los datos considerados confidenciales y/o restringidos no estén disponibles para el acceso no autorizado.

06 - RESPALDO DEL SISTEMA INTEGRADO Y SERVIDORES DE RED

Las copias de seguridad del sistema integrado (Plataforma Cansystem) y de los servidores de la red son responsabilidad de Informática y deben realizarse diariamente.

Los datos de la Plataforma Cansystem se almacenan en un servidor contratado que también realiza una copia de seguridad mensual de los datos.

07 - PROPIEDAD INTELECTUAL

GRUPO I CAN es titular de todos los diseños, creaciones o procedimientos desarrollados por cualquier empleado en el transcurso de su relación laboral o de prestación de servicios por cuenta propia a GRUPO I CAN.

08 - USO DEL ENTORNO WEB (Internet)

Se autorizará el acceso a Internet a los usuarios que lo necesiten para el desempeño de sus actividades profesionales en GRUPO I CAN. No se debe acceder a sitios que no contengan información que sume conocimiento profesional y/o empresarial.

El uso de Internet será monitoreado por el Sector de Tecnologías de la Información, incluso a través de “logs” (archivos generados en el servidor) que informan qué usuario está conectado, el tiempo que usó Internet y a qué página accedió.

La definición de los empleados que podrán utilizar (navegar) Internet es responsabilidad de la Gerencia de la Empresa, con base en la recomendación del Supervisor de TI.
No está permitido instalar programas de Internet en las microcomputadoras de GRUPO I CAN, sin consentimiento expreso del sector TI, excepto programas ofrecidos por organismos públicos federales, estatales y/o municipales.

Los usuarios deben asegurarse de no realizar acciones que puedan infringir los derechos de autor, marcas comerciales, licencias de uso o patentes de terceros.

En la navegación por Internet, visualización, descarga, copia o cualquier otro tipo de acceso a los sitios web está prohibido:

De las estaciones de radio;
Contenido pornográfico o relacionado con el sexo;
Que aboguen por actividades ilícitas;
Que menosprecien, menosprecien o inciten a prejuzgar a determinadas clases;
Que promuevan la participación en salas de discusión sobre asuntos no relacionados con el negocio de GRUPO I CAN;
Que promuevan la discusión pública sobre los negocios de A GRUPO I CAN, salvo autorización de la Junta Directiva;
Que permitan la distribución de información de nivel “Confidencial”.
Que permitan la transferencia (descargas) de archivos y/o programas ilegales.

En los contratos con proveedores de servicios por cuenta ajena o por cuenta propia, se preverá el tema del uso de internet que no sea otorgado por el Grupo I CAN.

09 – USO DO CORREIO ELETRÔNICO – (“e-mail”)

El correo electrónico facilitado por GRUPO I CAN es un instrumento de comunicación interna y externa para el desarrollo de las actividades de GRUPO I CAN.

Los mensajes deben estar escritos en un lenguaje profesional, no deben comprometer la imagen de GRUPO I CAN, no pueden ser contrarios a la legislación vigente ni a los principios éticos de GRUPO I CAN.

El uso del correo electrónico es personal y el usuario es responsable de todos los mensajes enviados a su dirección.

Queda terminantemente prohibido enviar mensajes que:

Contener declaraciones difamatorias y lenguaje ofensivo;
Puede causar daño a otras personas;
Sea hostil y poco servicial;

Estén relacionados con “cadenas”, contenido pornográfico o equivalente;
Puede dañar la imagen de la organización;
Puede dañar la imagen de otras empresas;
Ser incompatible con las políticas de GRUPO I CAN.

Para incluir un nuevo usuario en el correo electrónico, la Gerencia respectiva deberá realizar una solicitud formal al Sector de Tecnologías de la Información, quien gestionará la inclusión del mismo.

A utilização do “e-mail” deve ser criteriosa, evitando que o sistema fique congestionado.
En caso de congestión en el sistema de correo electrónico, el Sector de Tecnologías de la Información auditará el servidor de correo y/o las estaciones de trabajo de los usuarios, con el fin de identificar la causa que ocasionó la misma.

No se permitirá el uso de correos electrónicos gratuitos (publicados en algunos sitios web) en las computadoras de GRUPO I CAN.

El Sector de Tecnologías de la Información podrá, con el fin de evitar la entrada de virus en GRUPO I CAN, bloquear la recepción de correos electrónicos de sitios web gratuitos.

El Sector TI es el responsable del desempeño del proveedor de correo electrónico corporativo.

10 - NECESIDADES DE NUEVOS SISTEMAS, APLICACIONES Y/O EQUIPOS

El Sector TI es responsable de aplicar la Política de GRUPO I CAN en relación con la definición de compra y reposición de “software” y “hardware”, correo electrónico corporativo, e-mail marketing, empresas de almacenamiento de datos.

Qualquer necessidade de novos programas (“softwares”) ou de novos equipamentos de informática (hardware), etc deverá ser encaminhada proposta para a Diretoria do Grupo I CAN PELO responsável pelo Setor de Informática.

Não é permitido a compra ou o desenvolvimento de “softwares” ou “hardwares” diretamente pelos usuários.

11 - USO DE COMPUTADORAS PERSONALES (LAP TOP) PROPIEDAD DE GRUPO YO PUEDO

Los usuarios que tengan derecho a utilizar ordenadores personales (laptop o notebook), o cualquier otro equipo de cómputo propiedad de GRUPO I CAN, deben ser conscientes de que:

Los recursos de tecnología de la información, puestos a disposición de los usuarios, tienen como objetivo
realización de actividades profesionales.
La protección del recurso informático para uso individual es responsabilidad del usuario.
Es responsabilidad de cada usuario asegurar la integridad del equipo, la confidencialidad y disponibilidad de la información contenida en el mismo.
El usuario no debe cambiar la configuración del equipo recibido.

Algunas precauciones a tener en cuenta:

Fuera del trabajo:

Mantenga siempre el equipo con usted;
Atención en hall de hoteles, aeropuertos, aviones, taxi y etc.
Al transportar el equipo en un automóvil, utilice siempre la cajuela o un lugar no visible;
Tenga cuidado al transportar el equipo en la calle.

en caso de robo

Registrar el hecho en una comisaría;
Informar a su superior inmediato y al Sector de Tecnologías de la Información;
Enviar copia del incidente al Sector de Tecnologías de la Información.

El paquete Office Profesional fue adquirido por Grupo I CAN e instalado en notebooks. Este equipo se considera un activo (bien patrimonial).

Al recibir el equipo, el trabajador por cuenta ajena o por cuenta propia deberá firmar un Término de Custodia.

12 - RESPONSABILIDADES DE LOS GERENTES/SUPERVISORES

Los gerentes y supervisores son responsables de definir los derechos de acceso de sus empleados a los sistemas e información de la Compañía, y les corresponde verificar que estén accediendo exactamente a las rutinas compatibles con sus respectivas funciones, usando y manteniendo adecuadamente los equipos y manteniendo respaldo. copias de sus archivos individuales como se establece en esta política.

El Sector de Tecnologías de la Información realizará auditorías periódicas del acceso a la información de los usuarios, verificando:

A qué tipo de información puede acceder el usuario;
Quién está autorizado para acceder a determinada rutina y/o información;
Quién accedió a cierta rutina e información;
Quién autorizó al usuario a tener permiso de acceso a determinada rutina o información;
A qué información o rutina accedió un usuario en particular;
Cualquiera que intentara acceder a cualquier rutina o información sin estar autorizado.

13 - SISTEMA DE TELECOMUNICACIONES

El control de uso, otorgamiento de permisos y aplicación de restricciones en relación con las extensiones telefónicas de GRUPO I CAN, así como el uso de las extensiones virtuales instaladas en las computadoras, es responsabilidad del sector TI, de acuerdo con las definiciones de la Junta de GRUPO YO PUEDO.

El suministro de teléfonos celulares y chips estará sujeto a la aprobación de la Junta.

Al recibir el equipo o chip, el empleado o proveedor de servicios independiente debe firmar un Término de Custodia.

Al final de cada mes, para efectos de control, se enviarán reportes informando a cada gerencia cuánto se gastó por sucursal o por chip.

14 - USO DE ANTIVIRUS

Todos los archivos multimedia provenientes de una entidad externa a GRUPO I CAN deben ser escaneados por un programa antivirus.

Todo archivo recibido/obtenido a través del entorno de Internet debe ser escaneado por un programa antivirus. Todas las estaciones de trabajo deben tener un antivirus instalado. La actualización del antivirus será automática, programada por el departamento de TI, a través de la red.

El usuario no podrá, en ningún caso, deshabilitar el programa antivirus instalado en los puestos de trabajo.

15 - PENALIZACIONES

El incumplimiento de esta Política de Seguridad de la Información implica una falta grave y puede dar lugar a las siguientes acciones: amonestación, suspensión, terminación del empleo, otras medidas disciplinarias y/o procesos civiles o penales.

Salir de la versión móvil