MANUAL DE POLÍTICAS DE SEGURIDAD ATOM CHAT S.A.S.
El presente manual de políticas aplica a empleados, contratistas, terceros, usuarios y visitantes de ATOM CHAT S.A.S. que por cualquier razón tengan cualquier tipo de interacción con los activos de información, bases de datos, infraestructura digital o se relacionen de cualquier forma con nuestras plataformas digitales.
1. OBJETIVO:Establecer lineamientos relacionados con la seguridad de la información abordando temáticas específicas, como complemento a lo definido por el equipo de seguridad de la información de la Compañía con el fin de preservar la confidencialidad, integridad y disponibilidad de los activos de ATOM CHAT S.A.S. (En adelante la Compañía, la cual incluye a todas sus filiales y/o casa matriz).
2. DEFINICIONES:
Para la correcta interpretación de este Manual, se deben tener en cuenta las siguientes definiciones:
- Activo de Información: se refiere a cualquier información o elemento relacionado con el tratamiento de esta (sistemas, documentos, soportes, personas) que tenga valor para la Compañía.
- Confidencialidad: Propiedad de la información que la hace no disponible o que no sea divulgada a individuos, entidades o procesos no autorizados.
- Integridad: Propiedad de la información que busca preservar su exactitud y completitud.
- Disponibilidad: Propiedad de la información de ser accesible y utilizable a demanda por una parte interesada.
- Circulación restringida: Se refiere al tratamiento de información que le permite circular (transitar de un lado a otro) de manera controlada sin que la información se convierta en un archivo de libre acceso y consulta.
- Controles: Medida que permite reducir o mitigar un riesgo.
3. LINEAMIENTOS BÁSICOS:
La Compañía establece a continuación, los siguientes lineamientos básicos de seguridad de la información, los cuales deberán ser cumplidos por todos los empleados, contratistas, terceros, usuarios y visitantes. Los lineamientos de seguridad están clasificados en diferentes temáticas, teniendo en cuenta el contexto interno y externo de la Compañía:
A. HR (reclutamiento y gestión):- Durante el proceso de selección de personal se realizará verificación de antecedentes penales de los candidatos sin importar el cargo o posición al cual se postulen.
- Todo el personal que labore en la Compañía deberá firmar un acuerdo de confidencialidad y un documento de conocimiento y aceptación de las políticas definidas para la seguridad de la información y buen uso de los activos de información.
- Todo el personal que trabaje en la Compañía o preste algún tipo de servicio que pueda tener contacto con los activos de información recibirá una jornada de formación sobre la legislación aplicable al tratamiento de datos personales y ciberseguridad. El departamento de recursos humanos se encargará de indicar en la ficha técnica de cada cargo, las personas que entraran en contacto con la información personal de terceros, a fin de que estas personas reciban un entrenamiento adicional.
- La Compañía mantendrá una política de escritorio limpio. En el entorno digital y de contexto de trabajo de la Compañía esto quiere decir que todo computador o equipo digital deberá contar con clave, los archivos deben estar todos almacenados y clasificados, las bases de datos tendrán accesos restringidos y no se permitirá hacer copias de información sin justificación pertinente. El equipo de HR tiene a cargo la capacitación en este sentido.
- Cada vez que los empleados se desvinculen de la Compañía se debe hacer un inventario de la información almacenada en los dispositivos, número de copias de información e integridad de los dispositivos.
- Para la protección de los activos de información, se establecerán procedimientos y políticas para el control de acceso a la red, sistemas de información e infraestructura física (Instalaciones si es del caso), con el fin de mitigar los riesgos asociados al acceso no autorizado a la información.
- Todos los usuarios deberán asumir la responsabilidad sobre la información física o digital que accedan y procesan dando un uso adecuado, con el fin de salvaguardar la confidencialidad, integridad y disponibilidad de la información.
- Para el efecto todo acceso a los sistemas de información de la Compañía debe contar con una clave segura, confidencial y con adecuados estándares de seguridad dispuestos por la Compañía.
- La Compañía implementará herramientas de cifrado, con el fin de proteger la confidencialidad e integridad de la información cuando lo considere necesario. Igualmente determinará los equipos a los cuales se les deberán instalar controles criptográficos adicionales cuando así se requiera.
- Con el fin de asegurar las operaciones realizadas en los recursos tecnológicos que soportan la operación del negocio de la Compañía, esta última planea, gestiona, respalda y monitorea la infraestructura tecnológica con el fin de detectar actividades inusuales, sospechosas.
- Se deberá realizar mantenimiento preventivo a todos los equipos, software y sistemas al menos una vez al año.
- Los Activos de información no deben circular sin control por parte de la Compañía. Se deberá tener registro de cada base de datos, donde se encuentra, quien tiene acceso a ella, su finalidad y vigencia.
- Todo sitio web que se visite debe contar con certificado de autenticación seguro SSL - Secure Sockets Layer- (https://) para verificar que la información se comunica de forma segura.
- No se podrá publicar o circular información de la Compañía o sus clientes, aún cuando esta no esté rotulada como confidencial. Su divulgación deberá estar autorizada por el superior jerárquico.
- El uso del computador personal para ejecutar las actividades de la Compañía no está permitido.
- El uso de los dispositivos de la Compañía por parte de terceros ajenos a ella no está permitido.
- Está prohibida la descarga de programas, fotos, música, videos y cualquier otro formato de información conocida o por conocerse que sea ajena a la Compañía en los dispositivos y sistemas de la Compañía.
- Usar las claves de acceso de un compañero de trabajo.
- La Compañía, a través del equipo de compras y tecnología, velará que los sistemas de información que sean implementados en la Compañía cumplan con los requerimientos de seguridad y buenas prácticas establecidas por la Superintendencia de industria y comercio en todo lo relacionado con tratamiento de datos personales, de igual forma establecerán un estándar de acuerdo con la industria, los riesgos inminentes y las recomendaciones que sean brindadas por aliados comerciales.
- Todos los equipos de trabajo de la Compañía deberán informar al área de compras y tecnología sobre sus proyectos de adquisición de sistemas de información o software, con el fin de brindar las observaciones correspondientes y revisar los aspectos técnicos necesarios para su desarrollo e implementación.
- Antes de iniciar la ejecución de contratos que impliquen el acceso a la infraestructura tecnológica de la Compañía, deberán suscribirse los respectivos acuerdos de confidencialidad que incluyan protocolos de seguridad de la información para la etapa contractual y post contractual.
El internet es un recurso valioso y necesario para el desarrollo del objeto social de la Compañía, por lo tanto, se definen los siguientes lineamientos para su uso adecuado, lo cual constituye un estándar mínimo de conducta:
- Mientras las personas se encuentren usando los dispositivos electrónicos de la Compañía y se tengan abiertos sus sistemas de información, el uso del internet está limitado a la ejecución de las labores encomendadas.
- Estará limitado el acceso a portales de: Juegos, pornografía, sustancias psicoactivas, terrorismo, segregación racial, hacking, malware, software gratuito o ilegal y/o cualquier otra página que vaya en contra de las leyes vigentes en Colombia, portales de nube e intercambio de información masiva (exceptuando a la nube corporativa).
- La Compañía podrá verificar los logs o registros de navegación cuando así se solicite o se requiera para las investigaciones o requerimientos que puedan generarse.
- Los buzones de correo asignados a los colaboradores de la Compañía, pertenecen a la Compañía, por lo tanto, su contenido también es propiedad de la Compañía.
- El correo electrónico sólo deberá emplearse para uso corporativo y el desempeño de las funciones correspondientes a cada cargo.
- La Compañía podrá verificar el contenido de los buzones de los correos electrónicos y teléfonos corporativos, tabletas, o cualquier otro dispositivo en los casos que se requiera acudir a información para continuar con la prestación del servicio o para investigaciones específicas.
- Se debe evitar a toda costa caer en prácticas de phishing o similares. Para el efecto, todos los colaboradores deben tener en cuenta que si desconocen al remitente de un correo electrónico o el dominio no coincide con la empresa o servicio que dice ser, si el asunto contiene un enunciado alarmista, si la redacción es extraña o tiene mala ortografía, carece de datos personalizados, solicita datos personales o la descarga o acceso a un link deben abstenerse de continuar visualizando dicho contenido y deben contactar al equipo de seguridad informática.
Los contratos con clientes deberán contener:
- Una mención clara de la existencia de transferencia o transmisión de información de modo que la Compañía pueda verificar su responsabilidad.
- Medios de comunicación eficientes.
- Los Controles que deberán emplearse para las actividades de transferencia o transmisión de información y la Disponibilidad que aplicará a la información compartida.
- Los alcances del tratamiento de datos personales, es decir, respecto a la recolección, el uso, el almacenamiento, la circulación y/o supresión de los mismos.
- Las actividades que la Compañía realizará por cuenta del cliente.
Desde el equipo de HR se designará a un equipo de trabajo de investigación y vigilancia legislativa, el cual definirá un plan de formación y actualización continua, donde se planificará ANUALMENTE la manera en que se comunicarán recomendaciones o tips de seguridad de la información por diferentes medios a todos los compañeros de trabajo, con el fin de socializar las políticas corporativas en seguridad de la información o las buenas prácticas en seguridad que se desean socializar para aumentar las capacidades de todas las áreas y procesos de la Compañía.
Este equipo de trabajo velará por el cumplimiento de la legislación vigente respecto a los requisitos establecidos en la seguridad y privacidad de la información, derechos de propiedad intelectual y protección de datos personales.
De igual forma, este equipo de trabajo tendrá la obligación de seguir de cerca todo cambio en las políticas de privacidad de los aliados comerciales que se involucran en la prestación de los servicios de la Compañía, con el fin de verificar que estas sean acordes a la jurisdicción donde se encuentran sus clientes.
5. INCIDENTES DE SEGURIDAD:
Todos los colaboradores deberán reportar cualquier incidente, vulnerabilidad o riesgo potencial a los Activos de Información sin excepción alguna.
El colaborador que tenga conocimiento del incidente deberá cooperar con el encargado de la investigación y se deberá verificar si este incidente tiene la capacidad de afectar o interesar de cualquier modo a un proveedor y/o cliente.
Quienes estén involucrados en la investigación, deben verificar si el incidente debe reportarse ante las autoridades. En todo caso se notificará al proveedor o cliente a quien este incidente pueda interesar o afectar de cualquier modo, aún cuando el daño no se haya consumado y sólo haya sido potencial. En los contratos de prestación de servicios corporativos siempre se deberán establecer vías de comunicación rápidas y efectivas para estos casos.
La Compañía debe contar con un protocolo de incidentes de seguridad. El protocolo de incidentes de seguridad se basará en lo siguiente:
- Contención del incidente y protección de los activos. Se deberán activar todas las rutas de protección y sellamiento de la infraestructura tecnológica.
- Se evaluarán los riesgos e impactos asociados con el incidente de seguridad.
- Se deberán identificar los daños que se pudieron causar a los titulares de la información y los terceros interesados (clientes y proveedores)
- Se notificarán a las autoridades cuando sea necesario de acuerdo a la legislación.
- Se comunicará a los Titulares de la información la ocurrencia del evento, en asocio con los demás involucrados. Este paso es fundamental, ya que permite que los directos afectados puedan emplear medidas útiles frente a las consecuencias de un incidente de seguridad.
- Se realizará un plan de mejora.
Después de la investigación del incidente de seguridad, será necesario responder a las siguientes preguntas:
¿Cuáles fueron los protocolos o medidas que no tuvieron el efecto esperado?
¿Cuáles fueron los activos vulnerables?
¿Qué acciones pudieron haberse adoptado?¿por qué no se adoptaron?
¿A qué riesgos estuvieron expuestos los titulares de la información? Son ejemplos de riesgos: Riesgo para la integridad personal de las personas, extorsión económica, suplantación de identidad, perfilamiento con fines ilícitos, pérdida de oportunidades, discriminación, humillación, daño a la reputación.
6. ACTUALIZACIÓN CONTINUA:Las políticas aquí definidas se harán efectivas a partir de su aprobación por el Gerente general de la Compañía y revisadas por lo menos anualmente, con el fin de asegurar su vigencia.
7. OBLIGATORIEDAD Y DESCONOCIMIENTO:El incumplimiento de esta política es una violación grave de los deberes de todos los colaboradores y puede generar la terminación de la relación contractual, además de la denuncia penal ante las entidades correspondientes cuando esta constituya delito. Al respecto se tiene que:
Código Penal Colombiano - Artículo 269F. Violación de datos personales
El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.
ATOM CHAT
Última actualización 02/04/2023