Política de Seguridad Informática

POLÍTICAS DE SEGURIDAD INFORMÁTICA.

PAYERA Y COMPAÑÍA ABOGADOS LIMITADA.

Políticas de Seguridad Informática.

Payera y Compañía Abogados Limitada.

RUT N° 77.676.977-0

I. DE LAS PERSONAS

Los funcionarios y la seguridad informática:

La responsabilidad por la seguridad de la información no sólo corresponde a las áreas de seguridad informática, sino que es una obligación de cada funcionario y prestador de servicio de Payera y Compañía Abogados Limitada.

1.- Códigos de identificación y claves:

1.1 Los mecanismos de acceso que les sean otorgados a los funcionarios y prestadores de servicios son responsabilidad exclusiva de cada uno de ellos y no deben ser divulgados a ninguna persona u organización, a menos que exista un requerimiento legal o medie un procedimiento de custodia de llaves. De acuerdo con lo anterior, los usuarios no deben obtener las claves u otros mecanismos de acceso de otros usuarios o terceras personas que pueda permitirles un acceso indebido.

1.2 Los usuarios son responsables de todas las actividades llevadas a cabo con su código de usuario y clave personal.

2.- Control de la Información:

2.1 Los usuarios deben informar inmediatamente al área que corresponda toda vulnerabilidad encontrada en los sistemas, aparición de virus o programas sospechosos e intentos de intromisión y no deben distribuir este tipo de información interna o externamente.

2.2 Los usuarios no deben instalar software en sus computadores o en servidores sin las debidas autorizaciones.

2.3 Los usuarios no deben intentar sobrepasar los controles de los sistemas, examinar los computadores y redes de la oficina en busca de archivos de otros sin su autorización o introducir intencionalmente software diseñado para causar daño o impedir el normal funcionamiento de los sistemas.

2.4 Los funcionarios y prestadores de servicios no deben suministrar cualquier información de la entidad a ningún ente externo sin las autorizaciones respectivas.

2.5 Los funcionarios y prestadores de servicios no deben destruir, copiar o distribuir los archivos sin los permisos respectivos.

2.6 Todo funcionario y prestadores de servicios que utilicen los recursos de los sistemas tiene la responsabilidad de velar por la integridad, confidencialidad, disponibilidad y confiabilidad de la información que maneje, especialmente si dicha información ha sido clasificada como crítica.

3.- Otros usos:

2.7 Los computadores, sistemas y otros equipos deben usarse sólo para las actividades propias de la entidad, por lo tanto, los usuarios no deben usar sus equipos para asuntos personales a menos que exista una autorización respectiva que avalúe el riesgo informático de tal labor.

II. DATOS

Los funcionarios y prestadores de servicios son responsables de la información que manejan y deberán seguir los siguientes lineamientos para protegerla y evitar pérdidas, accesos no autorizados y utilización indebida de la misma.

1. Clasificación de la Información:

1.1 Todos los datos de propiedad de Payera y Compañía Abogados Limitada y de sus CLIENTES, se deben clasificar dentro de las siguientes categorías para los datos sensibles: SECRETO, CONFIDENCIAL, PRIVADO, y para los datos no sensibles la categoría es PÚBLICO. Toda información secreta, confidencial y privada debe etiquetarse según las normas de Payera y Compañía Abogados Limitada, y todos los datos que se divulguen por cualquier medio será sancionada según la normativa legal vigente.

2. Almacenamiento de la Información:

2.1 Almacenamiento Masivo y Respaldo de Información

2.1.1 Toda información secreta debe estar encriptada, ya sea que se encuentre al interior de Payera y Compañía Abogados Limitada o externamente, en cualquier medio de almacenamiento, transporte o transmisión.

2.1.2 Toda información sensible debe tener un proceso periódico de respaldo, tener asignado un período de retención determinado, la fecha de la última modificación y la fecha en que deja de ser sensible o se degrada. Sin embargo, la información no se debe guardar indefinidamente por lo cual se debe determinar un período máximo de retención para el caso en que no se haya especificado este tiempo.

2.1.3 La información clasificada como sensible (secreta, confidencial o privada) debe tener un respaldo, además debe tener copias recientes completas en sitio externo a Payera y Compañía Abogados Limitada, en un lugar lejano de donde reside la información origen.

2.1.4 Todos los medios físicos donde la información de valor, sensitiva y crítica sea almacenada por períodos mayores a seis meses (6), no deben estar sujetos a una rápida degradación o deterioro.

2.1.5 Toda la información contable, de impuestos y de tipo legal debe ser conservada de acuerdo con las normas y leyes vigentes.

2.2 Almacenamiento en forma impresa o documentos en papel.

2.2.1 La remisión de información sensible tanto por correo interno como externo debe cumplir con los procedimientos establecidos de manera que se realice en forma segura.

2.2.2 Para todos los mensajes remitidos en formato libre de texto que contengan información sensible para el negocio debe numerarse cada línea y los documentos oficiales de la entidad que se realicen a mano deben ser escritos con tinta.

2.2.3 Todas las copias de documentos secretos deben ser numeradas individualmente con un número secuencial para que las personas responsables puedan localizar rápidamente los documentos e identificar algún faltante de la misma.

3. Administración de la Información:

3.1 Cualquier tipo de información interna de la entidad o de sus clientes no debe ser vendida, transferida o intercambiada con terceros para ningún propósito diferente al del negocio principal, esto es la cobranza judicial y se debe cumplir con los procedimientos de autorización internos para los casos en que se requiera.

3.2 El acceso a la información secreta se debe otorgar únicamente a personas específicas.

3.3 Toda la información de la organización debe contemplar las características de Integridad, Confidencialidad, Disponibilidad, Auditabilidad, Efectividad, Eficiencia, Cumplimiento y Confiabilidad.

3.4 Todo software que comprometa la seguridad del sistema se custodiará y administrará únicamente por personal autorizado.

3.5 La realización de copias adicionales de información sensible debe cumplir con los procedimientos de seguridad establecidos para tal fin.

3.6 La información de Payera y Compañía Abogados Limitada o de sus CLIENTES no debe ser divulgada sin contar con los permisos correspondientes, además, ningún empleado, prestador de servicios, contratista o consultor debe tomarla cuando se retire de Payera y Compañía Abogados Limitada.

4. Validaciones, controles y manejo de errores:

4.1 Para reducir la probabilidad de ingreso erróneo de datos de alta sensibilidad, todos los procedimientos de ingreso de información deben contener controles de validación.

4.2 Se deben tener procedimientos de control y validaciones para las transacciones rechazadas o pendientes de procesar, además de tiempos determinados para dar la solución y tomar las medidas correctivas.

4.3 Todas las transacciones que ingresan a un sistema de producción computarizado, deben ser sujetos a un chequeo razonable, chequeos de edición y/o validaciones de control.

4.4 Todos los errores cometidos por los funcionarios y prestadores de servicios de Payera y Compañía Abogados Limitada y que son detectados por los usuarios deben cumplir con un proceso de investigación de acuerdo con los procedimientos y tiempos establecidos.

III. POLÍTICA DE HARDWARE

La administración, mantenimiento, modernización y adquisición de equipos computacionales y de telecomunicaciones debe adoptar los siguientes criterios para proteger la integridad técnica de la institución.

1. Cambios al Hardware:

1.1 Los equipos computacionales de Payera y Compañía Abogados Limitada no deben ser alterados ni mejorados (cambios de procesador, memoria o tarjetas) sin el consentimiento, evaluación técnica y autorización del área responsable (Soporte).

1.2 Los funcionarios deben reportar a los entes pertinentes de Payera y Compañía Abogados Limitada sobre daños y pérdida del equipo que tengan a su cuidado y sea propiedad de Payera y Compañía Abogados Limitada. La intervención directa para reparar el equipo debe estar expresamente prohibida. Payera y Compañía Abogados Limitada debe proporcionar personal interno o externo para la solución del problema reportado.

1.3 Todos los equipos de la entidad deben estar relacionados en un inventario que incluya la información de sus características, configuración y ubicación.

1.4 Todo el hardware que adquiera la Payera y Compañía Abogados Limitada debe conseguirse a través de canales de compra estándares.

2. Acceso Físico y Lógico:

2.1 Todos los computadores multiusuario y los equipos de comunicaciones deben estar ubicados en lugares asegurados para prevenir alteraciones y usos no autorizados.

3. Respaldo y Continuidad del Negocio:

3.1 A todo equipo de cómputo, comunicaciones y demás equipos de soporte debe realizársele un mantenimiento preventivo y periódico, de tal forma que el riesgo a fallas se mantenga en una probabilidad de ocurrencia baja.

3.2 Los planes de contingencia y recuperación de equipos deben ser probados regularmente con el fin de asegurar que el plan sea relevante, efectivo, práctico y factible de realizar. Cada prueba debe documentarse y sus resultados y las acciones de corrección deben comunicarse a la alta dirección.

4. Otros:

4.1 Los equipos portátiles de computación que contengan información sensible deben utilizar software de encriptación para proteger la información.

4.2 Todo equipo portátil debe tener Declaración de Responsabilidad, la cual incluya instrucciones de manejo de información y acato de normas internas y de seguridad para el caso de robo o pérdida.

IV. POLÍTICA DE INSTALACIONES FÍSICAS

Protección contra desastres:

Dado que cualquier tipo de desastre natural o accidental ocasionado por el hombre puede afectar el nivel de servicio y la imagen de Payera y Compañía Abogados Limitada, se deba prever que los equipos de procesamiento y comunicaciones se encuentren localizados en áreas aseguradas y debidamente protegidas contra inundaciones, robos, interferencias electromagnéticas, fuego, humo y demás amenazas que puedan interferir con el buen uso de los equipos y la continuidad del servicio.

V. POLÍTICA DE ADMINISTRACIÓN DE SEGURIDAD INFORMÁTICA

1.Generalidades:

1.1 El área de Seguridad Informática debe definir, implementar, controlar y mantener las políticas, normas, estándares, procedimientos, funciones y responsabilidades necesarias para preservar y proteger la confidencialidad, disponibilidad e integridad de la información de Payera y Compañía Abogados Limitada donde ésta resida (aplicaciones, bases de datos, sistemas operativos, redes, backups y medios).

1.2 El área de Seguridad Informática es la encargada de establecer, mantener y administrar una arquitectura de seguridad para Payera y Compañía Abogados Limitada y facilitar la incorporación de prácticas de seguridad de la información en todas las dependencias.

2. Funciones de Control:

2.1 Establecer e implementar un plan de Seguridad que permita controlar el entorno lógico y físico de la información estratégica de Payera y Compañía Abogados Limitada teniendo en cuenta criterios de confidencialidad, integridad, auditabilidad, disponibilidad, autenticidad de la información.

2.2 Participar activamente en los proyectos informáticos de la entidad para proveerlos de las seguridades adecuadas, gerenciando los de Seguridad Informática.

2.3 El Área de Seguridad Informática es responsable por la revisión continua de las Políticas de Seguridad Informática por lo menos una vez al año.