Política de seguridad de la información


1. Objetivo

El objetivo de esta política es proporcionar una visión general de los requisitos de seguridad de la aplicación huki, así como describir los controles en el lugar o los previstos para cumplir esos requisitos. Esta política pretende también delinear las responsabilidades y el comportamiento esperados de todas las personas que realizan tratamiento de información con el fin de mantener un entorno controlado, minimizando los riesgos hasta niveles aceptables.

2.  Principios

I.   La app huki protegerá la información creada, procesada, transmitida o resguardada a partir de sus procesos, con el fin de minimizar riesgos operativos o legales debido a un uso inadecuado de esta. Para ello es fundamental la aplicación de controles de acuerdo con la clasificación de la información de su propiedad o en custodia.

II.   Las responsabilidades frente a la seguridad de la información serán definidas, compartidas, publicadas y aceptadas por cada uno de los colaboradores y terceros que hagan dicho tratamiento.

III.   La app huki implementará control de acceso a la información, sistemas y recursos de red.

IV.   La app huki garantizará una mejora efectiva de su modelo de seguridad, a través de una adecuada gestión de los incidentes de seguridad y las debilidades asociadas con los sistemas de información.

3. Alcances

La política de seguridad de la información será de acatamiento obligatorio para todas las personas que gestionen información para la App huki. El incumplimiento a la política de Seguridad de la Información traerá consigo, las consecuencias legales que apliquen a la normativa interna de la organización, así como lo establecido en las normas de carácter nacional, como lo es la ley 8968 Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales, normas complementarias y conexas.    

En caso de incumplimiento que pueda generar alguna vulneración o riesgo de seguridad, se deberá informar a la Agencia de Protección de Datos de los Habitantes de acuerdo al procedimiento que se indica más adelante.

4. Gestión de activos

I. Acceso a redes inalámbricas: Siempre que se acceda a los servidores de administración de la App huki, se hará desde redes inalámbricas seguras, de manera que se disminuyan los riesgos de introducción de softwares maliciosos que puedan afectar la seguridad, integridad y disponibilidad de los datos.

II. Equipos de la organización: Es responsabilidad del personal, proteger los equipos que se le han asignado para el desempeño de sus funciones siguiendo las medidas de seguridad que a continuación se describen, como mínimo:

A.   No exponer el equipo a condiciones de inseguridad física y/o ambiental.

B.   Utilizar claves de acceso seguras y proteger las que le han sido asignadas.

C.   No dejar el equipo desatendido en lugares donde pueda ser sustraído o dañado con relativa facilidad, como autos, maletas de viaje, cerca de ventanas, en el piso, mesas de comida o bebida, etc. (aplica solo si se tienen portátiles).

D.   La persona encargada de Tecnologías de Información y Comunicaciones, en su ámbito, debe asegurar que todos los equipos móviles relacionados a la App huki cuenten con las herramientas necesarias para propiciar la seguridad de la información. Estas herramientas, incluyen, en forma enunciativa, más no limitativa: antivirus, software de cifrado, aplicaciones seguras, entre otras.

E.   Todo equipo que almacene, procese o transmita información esencial para la operación de la App huki, debe ser protegido para disminuir el riesgo de amenazas ambientales o físicas; tales como, inundaciones, rayos, sismos, terremotos, radiaciones, polvo, humedad, vandalismo, explosión, humo, entre otras.

I. Control de acceso con usuario y contraseña

Se elaborará un lineamiento sobre control de acceso a redes, aplicaciones, y/o sistemas de información de la organización, mediante la cual se determinen los responsables y los procedimientos formales de autorización de creación, modificación, suspensión o eliminación de usuarios (ID) y contraseñas. El lineamiento debe enunciar las responsabilidades que los colaboradores y terceros tienen al contar con un usuario o contraseña de la organización responsable de la App huki, se debe estipular que los usuarios (ID) y contraseñas son personales e intransferibles y no deben prestarse, ni compartirse. La organización debe establecer que por cada persona, contratista o tercero debe tenerse un usuario y una contraseña segura para el acceso.

II. Devolución de activos

Todo personal que preste sus servicios a la App huki, al concluir sus funciones, tiene la obligación de entregar los activos informáticos asignados en buen estado físico y de operación, así como los activos de información y la documentación correspondiente.

III. Información para la autenticación

Cada colaborador de la App huki será responsable de su contraseña, la cual es confidencial y debe mantenerse secreta. Solo deben tener acceso a los aplicativos de la App, los usuarios autorizados, con la cuenta asignada para tal efecto; en ningún caso deben acceder usando una cuenta diferente. La administración de los derechos de acceso a los aplicativos, directorio activo y bases de datos internas, se realiza mediante roles y/o perfiles. Todos los usuarios con acceso a los aplicativos internos deben identificarse en forma única y contar con los derechos de acceso asignados previamente, de acuerdo a su rol y perfil.

IV. Control de acceso a las redes y servicios asociados

A.   Los controles de acceso a los servicios de información deben asignarse con base en los roles y perfiles de los usuarios, según el servicio requerido.

B.   La autentificación de usuarios debe hacerse a través de canales cifrados y haciendo uso de contraseñas encriptadas.

C.  Todos los accesos a servicios TIC y aplicativos deben ser asignados de acuerdo a su función, mediante roles y perfiles, propiciando una correcta segregación de funciones.

V. Acuerdo de confidencialidad:

Debe contener un compromiso o acuerdo de confidencialidad, por medio del cual todo colaborador, contratista y/o tercero vinculado a los servicios que ofrece el App huki, deberá firmar un compromiso de no divulgar la información interna y externa que conozca de la organización, así como la relacionada con las funciones que desempeña en la misma. La firma del acuerdo implica que la información conocida por todo colaborador, contratista y/o tercero, bajo ninguna circunstancia deberá ser revelada por ningún medio electrónico, verbal, escrito u otro, ni total ni parcialmente, sin contar con previa autorización.

VI.  Gestión de incidentes en la seguridad de la información

El equipo designado para gestionar cualquier incidente debe conocer los procedimientos de respuesta a incidentes y tomar en cuenta como mínimo las siguientes etapas:

A.   Identificación y reporte.

B.   Contención.

C.   Recuperación.

D.   Solución.

E.   Lecciones aprendidas

Además, se deberá tomar en consideración lo estipulado en los artículos 38 y 39 del Reglamento a la Ley 8968, en relación a incidentes de vulnerabilidad de seguridad.

El responsable deberá informar al titular y a la Agencia de Protección de Datos de los Habitantes (PRODHAB), en caso de vulnerabilidades de seguridad, al menos lo siguiente:

A)   La naturaleza del incidente;

B)   Los datos personales comprometidos;

C)   Las acciones correctivas realizadas de forma inmediata; y,

D)   Los medios o el lugar, donde puede obtener más información al respecto.

VII. Capacitación y sensibilización en seguridad de la información y protección de datos personales

El responsable deberá poner en marcha un programa de formación del personal en temas relacionados con la seguridad de la información, cuya finalidad es disminuir las vulnerabilidades y amenazas relacionadas con el recurso humano. Dicho programa debe contener los siguientes parámetros:

A.   El compromiso en destinar recursos suficientes en la medida de sus posibilidades, para desarrollar las jornadas de capacitación en la materia.

B.   Hacer un plan de quiénes deberán ser entrenados/sensibilizados.

C.   Definir los roles y responsabilidades de quienes diseñarán los programas, quienes los comunicarán.

D.   La obligación de los colaboradores a asistir a los eventos o cursos de huki

E.   Revisión periódica de resultados de capacitaciones para el mejoramiento de los procesos.

F.   Compromisos y obligaciones por parte del personal capacitado.


Contacto

+506 7061 3709

info@huki.app

Síguenos

Política de seguridad de la información

Política de privacidad y protección de datos

Términos y condiciones de uso




Política de seguridad de la información


1. Objetivo

El objetivo de esta política es proporcionar una visión general de los requisitos de seguridad de la aplicación huki, así como describir los controles en el lugar o los previstos para cumplir esos requisitos. Esta política pretende también delinear las responsabilidades y el comportamiento esperados de todas las personas que realizan tratamiento de información con el fin de mantener un entorno controlado, minimizando los riesgos hasta niveles aceptables.

2. Principios

I. La app huki protegerá la información creada, procesada, transmitida o resguardada a partir de sus procesos, con el fin de minimizar riesgos operativos o legales debido a un uso inadecuado de esta. Para ello es fundamental la aplicación de controles de acuerdo con la clasificación de la información de su propiedad o en custodia.

II. Las responsabilidades frente a la seguridad de la información serán definidas, compartidas, publicadas y aceptadas por cada uno de los colaboradores y terceros que hagan dicho tratamiento.

III. La app huki implementará control de acceso a la información, sistemas y recursos de red.

IV. La app huki garantizará una mejora efectiva de su modelo de seguridad, a través de una adecuada gestión de los incidentes de seguridad y las debilidades asociadas con los sistemas de información.

3. Alcances

La política de seguridad de la información será de acatamiento obligatorio para todas las personas que gestionen información para la App huki. El incumplimiento a la política de Seguridad de la Información traerá consigo, las consecuencias legales que apliquen a la normativa interna de la organización, así como lo establecido en las normas de carácter nacional, como lo es la ley 8968 Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales, normas complementarias y conexas.

En caso de incumplimiento que pueda generar alguna vulneración o riesgo de seguridad, se deberá informar a la Agencia de Protección de Datos de los Habitantes de acuerdo al procedimiento que se indica más adelante.

4. Gestión de activos

I. Acceso a redes inalámbricas: Siempre que se acceda a los servidores de administración de la App huki, se hará desde redes inalámbricas seguras, de manera que se disminuyan los riesgos de introducción de softwares maliciosos que puedan afectar la seguridad, integridad y disponibilidad de los datos.

II. Equipos de la organización: Es responsabilidad del personal, proteger los equipos que se le han asignado para el desempeño de sus funciones siguiendo las medidas de seguridad que a continuación se describen, como mínimo:

A. No exponer el equipo a condiciones de inseguridad física y/o ambiental.

B. Utilizar claves de acceso seguras y proteger las que le han sido asignadas.

C. No dejar el equipo desatendido en lugares donde pueda ser sustraído o dañado con relativa facilidad, como autos, maletas de viaje, cerca de ventanas, en el piso, mesas de comida o bebida, etc. (aplica solo si se tienen portátiles).

D. La persona encargada de Tecnologías de Información y Comunicaciones, en su ámbito, debe asegurar que todos los equipos móviles relacionados a la App huki cuenten con las herramientas necesarias para propiciar la seguridad de la información. Estas herramientas, incluyen, en forma enunciativa, más no limitativa: antivirus, software de cifrado, aplicaciones seguras, entre otras.

E. Todo equipo que almacene, procese o transmita información esencial para la operación de la App huki, debe ser protegido para disminuir el riesgo de amenazas ambientales o físicas; tales como, inundaciones, rayos, sismos, terremotos, radiaciones, polvo, humedad, vandalismo, explosión, humo, entre otras.

I. Control de acceso con usuario y contraseña

Se elaborará un lineamiento sobre control de acceso a redes, aplicaciones, y/o sistemas de información de la organización, mediante la cual se determinen los responsables y los procedimientos formales de autorización de creación, modificación, suspensión o eliminación de usuarios (ID) y contraseñas. El lineamiento debe enunciar las responsabilidades que los colaboradores y terceros tienen al contar con un usuario o contraseña de la organización responsable de la App huki, se debe estipular que los usuarios (ID) y contraseñas son personales e intransferibles y no deben prestarse, ni compartirse. La organización debe establecer que por cada persona, contratista o tercero debe tenerse un usuario y una contraseña segura para el acceso.

II. Devolución de activos

Todo personal que preste sus servicios a la App huki, al concluir sus funciones, tiene la obligación de entregar los activos informáticos asignados en buen estado físico y de operación, así como los activos de información y la documentación correspondiente.

III. Información para la autenticación

Cada colaborador de la App huki será responsable de su contraseña, la cual es confidencial y debe mantenerse secreta. Solo deben tener acceso a los aplicativos de la App, los usuarios autorizados, con la cuenta asignada para tal efecto; en ningún caso deben acceder usando una cuenta diferente. La administración de los derechos de acceso a los aplicativos, directorio activo y bases de datos internas, se realiza mediante roles y/o perfiles. Todos los usuarios con acceso a los aplicativos internos deben identificarse en forma única y contar con los derechos de acceso asignados previamente, de acuerdo a su rol y perfil.

IV. Control de acceso a las redes y servicios asociados

A. Los controles de acceso a los servicios de información deben asignarse con base en los roles y perfiles de los usuarios, según el servicio requerido.

B. La autentificación de usuarios debe hacerse a través de canales cifrados y haciendo uso de contraseñas encriptadas.

C. Todos los accesos a servicios TIC y aplicativos deben ser asignados de acuerdo a su función, mediante roles y perfiles, propiciando una correcta segregación de funciones.

V. Acuerdo de confidencialidad:

Debe contener un compromiso o acuerdo de confidencialidad, por medio del cual todo colaborador, contratista y/o tercero vinculado a los servicios que ofrece el App huki, deberá firmar un compromiso de no divulgar la información interna y externa que conozca de la organización, así como la relacionada con las funciones que desempeña en la misma. La firma del acuerdo implica que la información conocida por todo colaborador, contratista y/o tercero, bajo ninguna circunstancia deberá ser revelada por ningún medio electrónico, verbal, escrito u otro, ni total ni parcialmente, sin contar con previa autorización.

VI. Gestión de incidentes en la seguridad de la información

El equipo designado para gestionar cualquier incidente debe conocer los procedimientos de respuesta a incidentes y tomar en cuenta como mínimo las siguientes etapas:

A. Identificación y reporte.

B. Contención.

C. Recuperación.

D. Solución.

E. Lecciones aprendidas

Además, se deberá tomar en consideración lo estipulado en los artículos 38 y 39 del Reglamento a la Ley 8968, en relación a incidentes de vulnerabilidad de seguridad.

El responsable deberá informar al titular y a la Agencia de Protección de Datos de los Habitantes (PRODHAB), en caso de vulnerabilidades de seguridad, al menos lo siguiente:

A) La naturaleza del incidente;

B) Los datos personales comprometidos;

C) Las acciones correctivas realizadas de forma inmediata; y,

D) Los medios o el lugar, donde puede obtener más información al respecto.

VII. Capacitación y sensibilización en seguridad de la información y protección de datos personales

El responsable deberá poner en marcha un programa de formación del personal en temas relacionados con la seguridad de la información, cuya finalidad es disminuir las vulnerabilidades y amenazas relacionadas con el recurso humano. Dicho programa debe contener los siguientes parámetros:

A. El compromiso en destinar recursos suficientes en la medida de sus posibilidades, para desarrollar las jornadas de capacitación en la materia.

B. Hacer un plan de quiénes deberán ser entrenados/sensibilizados.

C. Definir los roles y responsabilidades de quienes diseñarán los programas, quienes los comunicarán.

D. La obligación de los colaboradores a asistir a los eventos o cursos de huki

E. Revisión periódica de resultados de capacitaciones para el mejoramiento de los procesos.

F. Compromisos y obligaciones por parte del personal capacitado.

Contacto

Síguenos

Política de seguridad de la información

Política de privacidad y protección de datos

Términos y condiciones de uso