Política de seguridad informática

1. Introducción

El presente documento establece las medidas que deben adoptar todos los empleados de SocialPilot Technologies Inc. y la empresa en su conjunto para proteger los sistemas informáticos, los dispositivos, la infraestructura, el entorno informático y todos los demás equipos pertinentes de la empresa (denominados colectivamente “sistemas informáticos”) frente a daños y amenazas, ya sean internos, externos, deliberados o accidentales.

2. Introducción Principios clave

  • 2.1 Todos los sistemas informáticos deben estar protegidos contra el acceso no autorizado.
  • 2.2 Todos los sistemas informáticos deben utilizarse únicamente de conformidad con las políticas pertinentes de la empresa.
  • 2.3 Todos los datos almacenados en los sistemas informáticos deben gestionarse de forma segura de conformidad con todas las partes pertinentes del GDPR y todas las demás leyes que rigen la protección de datos, ya estén en vigor ahora o en el futuro.
  • 2.4 Todos los empleados de la Empresa y todos y cada uno de los terceros autorizados a utilizar los Sistemas de TI, incluidos, entre otros, los contratistas y subcontratistas (colectivamente, los “Usuarios”), deben asegurarse de que conocen esta Política y deben adherirse a ella y cumplirla en todo momento.
  • 2.5 Todos los sistemas informáticos deben estar protegidos contra el acceso no autorizado. Todos los superiores jerárquicos deben garantizar que todos los usuarios bajo su control y dirección se adhieran a esta política y la cumplan en todo momento, tal y como se exige en el apartado 2.4.
  • 2.6 Todos los sistemas informáticos deben ser instalados, mantenidos, reparados y actualizados por Jimit Bagadiya (el “Departamento Informático”) o por los terceros que el Departamento Informático autorice en cada momento.
  • 2.7 La responsabilidad de la seguridad e integridad de todos los sistemas informáticos y de los datos almacenados en ellos (incluida, aunque no exclusivamente, la seguridad, integridad y confidencialidad de dichos datos) recae en el Departamento de Informática, a menos que se indique expresamente lo contrario.
  • 2.8 Todas las violaciones de la seguridad relativas a los sistemas informáticos o a los datos almacenados en ellos serán notificadas y posteriormente investigadas por el Departamento de Informática.
  • 2.9 Todos los usuarios deben informar inmediatamente al Departamento de Informática de cualquier problema de seguridad relacionado con los sistemas informáticos o los datos almacenados en ellos.

3. Responsabilidades del Departamento de TI

  • 3.1 El Director de Informática, Jimit Bagadiya, será responsable de lo siguiente:
    • a) Garantizar que todos los sistemas informáticos se evalúen y se consideren adecuados para cumplir los requisitos de seguridad de la empresa;
    • b) velar por que las normas de seguridad informática de la empresa se apliquen eficazmente y se revisen periódicamente, mediante auditorías y evaluaciones de riesgo periódicas, presentando informes regulares a la alta dirección interna de la empresa sobre el estado de la seguridad informática de la empresa y el cumplimiento de la presente Política;
    • c) garantizar la gestión organizativa y la dedicación del personal responsable del desarrollo, la aplicación y el mantenimiento de esta Política;
    • d) llevar a cabo evaluaciones de vulnerabilidad y gestión de parches mediante el uso de tecnologías de protección contra amenazas y procedimientos de supervisión programados diseñados para identificar, evaluar, mitigar y proteger contra amenazas de seguridad, virus y otros códigos maliciosos identificados; y
    • e) garantizar que todos los usuarios conozcan los requisitos de esta Política y toda la legislación, reglamentos y otras normas pertinentes relacionadas, ya estén o no en vigor en el futuro, incluidas, entre otras, la GDPR y la Computer Misuse Act 1990.
  • 3.2 El Departamento de TI será responsable de lo siguiente:
    • a) ayudar a todos los Usuarios a comprender y cumplir esta Política;
    • b) proporcionar a todos los usuarios el apoyo y la formación adecuados en materia de seguridad informática y utilización de los sistemas informáticos;
    • c) garantizar que se conceden a todos los usuarios niveles de acceso a los sistemas informáticos que sean adecuados para cada uno de ellos, teniendo en cuenta su función, sus responsabilidades y cualquier requisito de seguridad especial;
    • d) recibir y tramitar todos los informes relativos a cuestiones de seguridad informática y adoptar las medidas oportunas al respecto;
    • e) tomar medidas proactivas, siempre que sea posible, para establecer y aplicar procedimientos de seguridad informática y concienciar a los usuarios;
    • f) asistir al Responsable de TI en la supervisión de toda la seguridad informática dentro de la Empresa y tomar todas las medidas necesarias para aplicar esta Política y cualquier cambio que se introduzca en ella en el futuro;
    • g) garantizar que se realicen copias de seguridad periódicas de todos los datos almacenados en los sistemas informáticos a intervalos no inferiores a 24 horas y que dichas copias de seguridad se almacenen en un lugar adecuado fuera de las instalaciones de la empresa; y
    • h) garantizar el cumplimiento de todas las normas de seguridad informática establecidas en la norma ISO 27001, en la medida en que dichas normas no estén cubiertas por las obligaciones establecidas en la cláusula 3.2 a) - g).

4. Responsabilidades de los usuarios

  • 4.1 Todos los usuarios deben cumplir todas las partes pertinentes de esta política en todo momento cuando utilicen los sistemas informáticos.
  • 4.2 Todos los Usuarios deben utilizar los Sistemas Informáticos únicamente dentro de los límites de la legislación india y no deben utilizar los Sistemas Informáticos para ningún propósito o actividad que pueda contravenir cualquier ley india vigente en la actualidad o en el futuro.
  • 4.3 Los usuarios deben informar inmediatamente al Departamento de TI de cualquier problema de seguridad relacionado con los sistemas informáticos.
  • 4.4 Todos los usuarios deben cumplir todas las partes pertinentes de esta política en todo momento cuando utilicen los sistemas informáticos. Los usuarios deben informar inmediatamente al Departamento de TI de cualquier otro problema técnico (incluidos, entre otros, fallos de hardware y errores de software) que pueda producirse en los Sistemas de TI.
  • 4.5 Todas y cada una de las infracciones deliberadas o negligentes de esta Política por parte de los Usuarios se tratarán como corresponda según los procedimientos disciplinarios de la Empresa.

5. Medidas de seguridad del software

  • 5.1 Todos los programas informáticos utilizados en los sistemas informáticos (incluidos, entre otros, los sistemas operativos y las aplicaciones informáticas individuales) se mantendrán actualizados y se aplicarán todas y cada una de las actualizaciones, parches, correcciones y otras versiones intermedias de programas informáticos pertinentes a discreción exclusiva del Departamento de Informática. Esta disposición no se extiende a la actualización de software a nuevas ‘versiones principales’ (por ejemplo, de la versión 1.0 a la versión 2.0), sino únicamente a las actualizaciones dentro de una versión principal concreta (por ejemplo, de la versión 1.0 a la versión 1.0.1, etc.). A menos que una actualización de software esté disponible gratuitamente, se considerará una versión importante y, por lo tanto, entra en el ámbito de la adquisición de software nuevo y queda fuera del ámbito de aplicación de esta disposición.
  • 5.2 Cuando se detecte un fallo de seguridad en un programa informático, éste se corregirá inmediatamente o se retirará de los sistemas informáticos hasta que pueda subsanarse de forma efectiva.
  • 5.3 Ningún usuario podrá instalar programas informáticos propios, tanto si se suministran en soporte físico (por ejemplo, DVD-Rom) como si se descargan, sin la aprobación del Responsable de TI. Cualquier software que pertenezca a los Usuarios deberá ser aprobado por el Responsable de TI y sólo podrá instalarse cuando dicha instalación no suponga ningún riesgo para la seguridad de los Sistemas de TI y cuando la instalación no infrinja ningún acuerdo de licencia al que pueda estar sujeto dicho software.
  • 5.4 Todos los programas informáticos serán instalados en los sistemas informáticos por el Departamento de Informática, a menos que el Responsable de Informática autorice por escrito a un usuario a hacerlo. Dicho permiso por escrito debe indicar claramente qué software puede instalarse y en qué ordenador(es) o dispositivo(s) puede instalarse.

6.Medidas de seguridad del hardware

  • 6.1 Siempre que sea posible, los sistemas informáticos estarán ubicados en salas que puedan cerrarse de forma segura cuando no se utilicen o, en su caso, en todo momento, se utilicen o no (los usuarios autorizados podrán acceder mediante llave, tarjeta inteligente, código de puerta o similar). Cuando el acceso a dichos lugares esté restringido, los Usuarios no deberán permitir por ningún motivo el acceso a los mismos a ninguna persona no autorizada.
  • 6.2 Todos los sistemas informáticos no destinados al uso normal por parte de los usuarios (incluidos, entre otros, los servidores, los equipos de red y la infraestructura de red) y cualquier otra área en la que puedan almacenarse datos personales (por ejemplo, instalaciones de centros de datos o salas de servidores) estarán diseñados para (i) proteger la información y los activos físicos frente al acceso físico no autorizado, (ii) gestionar, supervisar y registrar los movimientos de entrada y salida de personas de las instalaciones pertinentes, y (iii) proteger frente a riesgos medioambientales como el calor, el fuego y los daños causados por el agua.
  • 6.3 Ningún usuario tendrá acceso a los sistemas informáticos no destinados al uso normal de los usuarios (incluidos los dispositivos mencionados anteriormente) sin el permiso expreso del responsable informático. En circunstancias normales, siempre que un usuario detecte un problema con dichos sistemas informáticos, deberá comunicarlo al Departamento de Informática. Bajo ninguna circunstancia debe un Usuario intentar rectificar tales problemas sin el permiso expreso (y, en la mayoría de los casos, la instrucción y/o supervisión) del Responsable de TI.
  • 6.4 Todos los dispositivos no móviles (incluidos, entre otros, ordenadores de sobremesa, estaciones de trabajo y monitores) deberán, siempre que sea posible y práctico, estar físicamente asegurados en su lugar con un mecanismo de bloqueo adecuado. Cuando el diseño del hardware lo permita, las carcasas de los ordenadores se cerrarán con llave para evitar la manipulación o el robo de los componentes internos.
  • 6.5 Todos los dispositivos móviles (incluidos, entre otros, ordenadores portátiles, netbooks, tabletas, PDA y teléfonos móviles) proporcionados por la empresa deben transportarse siempre de forma segura y manipularse con cuidado. En circunstancias en las que dichos dispositivos móviles deban dejarse desatendidos, deberán colocarse dentro de un maletín con cerradura u otro contenedor adecuado. Los usuarios deben hacer todos los esfuerzos razonables para evitar que dichos dispositivos móviles queden desatendidos en cualquier lugar que no sea su domicilio particular o las instalaciones de la Empresa. Si se deja un dispositivo móvil en un vehículo, debe guardarse fuera de la vista.
  • 6.6 El Departamento de TI mantendrá un registro de activos completo de todos los sistemas informáticos. Todos los sistemas informáticos se etiquetarán y los datos correspondientes se mantendrán en el registro de activos.

7. Seguridad de acceso

  • 7.1 Todos los sistemas informáticos (y, en particular, los dispositivos móviles, incluidos, entre otros, ordenadores portátiles, netbooks, tabletas, PDA y teléfonos móviles) estarán protegidos mediante una contraseña segura u otra forma de sistema de inicio de sesión seguro que el Departamento de Informática considere adecuada. Dichas formas alternativas de inicio de sesión seguro pueden incluir la identificación por huella dactilar y el reconocimiento facial.
  • 7.2 Controles de acceso lógico diseñados para gestionar el acceso electrónico a los datos y la funcionalidad del sistema de TI en función de los niveles de autoridad y las funciones del puesto de trabajo (por ejemplo, concesión de acceso en función de la necesidad de conocer y de los mínimos privilegios, uso de identificadores y contraseñas únicos para todos los usuarios, revisión periódica y revocación/cambio inmediato del acceso cuando finalice la relación laboral o se produzcan cambios en las funciones del puesto de trabajo).
  • 7.3 Todas las contraseñas deben, siempre que el software, el ordenador o el dispositivo lo permitan:
    • 7.3.1 tener al menos 5 caracteres;
    • 7.3.2 ser diferente de la contraseña anterior;
    • 7.3.3 que no sean obvias o fáciles de adivinar (por ejemplo, cumpleaños u otras fechas memorables, nombres, acontecimientos o lugares memorables, etc.);
    • 7.3.4 ser creados por Usuarios individuales; y
    • 7.3.5 las nuevas contraseñas deben cambiarse después de su primer uso
  • 7.4 Las contraseñas deben ser mantenidas en secreto por cada Usuario. Bajo ninguna circunstancia debe un Usuario compartir su contraseña con nadie, incluidos el Responsable de TI y el Personal de TI. A ningún usuario se le pedirá legítimamente su contraseña en ningún momento y cualquier solicitud de este tipo deberá ser rechazada. Si un usuario tiene motivos para creer que otra persona ha obtenido su contraseña, deberá cambiarla inmediatamente e informar al Departamento de TI de la presunta violación de la seguridad.
  • 7.5 Si un usuario olvida su contraseña, deberá comunicarlo al Departamento de Informática. El Departamento de TI tomará las medidas necesarias para restablecer el acceso del Usuario a los Sistemas de TI, lo que puede incluir la emisión de una contraseña temporal que puede ser total o parcialmente conocida por el miembro del Personal de TI responsable de resolver el problema. El usuario deberá establecer una nueva contraseña inmediatamente después de que se restablezca el acceso a los sistemas informáticos.
  • 7.6 Todos los sistemas informáticos con pantallas y dispositivos de entrada de usuario (por ejemplo, ratón, teclado, pantalla táctil, etc.) estarán protegidos, siempre que sea posible, con un salvapantallas protegido por contraseña que se activará tras 30 minutos de inactividad. Este periodo de tiempo no podrá ser modificado por los Usuarios y éstos no podrán desactivar el salvapantallas. La activación del salvapantallas no interrumpirá ni perturbará ninguna otra actividad que tenga lugar en el ordenador (por ejemplo, el tratamiento de datos).
  • 7.7 El Departamento de TI llevará a cabo auditorías regulares del sistema o registro de eventos y procedimientos de supervisión relacionados para registrar de forma proactiva el acceso y la actividad de los usuarios en los sistemas de TI para su revisión rutinaria.
  • 7.8 Los usuarios no podrán utilizar ningún programa informático que permita a terceros acceder a los sistemas informáticos sin el consentimiento expreso del responsable de informática. Cualquier software de este tipo debe ser razonablemente necesario para el desempeño de las funciones del usuario y debe ser inspeccionado y autorizado por el responsable de TI.

8. 8. Protección de datos

  • 8.1 Todos los datos personales (tal como se definen en el Reglamento General de Protección de Datos (“GDPR”)) recopilados, conservados y procesados por la Empresa se recopilarán, conservarán y procesarán estrictamente de acuerdo con el GDPR y la Política de Protección de Datos de la Empresa.
  • 8.2 El Departamento de TI se asegurará de que existan controles de seguridad de los datos que incluyan, como mínimo, pero no exclusivamente, la separación lógica de los datos, el acceso y la supervisión restringidos (por ejemplo, basados en funciones) y la utilización de tecnologías de cifrado disponibles en el mercado y estándar del sector para los datos personales que sean:
    • a) transmitidos a través de redes públicas (es decir, Internet) o cuando se transmiten de forma inalámbrica; o
    • b) en reposo o almacenados en soportes portátiles o extraíbles (es decir, ordenadores portátiles, CD/DVD, unidades USB, cintas de copia de seguridad).
  • 8.3 Todos los correos electrónicos que contengan datos personales deben estar encriptados.
  • 8.4 Los datos personales contenidos en el cuerpo de un correo electrónico, ya sea enviado o recibido, deben copiarse del cuerpo de dicho correo y guardarse de forma segura. El propio correo electrónico debe borrarse. También deben borrarse todos los archivos temporales asociados al mismo.
  • 8.5 Cuando los datos personales vayan a enviarse por fax, el destinatario deberá ser informado con antelación de la transmisión y deberá estar a la espera de la máquina de fax para recibir los datos.
  • 8.6 Si se visualizan datos personales en la pantalla de un ordenador y éste va a permanecer desatendido durante algún tiempo, el usuario deberá bloquear el ordenador y la pantalla antes de abandonarlo.
  • 8.7 Ningún dato personal debe transferirse a ningún dispositivo que pertenezca personalmente a un empleado y los datos personales solo pueden transferirse a dispositivos pertenecientes a agentes, contratistas u otras partes que trabajen en nombre de la Empresa cuando la parte en cuestión haya acordado cumplir plenamente con la letra y el espíritu de esta Política y del GDPR (que puede incluir demostrar a la Empresa que se han tomado todas las medidas técnicas y organizativas adecuadas).
  • 8.8 El Departamento de TI garantizará procedimientos y controles operativos que permitan la eliminación segura de cualquier parte de los sistemas de TI o de cualquier soporte para que toda la información o los datos que contengan sean indescifrables o irrecuperables antes de su eliminación definitiva o de que la empresa deje de poseerlos.
  • 8.9 Cuando los datos personales deban borrarse o eliminarse por cualquier motivo (incluso si se han hecho copias y ya no son necesarias), deberán borrarse y eliminarse de forma segura. Las copias impresas deben triturarse y las electrónicas eliminarse de forma segura.
  • 8.10 El Departamento de Tecnologías de la Información se asegurará de que dispone de las medidas técnicas y organizativas apropiadas para la protección contra el tratamiento no autorizado o ilícito de datos personales y contra la pérdida, destrucción o daño accidentales de datos personales, adecuadas al perjuicio que pudiera resultar del tratamiento no autorizado o ilícito o de la pérdida, destrucción o daño accidentales y a la naturaleza de los datos que deban protegerse, teniendo en cuenta el estado del desarrollo tecnológico y el coste de la aplicación de las medidas (estas medidas pueden incluir, cuando proceda, la seudonimización y el cifrado de los datos personales, la garantía de confidencialidad, integridad, disponibilidad y resistencia de sus sistemas y servicios, la garantía de que la disponibilidad de los datos personales y el acceso a los mismos puedan restablecerse oportunamente tras un incidente, y la evaluación periódica de la eficacia de las medidas técnicas y organizativas adoptadas).
  • 8.11 Todos los datos personales almacenados electrónicamente deben ser respaldados todos los días con copias de seguridad almacenadas, AWS toma copia de seguridad DB en la nube de AWS. Todas las copias de seguridad deben estar cifradas.
  • 8.12 Todas las copias electrónicas de datos personales deben almacenarse de forma segura mediante contraseñas y cifrado de datos.
  • 8.13 Sólo tendrán acceso a los datos personales que obren en poder de la Empresa los Usuarios que necesiten acceder a ellos y utilizarlos para el correcto desempeño de las funciones que tengan asignadas.
  • 8.14 Todos los Usuarios que manejen datos personales para y en nombre de la Empresa estarán sujetos a, y deberán cumplir, las disposiciones de la Política de Protección de Datos de la Empresa.

9. Uso de Internet y del correo electrónico

  • 9.1 Todos los Usuarios estarán sujetos y deberán cumplir las disposiciones de la Política de Comunicaciones, Correo Electrónico e Internet de la Empresa cuando utilicen los Sistemas Informáticos.
  • 9.2 Cuando las disposiciones de la presente Política exijan la adopción de medidas adicionales para garantizar la seguridad informática al utilizar Internet o el correo electrónico, además de los requisitos impuestos por la Política de comunicaciones, correo electrónico e Internet, los Usuarios deberán adoptar las medidas necesarias.

10. Notificación de violaciones de la seguridad informática

  • 10.1 Todas las inquietudes, preguntas, sospechas de infracción o infracciones conocidas deberán remitirse inmediatamente a Jimit Bagadiya
  • 10.2Tras recibir una pregunta o una notificación de infracción, el Departamento de TI evaluará el problema en un plazo de 24 horas, incluido, entre otros aspectos, el nivel de riesgo asociado al mismo, y tomará todas las medidas que el Departamento de TI considere necesarias para responder al problema.
  • 10.3 Bajo ninguna circunstancia debe un Usuario intentar resolver una violación de la seguridad informática por su cuenta sin consultar previamente al Departamento de Informática. Los usuarios sólo podrán intentar resolver las infracciones de seguridad informática bajo la instrucción y con el permiso expreso del Departamento de TI.
  • 10.4 Todas las violaciones de la seguridad informática, ya sean subsanadas por el Departamento de Informática o por un usuario bajo la dirección del Departamento de Informática, deberán documentarse íntegramente.

11. 11. Continuidad de las actividades

La Empresa dispondrá de procedimientos adecuados de resiliencia/continuidad empresarial y recuperación en caso de catástrofe diseñados para mantener cualquier información y el suministro de cualquier servicio y/o la recuperación ante situaciones de emergencia o catástrofes previsibles.

12. Aplicación de la política

La presente Política se considerará efectiva a partir del 25-5-2018. Ninguna parte de esta Política tendrá efecto retroactivo y, por tanto, se aplicará únicamente a los asuntos que se produzcan a partir de esta fecha.

Nombre: Jimit Bagadiya
Cargo: Director General y Responsable de Protección de Datos
Date: 15/05/2018
Firma: Firma

Empresa

Productos

Gestión de redes sociales

Características principales

Herramientas y plantillas

Recursos

  • linkedin
  • Instagram
  • Youtube
  • 2026 SocialPilot Technologies Inc. Todos los derechos reservados.