POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

1. Objetivo

Establecer los lineamientos generales de seguridad de la información de EMP2Web para proteger la confidencialidad, integridad y disponibilidad de la información propia, de sus clientes, proveedores y aliados, así como de los activos tecnológicos asociados a la prestación de servicios de soporte técnico, infraestructura, administración de equipos y servicios cloud.

2. Alcance

Esta política aplica a:

  • todo el personal interno de EMP2Web
  • contratistas, proveedores o terceros que accedan a información o infraestructura administrada por EMP2Web
  • equipos de cómputo, dispositivos móviles, correos corporativos, sistemas, plataformas, servidores, servicios cloud, credenciales, bases de datos, respaldos y canales de soporte
  • información física o digital gestionada durante la operación de soporte técnico y administración tecnológica

3. Principios de seguridad de la información

EMP2Web adopta los siguientes principios:

  • Confidencialidad: la información solo debe ser accedida por personas autorizadas
  • Integridad: la información debe mantenerse completa, exacta y sin alteraciones no autorizadas
  • Disponibilidad: la información y los servicios deben estar accesibles cuando el negocio lo requiera
  • Trazabilidad: las actividades relevantes deben poder ser verificadas y rastreadas
  • Responsabilidad: cada usuario es responsable del uso adecuado de los recursos tecnológicos e información a su cargo

4. Responsabilidades

4.1 Gerencia / Dirección

  • aprobar esta política
  • promover su cumplimiento
  • asignar responsables y recursos razonables para su aplicación

4.2 Responsable de seguridad de la información o líder técnico designado

  • velar por la aplicación de esta política
  • coordinar controles de acceso, respaldo, actualización, monitoreo e incidentes
  • mantener actualizada la documentación relacionada con seguridad

4.3 Personal técnico y de soporte

  • cumplir los procedimientos definidos
  • proteger las credenciales asignadas
  • reportar incidentes, eventos sospechosos o vulnerabilidades detectadas
  • usar únicamente accesos autorizados para labores de soporte y administración

4.4 Usuarios internos y terceros autorizados

  • hacer uso responsable de la información y los recursos tecnológicos
  • abstenerse de compartir credenciales o acceder a información no autorizada

5. Clasificación y manejo de la información

La información gestionada por EMP2Web será tratada según su nivel de sensibilidad, incluyendo entre otros:

  • información pública
  • información de uso interno
  • información confidencial de clientes, proveedores, contratos, credenciales, configuraciones, bases de datos o soportes operativos

Toda información confidencial debe ser protegida contra acceso no autorizado, divulgación, pérdida, alteración o destrucción.

6. Control de acceso

EMP2Web establece los siguientes lineamientos:

  • el acceso a sistemas, plataformas, servidores y herramientas se asignará bajo el principio de mínimo privilegio
  • cada usuario debe contar con credenciales individuales cuando aplique
  • no se permite compartir usuarios o contraseñas sin autorización expresa y justificada
  • los accesos deben revisarse cuando un colaborador cambie de funciones o termine su relación con la empresa
  • las contraseñas deben tener criterios mínimos de seguridad y renovarse cuando exista riesgo o compromiso
  • cuando sea posible, se promoverá el uso de autenticación multifactor en servicios críticos

7. Uso aceptable de activos tecnológicos

Los equipos, correos, cuentas, servidores, plataformas y servicios cloud administrados por EMP2Web deben ser utilizados únicamente para fines autorizados de negocio y soporte.

No está permitido:

  • instalar software no autorizado
  • desactivar controles de seguridad sin justificación técnica aprobada
  • compartir credenciales por medios inseguros
  • usar recursos tecnológicos para actividades ilícitas, ajenas al servicio o que generen riesgo para la operación

8. Protección de infraestructura y servicios cloud

EMP2Web implementará medidas razonables de seguridad sobre la infraestructura bajo su administración, tales como:

  • gestión controlada de accesos administrativos
  • actualización y mantenimiento de sistemas, servicios y plataformas
  • uso de herramientas de protección y monitoreo cuando aplique
  • segmentación y control de accesos a entornos críticos, según la naturaleza del servicio
  • resguardo de configuraciones, credenciales y datos sensibles de operación
  • seguimiento a eventos relevantes que puedan afectar la continuidad del servicio

9. Gestión de copias de seguridad y recuperación

EMP2Web mantendrá prácticas de respaldo acordes con la criticidad de la información y servicios administrados, incluyendo cuando aplique:

  • generación periódica de copias de seguridad
  • validación razonable de disponibilidad de respaldos
  • protección de los medios o repositorios de respaldo
  • recuperación de información y servicios según las capacidades técnicas y acuerdos definidos con el cliente

10. Gestión de incidentes de seguridad

Todo evento que comprometa o pueda comprometer la confidencialidad, integridad o disponibilidad de la información o de los servicios deberá ser reportado al responsable designado de manera oportuna.

EMP2Web procurará gestionar los incidentes mediante las siguientes etapas:

  • identificación
  • registro
  • contención
  • análisis
  • corrección o recuperación
  • cierre y lecciones aprendidas

Cuando el incidente impacte servicios o información de clientes, se realizará la comunicación correspondiente según la criticidad del caso y las condiciones contractuales aplicables.

11. Protección de datos e información de clientes

EMP2Web se compromete a tratar la información de sus clientes con reserva y únicamente para los fines autorizados dentro de la relación comercial y operativa.

En consecuencia:

  • solo accederá a la información requerida para la prestación del servicio
  • evitará la divulgación no autorizada de datos o configuraciones del cliente
  • aplicará controles razonables para proteger información técnica, administrativa y operativa
  • promoverá el uso seguro de canales, accesos y repositorios compartidos

12. Gestión de cambios y actualizaciones

Los cambios relevantes en infraestructura, plataformas o servicios administrados deben realizarse con criterios de control, validación y registro razonable, con el fin de reducir impactos operativos o de seguridad.

Asimismo, EMP2Web promoverá la aplicación de actualizaciones de seguridad, parches o ajustes técnicos cuando estos sean requeridos para mitigar riesgos.

13. Relación con terceros

Cuando EMP2Web utilice servicios de terceros o interactúe con proveedores tecnológicos, procurará que dichos terceros ofrezcan condiciones adecuadas de seguridad, continuidad y protección de la información, de acuerdo con el tipo de servicio involucrado.

14. Continuidad operativa

EMP2Web promoverá medidas orientadas a reducir la interrupción de sus servicios y de la infraestructura administrada, priorizando:

  • respaldo de información crítica
  • recuperación ante fallas técnicas
  • atención de incidentes
  • continuidad de operación en entornos cloud o plataformas tecnológicas bajo su gestión

15. Incumplimiento

El incumplimiento de esta política podrá dar lugar a medidas administrativas, correctivas o contractuales, según la gravedad del hecho y el tipo de relación con EMP2Web.

16. Revisión y actualización

La presente política será revisada de forma periódica o cuando se presenten cambios relevantes en la operación, la tecnología, los riesgos o los requisitos contractuales y legales aplicables.

Declaración de aprobación

EMP2Web adopta la presente Política de Seguridad de la Información como marco general para la protección de la información y de los activos tecnológicos involucrados en la prestación de sus servicios.