Seguridad de Información Política General. Revisión Enero/2012

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Seguridad de Información Política General. Revisión Enero/2012"

Transcripción

1 Seguridad de Información Política General Revisión Enero/2012 Vigencia Marzo/2012

2 PGSI Establecer e implantar Políticas de Seguridad de la Información que permita controlar el entorno lógico y físico de la información estratégica de BANCARD, teniendo en cuenta los criterios de confidencialidad, integridad, auditabilidad, disponibilidad, autenticidad y no repudio de la información. 1. Política General Introducción La información es un activo importante de nuestra organización. Bancard tiene como uno de los objetivos principales asegurar los recursos informáticos incluyendo los sistemas de computación, las redes de computadoras, las comunicaciones y sobre todo los datos en cualquier medio en que estén almacenados ya que son parte integral de los servicios y gestión de la empresa. Para la adecuada gestión de la seguridad de la información, la Dirección de Bancard ha decido implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización. El sistema de administración de la seguridad está basado en los siguientes estándares: PCI DSS Payment Card Industry Data Security Standard: estándar desarrollado por un comité conformado por las compañías de tarjetas medios de pago más importantes, como una guía que ayude a las organizaciones que procesan, almacenan y/o transmiten datos de tarjetahabientes a asegurar dichos datos, con el fin de prevenir los fraudes que involucran tarjetas de pago. ISO 27001: estándar para la seguridad de la información aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission. Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI). MCIIEF: Manual de Control Interno Informático constituye una norma de cumplimiento obligatorio, en el cual se indican los requisitos mínimos de Control Interno Informático a implementar en las entidades Financieras fiscalizadas por la Superintendencia de Bancos del Banco Central del Paraguay. A través de las medidas de protección definidas en el cuerpo normativo de seguridad de información, la compañía pretende garantizar la protección de los activos de información propios o en su custodia. Objetivo Establecer las directivas generales relacionadas con la Seguridad de Información que junto con las demás políticas por asunto, las normas y los procedimientos que sean aprobados como tales, constituyen el cuerpo normativo para la seguridad de información de BANCARD. Las políticas, normas y procedimientos han sido establecidos con el fin de garantizar: Alcance 1. La confidencialidad de la información 2. La integridad de la información 3. La disponibilidad de la información Esta política se aplica en todo el ámbito de la organización, a sus recursos tecnológicos y humanos, a la totalidad de los procesos internos o externos, a los proveedores y prestadores de servicios, otros, terceros, que de alguna forma pudieran tener alguna manera habitual u ocasionalmente interactúen información o con los equipos y dispositivos que la almacenen, transmitan y/o procesen. Administración Estas políticas deberán ser revisadas para su actualización por lo menos una vez al año o cuando algún Vigencia Marzo/2012 Página 1

3 cambio en el entorno funcional lo requiera. Responsables del Cumplimiento Todo el personal de Bancard y los terceros, que interactúan de manera habitual u ocasional con los activos de información, son responsables de informarse del contenido del cuerpo normativo de seguridad de información, cumplirlo y hacerlo cumplir en el desarrollo de sus tareas habituales. La Política de Seguridad de la Información es aplicable en forma obligatoria para todo el personal de Bancard, sin interesar su relación con la empresa, el área al cual se encuentra afectado o el nivel de tareas que desempeñe. El incumplimiento de la Política de Seguridad de la Información tendrá como resultado la aplicación de diversas sanciones, conforme a la magnitud y característica del aspecto no cumplido. Sanciones Previstas por Incumplimiento Empleados y Personal Contratado El empleado o personal contratado que no cumpla con lo expresado en esta Política de Seguridad de la Información, será sancionado conforme a lo dispuesto por el Reglamento Interno Bancard S.A., específicamente en los NUMERALES 21º al 25º. Prestadores de Servicios y Proveedores Se sancionará al prestador de servicio o proveedor que incumpla lo dispuesto en la presente Política, con la cancelación inmediata del contrato vigente siendo motivo de causa justificada y sin que esto represente alguna obligación de indemnización por parte de Bancard al prestador o proveedor. En General Además de las sanciones disciplinarias o administrativas el empleado, el proveedor o prestador afectado, que no da debido cumplimiento a sus obligaciones con respecto a estas políticas podrán incurrir en responsabilidad civil o patrimonial - cuando ocasione un daño que debe ser indemnizado- y/o en responsabilidad penal -cuando su conducta constituye un comportamiento considerado delito por el Código Penal y las leyes vigentes de la República. 2. Seguridad Física El acceso físico a cualquier activo de información tangible tales como Servidores de Datos, elementos de red, servidores en general, documentos y otros elementos críticos de la infraestructura como transformadores, antenas, paneles eléctricos, debe estar correctamente restringido. Esto se aplica sin excepción a los activos de información del segmento de red que alojan, procesan o transportan datos del tarjetahabiente y/o los datos de autenticación del tarjetahabiente Zonas Protegidas Se define 3 tipos de zonas según el nivel de protección que se le da a la misma: Área Alta Seguridad: Comprende lugares donde se administra información confidencial o superior (PAN, PIN, Banda Magnetica, llaves de cifrados, etc.). Data Center, Centro de Embozados, Sala de Monitoreo de Seguridad. Area Crítica: Donde se administra información resultante del proceso de datos, donde estén instalados o almacenados equipos e insumos críticos. Area Restringida: Donde se administra información de difusión limitada o pública. Todos los pisos del edificio Bancard, con excepción de la Planta Baja, están en esta categoria, como así también areas administrativas de las sucursales y otros edificios utilizados Control de acceso físico El acceso a dependencias que se considere críticas, serán controlado por medio sistemas que controlen Vigencia Marzo/2012 Página 2

4 el acceso. Las zonas de Alta Seguridad y las Zonas Críticas deben contar con sistemas de control de acceso con tarjetas de proximidad y/o sistemas biométricos que limite la entrada/salida, además de cámaras de CCTV, detectores de intrusión y otros medios de vigilancia que permita alertar intentos de accesos no autorizados. Los registros de estos controles deben ser almacenados por lo menos por un año o en conformidad a lo estipulado por la ley. Estos lugares deberán contar con carteles externos que indiquen la restricción aplicada y en su interior contar con carteles y avisos que enfaticen temas de Seguridad. Las puertas tendrán sistemas de control de tiempo de apertura con alarmas Personas Todo visitante será registrado en los accesos principales del edificio. El Guardia de Seguridad de turno gestionará la autorización de ingreso con la persona visitada. El visitante recibirá una tarjeta de visitante identificada por colores que indica el piso al cual accederá en forma exclusiva. Los visitantes, funcionarios y proveedores deben portar la tarjeta de identificación en lugar visible y en forma permanente dentro de las instalaciones de Bancard. El ingreso de una persona no autorizada a áreas críticas, deberá ser solo con el acompañamiento, en todo momento, de alguna persona responsable del área. Los medios utilizados para accesos de empleados y Proveedores, como ejemplo tarjetas, perfiles de usuarios, etc. serán desactivados o eliminados una vez que terminen vínculos laborales. La tarjeta de acceso será recuperada y las cuentas bloqueadas y/o eliminadas. En caso de pérdida de una tarjeta de acceso se comunicará inmediatamente a RR.HH. o Seguridad de la Información para desactivarla. Se debe mantener un registro de movimiento de las tarjetas de accesos para casos de necesidad de investigación. Los sistemas de control de acceso serán monitoreados permanentemente por el área de Seguridad. Todos los empleados deben tener especial cuidado de no permitir el paso a personas no autorizadas a áreas restringidas. Como mecanismo de prevención se prohíbe comer, beber o fumar dentro del centro de cómputo o instalaciones con equipos tecnológicos. Todo maletín, caja o bolso deberá ser revisado por personal de seguridad en el ingreso o salida de las instalaciones Equipos, Puestos de Trabajo y Otros Recursos Todo equipo informático, sean propios o de terceros, que procesen información o posean alguna conectividad con los sistemas de Bancard, deben cumplir con normas de seguridad física que eviten el acceso a los mismos de personas no autorizadas. Los computadores, notebooks, equipos de comunicaciones, teléfonos, etc. no deben moverse, reubicarse o ser sacados de las instalaciones sin autorización de la Gerencia de Producción e Infraestructura. Los servidores de datos, de aplicaciones y equipos de comunicaciones estarán ubicados en lugares seguros de acuerdo a lo que definen las mejores prácticas de la industria y las normas en las cuales se basan nuestras políticas. Los documentos relacionados a direcciones IPs internas, configuraciones y cualquier otra información de sistemas de comunicación y cómputo son de carácter Las salas técnicas de distribución de cableados, la sala de resguardo de cintas, discos, documentos relacionados a redes serán con acceso restringido y controlado. Ninguna estación de trabajo o notebook podrá ser conectada a la red sin antes ser verificadas y autorizada por la Gerencia de Producción e Infraestructura. Las tomas de redes no utilizadas estarán desactivadas. No se proveerá información en carteles o señaleticas sobre ubicación de Sitios de Alta Seguridad (Data Center, Embossing, HSR, Salas Técnicas, etc.) Vigencia Marzo/2012 Página 3

5 No se instalarán líneas telefónicas, canales de transmisión de datos, módems, o cambiar configuración de instalados sin autorización correspondiente de la Gerencia de Producción e Infraestructura Protección física de la información (Datos) Todas las personas que trabajan para BANCARD y/o aquellas designadas para trabajar en actividades dentro de sus instalaciones (consultores y contratistas) son responsables del adecuado uso de la información suministrada para tal fin por lo cual se debe velar por su integridad, confidencialidad, disponibilidad y auditabilidad. Toda información crítica secreta, confidencial y privada en cualquiera de sus formas (impresos, magnéticos, electrónicos, etc.) deben estar resguardadas debe estar provista de la seguridad necesaria por quien la maneja para evitar el uso indebido por parte de personal no autorizado. Para resguardar la información critica de Bancard, no se habilitan dispositivos de grabación en medios magnéticos como grabadores de CDs, DVDs, tampoco se habilitan los puertos USB para dispositivos de almacenamiento masivo como Pen Drive, disco externos, cámaras fotográficas, etc. 3. Perímetro (Comunicaciones y acceso a la red interna) Los sistemas de comunicaciones como la red interna, deben estar adecuadamente limitados y protegidas por elementos de red tales como firewalls, routers, u otra tecnología que realice un control de acceso a las mismas. Toda información crítica que trafica por las redes de comunicación de BANCARD deberá estar cifrada Control del perímetro Componentes de Red Se debe instalar y mantener firewalls o componentes de red con funciones equivalentes para proteger a los segmentos de red con datos críticos contra accesos no autorizados desde el exterior, desde una zona desmilitariza (DMZ), o el interior de la red. Estos deberán estar configurados conforme a las normas que rigen estas Políticas (PCI DSS, GVCP, MCIIEF, ISO 27001). Deben guardarse registros de auditoria de conformidad a los requerimientos de normas vigentes que rigen estas Políticas Conexiones con redes públicas e Internet. Para limitar el acceso a segmentos de datos críticos se establecerán zonas desmilitarizadas (DMZ). Las conexiones a los segmentos de redes de servidores críticos, estará restringido a lo estrictamente necesario. Las redes inalámbricas se consideran no confiables por lo tanto no se permite el acceso a la red interna utilizando conexiones WiFi. No está permitido conexiones a través de módems (dial-up y/o USB u otro dispositivo de conexión) conectados a estaciones de trabajo y que estén simultáneamente conectadas a una red de área local o a otra red de comunicación interna. No está permitido establecer conexiones vía módem u otra vía hacia la red interna o desde ella hacia el exterior. El acceso a salas de chat y mensajería instantáneas solo será habilitado a funcionario o proveedor de servicio que justifique plenamente su utilización previa autorización de la Gerencia General. No se utilizará computadores y herramientas de comunicación de Bancard como el correo, los boletines electrónicos, salas de chat, entre otros, para discutir o comentar temas relacionados al negocio. Todo funcionario, prestador de servicios o proveedor, deberá adecuarse a las normas de seguridad definidas para compartir sus recursos informáticos Conexiones a redes amplias y locales. Vigencia Marzo/2012 Página 4

6 Las redes amplias (frame relay, fibra óptica, etc.) deberán estar divididas en forma lógica y contar con mecanismos de control perimetral y de control de acceso. Las redes de comunicación local serán segmentadas, siempre que sea posible, de tal forma de mantener independencia entre las mismas Internet Todos los empleados y prestadores de servicios de Bancard deberán adecuarse a las leyes vigentes en el país, sobre derechos de reproducción, patentes, marcas registradas y todo lo relacionado con derechos de autor que se aplican en Internet. Los empleados y prestadores de servicios de Bancard no podrán participar o publicar mensajes en grupos de discusión de Internet, foros, boletines electrónicos, o cualquier otro sistema de información público, temas relacionados a la empresa sin expresa autorización. No está permitida la instalación de software o archivos obtenidos de Internet. Los empleados y prestadores de Bancard deben conocer las implicancias legales que acarrea la instalación de software no autorizado. No está permitido el uso de los equipos de Bancard para el acceso a Internet con fines personales. Se cuenta con aplicaciones que monitorean las actividades en internet como accesos a web mail, salas de chat y mensajería instantánea de los empleados y prestadores. Los empleados son informados de esta situación por la misma aplicación. Los empleados que accidentalmente se conecten a páginas de Internet que tengan contenidos sexuales, racistas o cualquier otro tipo de material ofensivo deberán desconectarse inmediatamente por el riesgo que estas representan y deberán informar a su superior, para que los sitios sean bloqueados Conexiones con terceros La conexión entre sistemas internos de BANCARD y otros sistemas (de terceros) debe ser aprobada y certificada por el área de seguridad informática con el fin de no comprometer la seguridad de la información interna. Se llevarán a cabo inspecciones a los sistemas de comunicación y de aplicaciones de terceros con el fin de verificar que información se esté manejando con las normas de seguridad acordadas Aspectos Generales sobre redes internas Toda información crítica que trafica por las redes de comunicación deberá estar cifrada, para lo cual se deben utilizar protocolos y criptografía solidas. Las direcciones internas, configuraciones e información relacionada con el diseño de los sistemas de comunicación y cómputo de la entidad deberán ser tratadas como información confidencial. Se deberá propiciar la segmentación las redes de comunicaciones de tal forma que los usuarios mantengan una independencia sobre las mismas. Los componentes de red deben guardar registros de auditoria de conformidad a los requerimientos indicados en el capitulo "Registro de Auditoria" Servicios Internos Intranet La información que se publique en la Intranet, debe contar con la aprobación de la Gerencia General y del propietario de la información involucrada. El material que se publique en la Intranet debe ser revisado previamente para confirmar la actualidad, oportunidad e importancia de la información y evitar que los programas incluyan virus y/o troyanos. La información de Intranet debe ser únicamente utilizada por personal autorizado. Los empleados no deben redireccionar información que aparezca en Intranet a terceros sin autorización. Vigencia Marzo/2012 Página 5

7 Correo Electrónico Se establecerá normas para proteger la confidencialidad y privacidad de la información que circule a través de servicios de correo electrónico. El correo electrónico no debe ser utilizado por terceros (clientes o proveedores) sin previa autorización. Los contratados que no forman parte de la nomina de empleados de Bancard, solo podrán contar con una dirección de correo del previa solicitud y justificación del Gerente a cargo. El envío de mensajes masivos a través del correo electrónico corporativo debe ser realizado solo con aprobación de la Gerencia de Administración y RR.HH. Información confidencial, no debe ser transmitida por correo electrónico a no ser que este en formato protegido. Se establece como información confidencial el PAN o número de la tarjeta, los códigos de seguridad de las tarjetas, las llaves que cifran datos confidenciales, etc. Los usuarios del correo corporativo no deben utilizar cuentas de correo electrónico corporativo que pertenezcan a otros usuarios. Los usuarios del correo corporativo no deben enviar mensajes de correo electrónico con contendidos hostiles que molesten a los receptores del mismo, como comentarios sobre sexo, raza, religión o preferencias sexuales. Así mismo, cuando un empleado reciba este tipo de mensajes debe comunicarlo a su jefe inmediato y al área de RR.HH. Ningún empleado esta autorizado a monitorear mensajes de correo electrónico. Seguridad de la Información y/o Auditoría Informática eventualmente podrían tener acceso, previa autorización de la Gerencia General. La empresa informará al empleado involucrado, pero no está obligada a obtener su autorización. El sistema de correo electrónico debe ser usado únicamente para propósitos de trabajo. BANCARD se reserva el derecho de acceder y revelar los mensajes enviados y/o recibidos en su bajo las mismas condiciones que el punto anterior. Se debe establecer procedimientos para el manejo seguro de archivos adjuntos enviados en los mensajes Se recomienda la utilización de firma digital. 4. Hardware (Estaciones de trabajo y Servidores) Los servidores y las estaciones de trabajo deben estar convenientemente protegidos considerando la configuración de los sistemas operativos, el acceso no autorizado a los mismos, malware (virus, worns, troyanos, etc.) y actualizaciones de seguridad Aspectos Generales de Instalación Los servidores implementarán una función principal única. Todos los servicios y protocolos innecesarios e inseguros de cada servidor deberá ser deshabilitad. Todas las funcionalidades innecesarias, tales como secuencias de comandos, drivers, funciones, subsistemas, sistemas de archivos y servidores web innecesarios serán eliminadas. Los parámetros de seguridad de cada servidor deben estar configurados adecuadamente de acuerdo a los manuales de políticas definidas, deben estar activos y actualizados. Todo acceso administrativo que no sea de consola local, deberá estar cifrado. Se debe utilizar tecnologías como SSH, VPN o SSL/TLS o semejantes en seguridad en los casos que corresponda Herramientas contra Software Malicioso (Antivirus) Los programas de protección contra software malicioso (antivirus) deben estar instalados y actualizados las estaciones de trabajo y servidores. Estos programas deben estar activos, actualizados y deben generar registros de auditoria. Las actualizaciones de los antivirus deben estar al día y deben incluir el software, las definiciones (firmas) y/o otros elementos necesarios para la correcta protección del host. Vigencia Marzo/2012 Página 6

8 Los servidores de actualizaciones del antivirus deben tener activados la actualización automática y la exploración periodica. Los componentes del sistema que incluyan sistemas operativos comunmente afectados por software malicioso (virus) deben tener activados la actualización automática y la exploración periodica. El software de firewall local debe estar instalado, activado y actualizado en todas las estaciones de trabajo, en particular en los dispositivos moviles o de propiedad de los empleados con conectividad directa a internet mediante las cuales se accede a la red de Bancard Parches de Seguridad Todos los componentes del sistema y el software deben contar con los últimos parches de seguridad proporcionado por los proveedores que sean compatibles para el buen funcionamiento del sistema. Los parches importantes de seguridad deben instalarse dentro del plazo máximo de 3 (tres) de su lanzamiento. Los visitantes, consultores o proveedores que necesiten utilizar servicios de red deberán tener los últimos parches y actualizaciones de anti virus. Los equipos que no estén adecuados a esta exigencia irán a una red de cuarentena con servicios restringidos Evaluaciones de Seguridad - Detección de Vulnerabilidades Se debe contar con un procedimiento para detectar nuevas vulnerabilidades, principalmente consultando fuentes externas a la empresa. Deberán ejecutarse trimestralmente evaluaciones internas de vulnerabilidades por medio de herramientas especializadas para ayuden a mantener un estado saludable de la red, las aplicaciones y los servidores. Deberá realizarse por lo menos una (1) vez al año la revisión de vulnerabilidades de la red, servidores, aplicaciones externas y aplicaciones internas. Esta tarea deberá ser ejecutada por una empresa especializada en este tipo de servicio Registro de Eventos - Logs Los componentes del sistema relacionados con los hosts, guardarán registros de auditoría de acuerdo a los requerimientos indicados en el capitulo "Registro de Auditoria" Administración, mantenimiento y adquisición de hardware La administración, mantenimiento, modernización y adquisición de equipos computacionales y de telecomunicaciones debe adoptar los siguientes criterios para proteger seguridad de información de la institución. Cambios al Hardware Los equipos computacionales o de procesamiento de datos no serán alterados sin el consentimiento, evaluación técnica y autorización de la Gerencia de Producción e Infraestructura Tecnológica. Los empleados deben reportar a la Gerencia de Producción e Infraestructura Tecnológica, sobre daños o pérdidas de equipos a su cuidado y que sean propiedad de la empresa. La intervención directa para reparar el equipo está expresamente prohibida. Se proporcionará el soporte interno o externo necesario para la solución del problema reportado. Todos los equipos deben estar relacionados en un inventario que incluya la información de sus características, configuración, ubicación, responsable. Todo el hardware será solamente adquirido de los canales de compra estándares y proveedores conocidos. Todos los productos de hardware deben ser registrados en inventarios ordenados por proveedor y contar con el respectivo contrato de mantenimiento. Para todos los equipos y sistemas de comunicación utilizados en procesos de producción, se debe aplicar un procedimiento formal de control de cambios que garantice que solo se realicen cambios autorizados. Vigencia Marzo/2012 Página 7

9 Control de Cambios El procedimiento de control de cambios debe ser administrado por la Gerencia de Producción e Infraestructura Tecnológica y debe incluir la documentación del proceso con las respectivas propuestas revisadas, la aprobación de las áreas correspondientes y la manera de como el cambio fue realizado. Seguridad de la Información, debe formar parte del proceso de control de cambio solicitado para garantizar que no afecte a la seguridad establecida en la compañía Acceso lógico y físico Todas las conexiones con los sistemas y redes deben ser realizadas por medio de dispositivos probados y aprobados y que debe contar con mecanismos de autenticación de usuario. Los equipos con módems instalados como notebooks, solo podrán ser utilizados cuando no estén conectados a la red de Bancard. Los equipos de computación que pueden ser accedidos por terceros a través de diversos canales - como líneas conmutadas, redes de fibras ópticas, frame realy, Wireless, Internet y otros. Todos los equipos estarán protegidos por mecanismos de control aprobados por la Gerencia de Seguridad de la Información. Todas las líneas conmutadas que permitan el acceso a la red de comunicaciones o sistemas deben pasar a través de un punto de control adicional (firewall, routers con ACLs, etc.) antes de que la pantalla de login aparezca en el terminal del usuario final Otros Aspectos relacionados al Hardware Todos los procesos relacionados con cifrado de datos deberán estar implementados en hardware especializado (HSM Host Security Module), para minimizar amenazas de revelación de llaves. Los equipos computacionales portátiles pertenecientes a Bancard y que contenga información confidencial relacionada al negocio, utilizarán software de cifrado para proteger la información y en viajes deberán ser registrados como equipaje de mano. Todo equipo deberá estar identificado mediante un código o número grabado en él, que permita su fácil identificación en el inventario de activos. Se realizarán controles de inventarios físicos en forma periódica y eficiente, por lo menos una vez al año. Todo equipo portátil debe tener la Declaración de Responsabilidad por parte del usuario, que incluya instrucciones de manejo de información y acato de normas internas y de seguridad para el caso de robo o pérdida. 5. Aplicaciones y Software de Base Utilización Todos los sistemas de información utilizados por Bancard S.A. deberán contemplar los aspectos mencionados a continuación relacionados a la seguridad implementada en los mismos. Los funcionarios deben velar por su cumplimiento Control de Acceso Todos los sistemas automatizados deben utilizar estándares para los códigos de identificación de usuario, nombres programas y archivos tanto en ambientes de producción como en desarrollo, para nombres de sistemas de información y otras convenciones utilizadas en tecnología. Si el sistema de control de acceso a un computador o red no está funcionando apropiadamente, debe suspenderse el acceso a todos los usuarios. Toda transacción que afecte información de valor, sensible o crítica debe ser procesada únicamente cuando se valide la autenticidad del origen (usuario o sistema) y se compruebe su autorización mediante un mecanismo de control de acceso o perfiles. Todo programa, equipo y archivo que contenga fórmulas, algoritmos u otras especificaciones que se utilicen para la generación de claves debe estar controlado con las más altas medidas de seguridad. Vigencia Marzo/2012 Página 8

10 Las contraseñas estarán cifradas en todo momento y nunca serán escritas o incorporadas dentro de los programas fuentes. Todos los computadores y sistemas de comunicación deberán tener implementados controles que impidan la recuperación de las palabras claves almacenadas. No está permitido construir o utilizar mecanismos para recolectar contraseñas o códigos de identificación de usuarios. Tampoco mecanismos para identificar o autenticar la identidad de los usuarios sin la autorización de la Gerencia de Seguridad de la Información. Todas las contraseñas emitidas inicialmente por Seguridad de la Información, deben ser válidas solamente para el primer acceso del usuario, inmediatamente la aplicación deberá solicitar el cambio de la misma asegurando que solamente el propietario conozca su contraseña. Se restringirá la utilización de usuarios genéricos, y los mismos estarán debidamente justificados, autorizados y bajo custodia de un responsable. NO se permite el ingreso de usuarios anónimos y se ejecutará monitoreo y control permanente de usuarios administradores, súper usuarios, usuarios de emergencia, invitados, proveedores y temporales Perfiles de usuarios y sus privilegios Los perfiles de usuario serán definidos de acuerdo a la función y cargo de cada funcionario de tal forma que la información solo sea accedida y/o modificada por los usuarios autorizados y en los horarios establecidos. Las modificaciones de privilegios y/o perfiles de usuario deben ser realizados exclusivamente por los administradores, de acuerdo a la solicitud y previa autorización del propietario de la aplicación o del propietario de la información. Se deja evidencia de los cambios realizados a los perfiles, de cambios de estado, permisos o eliminación de la cuenta. Privilegios especiales solo se otorga a administradores del sistema o responsables de la seguridad. Los usuarios finales no podrán tener acceso a niveles de comandos para el funcionamiento del sistema. El nivel de administrador de sistemas debe tener un control dual, de tal forma que exista una supervisión a las actividades realizadas por el administrador del sistema. Todas las herramientas de sistemas de información, construidas o distribuidas, que además de cumplir con sus funciones especificas pueda ser utilizada para realizar cambios no deseados, están restringidas al uso para el propósito determinado. El hardware y software de diagnóstico y/o utilitarios sólo deberán ser usados por personal autorizado y su uso debe ser controlado por la Gerencia de Seguridad de la Información. Controles de accesos Los usuarios no abandonarán su computador, estación de trabajo sin haber realizado el cierre de la sesión activa y bloquear su sesión. El acceso a los sistemas debe realizarse como mínimo por medio de un código de identificación del usuario y contraseña únicos para cada usuario. Los errores de user Id o password durante el acceso no mostrará mensajes declarando la fuente del problema, simplemente debe informar que el acceso es incorrecto. El sistema operativo deberá bloquear la cuenta del usuario después de tres intentos infructuosos y consecutivos. El bloqueo permanecerá hasta que el administrador del sistema o responsable de la seguridad lo habilite de nuevo siguiendo con los procedimientos establecidos para identificación del usuario. Controles sobre las Cuentas de Usuarios La aplicación deberá establecer controles sobre los perfiles de usuarios que no hayan tenido actividad durante un periodo de tiempo considerado crítico y revocar los privilegios de los mismos. Se establecen parámetros para basar este control. Seguridad Informática monitoriza los perfiles de usuarios en estas condiciones. El sistema debe controlar el tiempo de inactividad del usuario y desactivar la sesión en forma automática después de que se haya cumplido el tiempo definido. Vigencia Marzo/2012 Página 9

11 El sistema no deberá permitir que ningún usuario maneje simultáneamente sesiones en diferentes terminales, pudiendo abrir hasta las sesiones permitidas en su misma terminal. Se recomienda que el sistema despliegue información para el usuario, de la hora y la fecha del último acceso realizado por el mismo. Políticas y Administración de Contraseñas En todos los servidores y aplicaciones deberá implementarse complejidad de contraseñas. Deben establecerse políticas de contraseñas que permitan a los usuarios definir contraseñas fuertes. El sistema debe llevar un histórico de palabras clave, de tal forma que los usuarios no usen palabras claves utilizadas anteriormente Las contraseñas nunca serán presentadas en forma legible en pantalla o impresiones. El sistema debe obligar en forma automática a todo usuario a cambiar su contraseña según lo definido por las políticas Registro de Actividades - Logs Los componentes del sistema relacionados con las aplicaciones, deben guardar registros de auditoria de conformidad a los requerimientos aplicables indicados en el capitulo "Registro de Auditoria" Otros Controles Todo sistema debe contener herramientas que ayuden al administrador del sistema en la verificación del estado de seguridad. Estas herramientas deben contener mecanismos que sirvan para detectar, informar y corregir problemas de seguridad. Todos los sistemas de información en producción deben ser periódicamente revisados por el área de seguridad de la información para determinar el cumplimiento de un conjunto mínimo de controles requeridos para reducir riesgos. Los servidores de sistemas en Producción no deberán contener compiladores, ensambladores, editores de fuentes u otras utilidades que puedan ser utilizadas para comprometer la seguridad del sistema. Las características especiales del sistema y que no sean necesarias en el ambiente de procesamiento, deberán ser desactivadas en el momento de la instalación del software Restricciones sobre datos Críticos Todos los sistemas de Bancard deberán estar adecuados para solo permitir la visualización o impresión de PAN (número de tarjeta) en formato enmascarado. El formato definido por las normas que rigen este negocio es: Los primeros seis digitos y los últimos cuatro digitos es la cantidad máxima de dígitos que debe mostrarse. ( ** **** 9999) Gestión Administración, Operación y Control del Software Institucional. Los funcionarios de Bancard S.A. que tengan funciones y responsabilidades con los sistemas de información deberán adecuarse a las siguientes normas para proteger estos activos y la información que a través de estos se maneje Administración del Software Bancard S.A. deberá contar con un inventario actualizado del software de su propiedad, el comprado a terceros, el desarrollado internamente, el adquirido bajo licenciamiento, el entregado y/o recibido en comodato. Las licencias y los dispositivos de almacenamiento serán resguardadas en un lugar seguro bajo llave y responsabilidad de un funcionario designado por el Gerente de Producción e Infraestructura Técnica. Vigencia Marzo/2012 Página 10

12 Deberán estar incluidas en un sistema de administración y se efectuará inventarios físicos en forma anual para garantizar la consistencia. Los ambientes de desarrollo de sistemas, pruebas y producción deberán permanecer separados para su adecuada administración, operación, control y seguridad. Las personas involucradas en cada ambiente deben ser diferentes. Bancard S.A. contará con procedimientos que garanticen un adecuado manejo de requerimientos de cada aplicación, manejo de versiones y trazabilidad. Se implementarán procedimientos para la generación de copias de respaldo, para asegurar la correspondencia entre programas fuentes y objetos y para producir, mantener y resguardar la documentación de cada una de las aplicaciones utilizadas. La instalación de software en los equipos de Bancard S.A. deberá ser realizada por la Gerencia de Producción e Infraestructura Técnica con la debida autorización escrita del área de Seguridad Informática. Esta autorización se basará en la evaluación de la aplicación y la debida justificación para ser instalada. Los programas que se encuentren en el ambiente de producción, solamente podrán ser modificados de acuerdo con los procedimientos internos establecidos y en todos los casos se considerarán planes de contingencia y recuperación. Todo el software adquirido y/o licenciado para Bancard S.A. y su correspondiente documentación deberán contar con la debida documentación de origen y/o licencia de uso. Los datos de producción no se deberán utilizar en los entornos de desarrollo y pruebas Adquisición de Software Bancard S.A. implementará un esquema de adquisición de software de terceros que incluya un contrato con el proveedor que contemple cláusulas para la protección de la información y del software adquirido, la documentación correspondiente y los medios de respaldos necesarios. Todo software o licencia de uso de software adquirido deberá ser asignado a un propietario según las Políticas de Propiedad de la Información antes de ser instalado y puesto en producción. El software adquirido debe contar con acceso controlado que permita al usuario propietario del mismo restringir su uso solo a usuarios autorizados. Cada usuario deberá identificarse por medio de una única identificación de usuario y contraseña antes de que se le permita el acceso al sistema. El software registrará los eventos en los sistemas relacionados con la seguridad. Cuando se adquiera una licencia de uso de software, a través de un proveedor o la contratación de desarrollo de software a medida, se deberá agregar al contrato cláusulas que garanticen el riesgo de la continuidad de la prestación de los servicios del proveedor definiendo la figura de fiel depositario de los programas fuentes. Las aplicaciones adquiridas de terceros o desarrolladas internamente, deberán incluir en sus especificaciones puntos de seguridad de la información. Como mínimo deberían estar definidos; perfiles de usuarios, control de acceso, registros de las transacciones, registro de las actividades de usuarios (log), pistas de auditoria (journal) Parámetros del software para su implementación Con el propósito de asegurar la integridad de la información, la función de parametrización del software a instalar estará a cargo de un equipo interdisciplinario. Este equipo estará compuesto por representantes de los usuarios, el proveedor, Seguridad de la Información, Auditoría y el área propietaria de la aplicación. El documento final de parametrización del software deberá contar con la aprobación por parte del equipo interdisciplinario antes de su paso al ambiente de prueba y su posterior puesta en producción Desarrollo de Software Bancard S.A. implementará una metodología formal para el desarrollo de software seguro y las actividades de mantenimiento que cumplirán con las políticas, normas, procedimientos, controles y otras definiciones, del el proyecto aplicables en el desarrollo de sistemas y exigibles por el negocio. Los controles implementados deberán ser como mínimo los exigidos en los puntos relacionados a Adquisición de Software. Su revisión deberá estar incluida en los planes de auditoria de sistemas. Vigencia Marzo/2012 Página 11

13 Con el propósito de garantizar la integridad y confidencialidad de la información que administrará el software desarrollado, y antes del paso a la etapa de pruebas, se deberá verificar si han cumplido con la metodología establecida y presentado la documentación técnica respectiva. Para el desarrollo de software solamente podrán ser utilizados generadores y herramientas de los cuales se tengan certeza de su comportamiento seguro y confiable, además que haya sido aprobado por la Gerencia de Tecnología. Toda clave o llave de cifrado utilizada en el entorno de pruebas y desarrollo nunca serán instaladas en el ambiente de Producción. Con esto se garantiza que los desarrolladores de software no tendrán conocimiento de las claves y llaves en producción (criptografíadores, claves de CVV, pin offset, llaves de Pin Pad, laves de ATM s, etc.). Los desarrollos y/o modificaciones hechos a sistemas de aplicación no serán puestos en producción sin contar con: - conformidad del usuario final, - el conocimiento y autorización del propietario de la aplicación y - la documentación de operación del sistema (Manual del Usuario) según lo definido en el diseño y de acuerdo con la metodología de desarrollo de software. Las aplicaciones web deberán ser desarrolladas en base a directrices de codificación segura, como la Guía para proyectos de seguridad de aplicaciones web abierta OWASP (Open Web Application Security Project o Proyecto de Seguridad de Aplicaciones WEB Abiertas), en conformidad con el requerimiento 6.5 de PCI DSS. Las aplicaciones web publicas deberán ser chequeadas por metodos manuales o automáticos por lo menos una vez al año o despues de cada cambio Pruebas de Software El área de desarrollo de sistemas deberá entregar el software desarrollado con códigos fuentes al área responsable de ejecutar las pruebas. Será conformado un equipo de trabajo para realizar las pruebas correspondientes del funcionamiento del software desarrollado. Este equipo contará con representantes de usuarios para certificar que el desarrollo ha sido efectuado en base a sus requerimientos. Los tipos de pruebas mínimas a realizar deberán ser establecidas por los usuarios de la aplicación. Para garantizar la integridad de la información en producción, estas deberán ser planeadas, ejecutadas, documentadas y establecer control de sus resultados. El ambiente de pruebas será lo más idéntico posible en configuración, al ambiente de producción. Contemplar aspectos funcionales, de seguridad y técnicos. Se hará una revisión a la documentación mínima requerida y de los procesos de retorno a la versión anterior. Si hay necesidad de ingresar llaves o claves utilizadas en el ambiente de producción, estas deberán ser ingresadas y utilizadas de manera segura. Se deberá contar con un cronograma para la ejecución de las pruebas con el fin de cumplir con los compromisos institucionales acordados. Se garantiza la atención de los requerimientos por problemas presentados durante las pruebas. Se contará con un procedimiento que permita dejar evidencia del estado de las pruebas una vez corregido el problema. Una vez se hayan realizado todos los cambios al software, detectados durante las pruebas, deberá ejecutarse nuevamente una serie de pruebas integrales, que garanticen su correcto funcionamiento. El código fuente será revisado en búsqueda de códigos mal intencionado o debilidades de seguridad, utilizando herramientas automáticas, para luego ser compilado y transferido a producción Puesta en Producción del Software Para la puesta en producción de algún software, indefectiblemente deberá existir autorización del responsable de la aplicación, la conformidad del usuario final y la autorización por parte de Seguridad de la información. Vigencia Marzo/2012 Página 12

14 Las características utilizadas en el entorno de pruebas y que son innecesarias en el ambiente de producción serán identificadas y desactivadas en el momento de la instalación del software. Antes de la puesta en producción se deberá probar los parches de seguridad asociados y los cambios de configuración del software y del sistema Antes de implantar en producción algún software se verificará que se haya realizado lo siguiente: - Divulgación y entrega de documentación, - Capacitación del personal involucrado, - Verificación de estado de licencias de uso, - Ajustes de parámetros, especialmente los de seguridad, antes de su instalación en el ambiente de producción. Se deberá contar con un cronograma de puesta en marcha en producción con el fin de tener la posibilidad de realizar controles y ajustes necesarios para minimizar el impacto de la implantación del mismo. Los módulos ejecutables nunca deberán ser trasladados directamente de las librerías de pruebas a las librerías de producción sin previa compilación por el área asignada para tal efecto, que no deberá ser el área de desarrollo. Los programas en el ambiente de producción, serán modificados de acuerdo con los procedimientos de Control de Cambios establecidos. Mantenimiento del Software El área de desarrollo de sistemas no hará cambios al software de producción sin la debida autorización y sin cumplir con los procedimientos establecidos. A su vez se cuenta con un procedimiento de control de cambios que garantice que sólo se realicen las modificaciones autorizadas. La documentación de todos los cambios hechos al software, se preparará simultáneamente con el proceso de cambio. Cuando un tercero efectúe ajustes a algún software deberá firmar un acuerdo de confidencialidad y utilización no autorizada del mismo. Por cada mantenimiento a la versión del software, también se actualizarán las versiones de respaldo y las que estén en custodia en Bancard o en proveedores terceros. Las actualizaciones de software requeridos por la empresa deberán contemplar el cumplimiento de los procedimientos de licenciamiento respectivo. 6. Datos: Clasificación, almacenamiento y administración de la información Los funcionarios de la empresa son responsables de la información que manejan y deberán seguir los siguientes lineamientos para protegerla y evitar pérdidas, accesos no autorizados y utilización indebida de la misma. Bancard administra, procesa, y transmite información que no es de su propiedad, sino de los clientes para quienes presta servicio, por lo tanto la responsabilidad en la custodia de los datos es de vital importancia para garantizar la continuidad de los servicios y del negocio Clasificación de la Información Toda la información contenida en los sistemas de Bancard S.A. deberá ser clasificada de acuerdo a su nivel de sensibilidad. Se deberá contar con una metodología que permita clasificar la información y conocer su valor. Los responsables de la información serán los encargados de clasificar, proteger y autorizar el acceso a la información. Los responsables asumen el papel de tutores de la información, en tanto la propiedad siempre será de las entidades miembros del sistema Bancard Vigencia Marzo/2012 Página 13

15 Todos los datos contenidos en los sistemas deberán ser clasificados dentro de las siguientes categorías: - CONFIDENCIAL: para la información considerada sensible y controlada, que solamente puede ser divulgada interna o externamente a persona o grupo reducido de personas debidamente autorizadas. - RESTRINGIDO: para la información sensible que podrá ser divulgada interna o externamente bajo los controles definidos, debido a que podría representar riesgo para la empresa y las marcas representadas. - USO INTERNO: para la información de divulgación interna segura, no recomendada para divulgación externa. - PUBLICA: para la información que puede ser divulgada interna y externamente sin riesgos para la empresa o las marcas representadas. Toda información debe etiquetarse (marcarse) según la categoría definida y todos los datos que se divulguen por cualquier medio deben mostrar la clasificación de sensibilidad de la información. Cuando se consolida información con varias clasificaciones de sensibilidad, los controles usados deben proteger la información más sensible y se debe clasificar con el máximo nivel de restricción que contenga la misma. En caso de ser necesario compartir información sensible desde estaciones de trabajo, se debe utilizar la seguridad que ofrecen los sistemas para restringir el acceso a través de claves o usuarios específicos. La responsabilidad para definir la clasificación de la información será del dueño de la información en conjunto con Seguridad de la Información, también debe existir un cronograma de revisión para realizar mantenimiento a la clasificación de sensibilidad de la información Almacenamiento de la Información Almacenamiento y Respaldo de Información Las bases de datos que contengan datos críticos deben estar en el segmento de red de datos críticos, segregada de la DMZ. Los datos del tarjetahabiente deben almacenarse la menor cantidad posible, lo suficiente para las necesidades de las operaciones o de los requisitos legales. Los datos confidenciales de autenticación, luego de la autorización no deberán almacenarse aunque estén cifrados. El PAN (número de tarjeta) debe hacerse ilegible en cualquier lugar en el que se encuentre almacenado, incluyendo logs de base de dato, o cualquier otro tipo de registro de auditoría, además de los medios de utilizados para back-up, Todo dato crítico debe tener un proceso de respaldo periódico, un periodo de retención, fecha de la última modificación, fecha de caducidad y fecha en que pierde su estado de crítico. Toda información administrada por Bancard S.A. debe tener una copia de respaldo completa y actualizada, en un sitio externo al local en que se procesan dichos datos. Todos los medios físicos donde la información de valor, sensitiva y crítica es almacenada por periodos mayores de seis (6) meses, no deben estar sujetos a una rápida degradación o deterioro por lo tanto deben mantenerse almacenados bajo condiciones ambientales de temperatura y humedad óptimas que permitan conservar la información. La empresa debe contar con un procedimiento para la restauración de los backups. Estará administrado por el área de Producción y Monitoreo Técnico. Los respaldos de información deben tener un proceso de validación por lo menos cada 6 meses con el fin de garantizar que no han sufrido ningún deterioro y que podrán ser utilizados en el momento en que se necesite. Toda la información contable, de impuestos y de tipo legal debe ser conservada de acuerdo con las normas legales vigentes. Administración de llaves criptográficas Vigencia Marzo/2012 Página 14

16 Las claves criptográficas utilizadas para el cifrado de los datos del tarjetahabiente, deberán estar clasificadas como CONFIDENCIAL y ser protegidas contra divulgación, uso indebido o sustitución no autorizada restringiendo al mínimo el número de custodios necesarios y guardandola de forma segura en la menor cantidad de ubicaciones y formas posibles. Todos los procesos y los Procedimientos de Gestión de claves criptográficas que se utilizan para el cifrado de datos del tarjetahabiente deben estar documentados, teniendo en cuenta lo siguiente: - Generación de claves criptográficas sólidas (TDES, AES-256) - Distribución segura de claves criptográficas (en forma de componentes) - Almacenamiento seguro de claves criptográficas (en dispositivos seguros HSM) - Cambios periódicos de claves criptográficas - Destrucción o reemplazo de claves criptográficas antiguas o en sospecha de exposición. El proceso de creación de claves criptográficas y el conocimiento y control se debe segregar entre distintas personas responsables. Estos custodios de claves criptográficas deberán firmar un formulario en el que declaren que comprenden y aceptan su responsabilidad como custodios de las claves criptograficas Almacenamiento y Transmisión por distintos medios Toda información crítica solamente será remitida fuera de las instalaciones Bancard S.A. en forma segura cumpliendo con los procedimientos establecidos. Todos los mensajes de correo electrónico remitidos en formato libre de texto y que contengan información crítica deben cumplir con los procedimientos establecidos de manera que se realice y/o almacenen en forma segura. Toda la información transmitida por medios como por ejemplo el fax, s, chats, etc. deberán seguir procedimientos establecidos para asegurar la confidencialidad e integridad de la información. No deben enviarse datos críticos por medio de tecnologías de mensajería de usuario final (por ejemplo, el correo electrónico, la mensajería instantánea o el chat) si no están cifrados, en particular los siguientes: - el PAN (número de tarjeta), - el nombre del titular de la tarjeta, el Código de Servicio, - la Fecha de Vencimiento, - los Datos completos de la banda magnética (Track), - los códigos de seguridad CAV2/CVC2/CVV2/CID, - el PIN, Toda información crítica que aparece en recibos generados por computador, POS, ATM y entregados a los clientes (voucher) deben ser truncados o enmascarados siguiendo lo que recomienda la norma de presenta solo los primeros 6 dígitos y los últimos cuatro Eliminanción de Datos La eliminación de la información debe seguir procedimientos seguros y debidamente aprobados por la Gerencia de Seguridad Informática Administración de la Información Cualquier tipo de información interna no puede ser vendida, transferida o intercambiada con terceros para ningún propósito diferente al del negocio. En caso de que la información sea requerida por auditores internos o externos, la entrega de dicha documentación deberá ser autorizada por el propietario de la información solicitada. Son derecho de propiedad intelectual exclusiva de Bancard S.A. todos los productos desarrollados o modificados por empleados o personas contratadas por la empresa. Los datos y programas deben ser modificados únicamente por personal autorizado de acuerdo con los procedimientos establecidos en la metodología de desarrollo de software. También el acceso a depósitos de información (almacenamiento físico o medio magnético) debe restringirse únicamente a personal autorizado. Cuando la información crítica no está siendo utilizada se la debe guardar en sitios destinados para el efecto, los cuales deben contar con las debidas medidas de seguridad que garanticen su confidencialidad Vigencia Marzo/2012 Página 15

17 e integridad. En cualquier momento, el propietario de la información con la participación del responsable de la seguridad de la Información puede reclasificar el nivel de sensibilidad inicialmente aplicado a la información. El acceso a la información crítica se debe otorgar únicamente a personas específicas y debidamente autorizadas según procedimientos establecidos. Toda divulgación de información CONFIDENCIAL o RESTRINGIDO a terceras personas debe estar acompañada por un contrato de confidencialidad que describa explícitamente qué información es restringida y cómo puede ser usada. Toda la información debe contemplar las características de Integridad, Confidencialidad, Disponibilidad, Trazabilidad, Efectividad, Eficiencia, Cumplimiento. Todo software que comprometa la seguridad de los sistemas se custodiará y administrará únicamente por personal autorizado. Adicionalmente, se dejará registro de auditoria de su utilización. La realización de copias adicionales de información sensible debe cumplir con los procedimientos de seguridad establecidos para tal fin y contar con la autorización del propietario de los datos a ser duplicados. La información resguardada por Bancard S.A. no puede ser divulgada sin contar con los permisos de las gerencias propietarias responsables de cada sistema, además ningún empleado, prestador de servicio o consultor contratado esta autorizado a llevar consigo información alguna cuando se retire de la empresa. Todos los medios de almacenamiento utilizados en el proceso de construcción, asignación, distribución o encriptación de claves o PIN se deben someter a un proceso de destrucción inmediatamente después de ser usados. Toda la información histórica almacenada debe contar con los medios, procesos y programas capaces de manipularla con seguridad, esto teniendo en cuenta la reestructuración que sufren las aplicaciones y los datos a través del tiempo. Las claves y criptogramas para generación y validación de PIN, deben ser manejados bajo la norma del control dual no compartido, es decir, debe intervenir más de una persona en el proceso de generación de las mismas. Cuando las palabras claves o números de identificación personal (PIN) sean generados por el sistema, deben ser impresos inmediatamente y nunca ser almacenados en los sistemas Validaciones, controles y manejo de errores Para reducir la probabilidad de ingreso erróneo de datos de alta sensibilidad, todos los procedimientos de ingreso de información deben contener controles de validación. Se debe contar con procedimientos de control y validaciones para transacciones rechazadas o pendientes de procesar, además de los tiempos determinados para dar la solución y tomar las medidas correctivas. Todas las transacciones que ingresen a un sistema de producción computarizado, deben ser sujetos a un chequeo razonable, chequeos de edición y/o validaciones de control. Todos los errores cometidos por los empleados y que son detectados por los clientes deben cumplir con un proceso de investigación de acuerdo con los procedimientos y tiempos establecidos. Se utilizará cifras de control, así como definirá procedimientos para el cuadre de estas cifras de control, que garanticen la integridad de la información procesada. Los controles establecidos en los procesos y las vulnerabilidades de seguridad detectados en los procesos y recursos informáticos, no pueden ser dados a conocer a terceros por parte de los empleados Logs Los componentes del sistema relacionados con los datos, deben guardar registros de auditoria de conformidad a los requerimientos aplicables indicados en el capitulo "Registro de Auditoria". Vigencia Marzo/2012 Página 16

18 7. Personas Los funcionarios con relación a la seguridad de la información. La responsabilidad de la seguridad de la información es una obligación de cada funcionario de Bancard S.A Perfil de Usuario, Identificación y Contraseña de acceso La identificación del usuario (Id. usuario) debe ser único para cada usuario habilitado en los sistemas de Bancard S.A. La identificación, el perfil y la contraseña de acceso del usuario serán de uso personal e intransferible. Los mecanismos de acceso para el uso de los recursos informáticos otorgados a los usuarios, será exclusiva responsabilidad de cada uno y cuando sean ingresados en los sistemas deberán ser protegidos contra su divulgación a terceros. El área de Seguridad Informática implementará los medios necesarios para salvaguardar la integridad de la identificación, perfil y contraseña de acceso del usuario. Las contraseñas se transmitirán o se almacenaran en forma ilegible mediante una sólida criptografía. Los usuarios serán responsables de todas las actividades llevadas a cabo con su identificación, perfil y contraseña de acceso Uso Apropiado de la Información Los funcionarios no deben proporcionar de forma externa o interna información procesada por Bancard sin autorización de la gerencia de área respectiva o de la Gerencia General. Los funcionarios podrán consultar, modificar, destruir, copiar o distribuir archivos o información solamente con la debida autorización del Usuario Propietario de la Información. (Ver Política de Propiedad de la información) La Instalación de software será controlada y administrada por la Gerencia de Producción e Infraestructura Técnica con autorización expresa y escrita del área de Seguridad de la Información. Los usuarios no deberán instalar software de aplicación para obtener información en forma no autorizada. Los usuarios finales no tendrán nivel Administrador en sus equipos personales. Los usuarios no deberán acceder en forma no autorizada a los sistemas de aplicación, examinar equipos servidores de procesamiento, estaciones de trabajo individuales y redes informáticas con el propósito de obtener información confidencial o datos no relacionados con su actividad laboral. La información administrada por Bancard S.A. es de carácter confidencial y no será incluida en listas de correo electrónico. Los usuarios deben actuar con la debida diligencia para salvaguardar en todo momento la confidencialidad de la información. Los usuarios tienen la responsabilidad de controlar la integridad, confidencialidad, disponibilidad y trazabilidad de la información que utilicen, especialmente si la información está clasificada como crítica. Los usuarios deben informar inmediatamente al área de Seguridad de la Información o al gerente de su área, la ocurrencia de intentos de acceso indebido al sistema, aparición de virus informático, ejecución de programas desconocidos y errores del sistema que otorguen facilidades de acceso no previstas en la definición de su perfil de usuario Otras Consideraciones Los usuarios utilizarán exclusivamente los recursos de tecnología provistos por Bancard para actividades propias de la empresa y relacionadas al negocio. Todos los nuevos funcionarios de Bancard S.A. deberán firmar el documento COMPROMISO DE CUMPLIMIENTO DE MEJORES PRÁCTICAS DE SEGURIDAD DE LA INFORMACIÓN entregado por el área de Seguridad de la Información en el momento de su incorporación. Los usuarios de sistemas de información de Bancard S.A. deberán cumplir con las recomendaciones de estas Políticas y las recomendaciones mencionadas en el documento resumen Pautas a Seguir para la Seguridad de la Información, a ser distribuido durante el programa de inducción al nuevo funcionario. Vigencia Marzo/2012 Página 17

19 8. Registro de Auditoria (logs) Los mecanismos de registros de auditoria y su capacidad para rastrear las actividades de los usuarios críticos. Los logs pueden ser utilizados por la organización en todos los casos que se consideren necesarios (investigaciones internas, investigaciones externas, consultas de entes externos y de entes de control). Estos serán considerados como evidencia digital suficiente de la utilización de los aplicativos, sistemas operacionales y comunicaciones Administración de Logs Se debe establecer un proceso para vincular todos los accesos a componentes del sistema a cada usuario en particular. Estas medidas se tomarán con el requisito especifico de rastrear y monitorizar todos los accesos a los recursos del sistema que luego podrán ser utilizados para determinar y/o reconstruir los eventos ocurridos en los componentes del sistema. Todos los archivos de logs de los diferentes sistemas deben retenerse por periodos definidos según su criticidad y la exigida de ley en forma obligatoria. Además, deben ser custodiados en forma segura para que no puedan ser modificados y para que puedan ser leídos únicamente por personas autorizadas; los usuarios que no estén autorizados deben solicitarlos al área encargada de su administración y custodia. Todos los accesos a datos críticos, asi como a los elementos de sistemas deben quedar registrados en los registros de auditoria. Estos registros deben contener información suficiente para que por si mismo o en conjunción con otros recursos puedan identificar las actividades realizadas y vincularlos con cada usuario en particular. Debe incluir como mínimo la siguiente información: - Identificación del código del usuario - Identificación de la terminal - Fecha/hora de la entrada y de la salida de cada sesión del sistema - Aplicaciones invocadas - Cambios de información en los archivos de las aplicaciones críticas - Adiciones y/o cambios a los privilegios de los usuarios - Controles del sistema modificados - Fecha/hora de iniciación y terminación de ingreso al sistema de información - Intentos de accesos no autorizados - Intentos de uso de privilegios de comandos no autorizados - Uso de comandos privilegiados y de software utilitario del sistema Todos los logs habilitados en el sistema deben tener definido un usuario para su administración y control, quien además deberá encargarse de realizar seguimientos y revisiones periódicas a los mismos. Los logs deben tener mecanismos de seguridad y control administrativo resistentes a ataques capaces de detectar y grabar eventos significativos en aspectos de seguridad de información. Estos ataques incluyen intentos de desactivar, modificar, intentar o detectar las claves de acceso al software y/o a los mismos logs. Los registros de auditoria automáticos implementados deben permitir reconstruir los siguientes eventos como mínimo: - Todos los accesos de personas a los datos críticos - Todas las acciones realizadas por cuentas de usuario con privilegios de administrador, root, super usuario, etc. - El acceso a todas las pistas de auditoria - Intentos de acceso logico no validos - Uso de mecanismos de identificación y autenticación. - Inicialización de los registros de auditoria - Creación y eliminación de objetos a nivel del sistema - Intentos de desactivar, modificar, interceptar o probar las claves de acceso - Cada vez que se hacen copias adicionales de información sensible definida en la Política de clasificación de la información, deberá quedar registro en un log. Para cada evento debe registrarse los siguientes datos: identificación del usuario, tipo de evento, fecha y hora, estado de exito o falla, origen del evento, identidad o nombre de los datos, componentes del sistema Vigencia Marzo/2012 Página 18

20 o recursos comprometidos. Tanto los relojes como los horarios del sistema que sean críticos deben estar sincronizados a los efectos de tener la misma fecha y hora para que el registro en el log sea confiable. Los registros de auditoria deben resguardarse de modo a a que no puedan modificarse. Los registros de auditoria de todos los componentes del sistema deben revisarse por lo menos una vez al día, tanto de los componentes del sistema operacionales como los de seguridad, las herramientas especializadas de recolección, análisis y alerta automática de registros pueden ser utilizadas para este efecto. Los registros de auditoría deberán ser conservados por lo menos durante un año, con un mínimo de tres meses inmediateamente disponibles para el análisis. Vigencia Marzo/2012 Página 19

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP Biodiversidad Amazónica - BIOINFO 2013 POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP (Aprobada en sesión Ordinaria de Directorio N 584 del 26 de Noviembre del 2013) Iquitos, Noviembre 2013 Programa de

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

POLITICA DE SEGURIDAD

POLITICA DE SEGURIDAD POLITICA DE SEGURIDAD ALCANCE DE LAS POLÍTICAS Las políticas definidas el presente documento aplican a todos los funcionarios públicos, contratistas y pasantes de la Corporación Para el Desarrollo Sostenible

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Resumen de los cambios de la a la 3.0 de las PCI DSS (Normas de seguridad de datos de la Industria de tarjetas de pago) Noviembre de

Más detalles

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S Nom bre del Políticas de Seguridad de Información Normativa EMISIÓN CLASIFICACIÓN SERIAL Nº 20/09/06 USO GENERAL NORMATIVA S/S 1/39 INTRODUCCIÓN Las normas que integran las Políticas de Seguridad de Información

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

PCI DSS PA DSS. Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS.

PCI DSS PA DSS. Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS. PCI DSS PA DSS Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS. JOSÉ GARCÍA GONZÁLEZ PCI Manager/Consultor CEX de MM. PP. Informática

Más detalles

POLITICAS Y NORMAS PARA EL USO DEL CORREO ELECTRONICO INSTITUCIONAL (LOTUS NOTES) E INTERNET DE LA COMISION NACIONAL DE SEGUROS Y FIANZAS

POLITICAS Y NORMAS PARA EL USO DEL CORREO ELECTRONICO INSTITUCIONAL (LOTUS NOTES) E INTERNET DE LA COMISION NACIONAL DE SEGUROS Y FIANZAS POLITICAS Y NORMAS PARA EL USO DEL 1 INDICE I. Descripción del Servicio 3 II Propósito de las políticas de acceso y uso de Internet 4 III Disposiciones Generales 4 De la Dirección General de Informática

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

POLÍTICA DE SEGURIDAD DE CORREO ELECTRÓNICO

POLÍTICA DE SEGURIDAD DE CORREO ELECTRÓNICO POLÍTICA DE SEGURIDAD DE CORREO ELECTRÓNICO PSHCM_01 2 0 1 3 NOTA DE CONFIDENCIALIDAD DE ACUERDO A CLASIFICACIÓN Este documento es de propiedad exclusiva del Hospital Clínico de Magallanes y su uso debe

Más detalles

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION RESPONSABILIDAD Y AUTORIDAD REVISADO POR: LEIDA MARIA RAMIREZ GIL SUBGERENTE GENERAL FECHA 30/10/2014 APROBADO POR: GERARDO

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA A LAS ENTIDADES CAMBIARIAS: BANCO CENTRAL DE LA REPÚBLICA ARGENTINA 2004 - Año de la Antártida Argentina COMUNICACIÓN A 4192 Ref.: Circular CONAU 1-670 Requisitos Operativos Mínimos de Tecnología y Sistemas

Más detalles

POLITICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN

POLITICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN POLITICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN Política Corporativa de Seguridad de la Información En ICETEX la información es un activo fundamental para la prestación de sus servicios y la toma de decisiones

Más detalles

MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS

MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA... 3 INTRODUCCIÓN... 3 1.- DISPOSICIONES GENERALES... 3 1.1 ÁMBITO DE APLICACIÓN

Más detalles

Normativa de seguridad y uso de los recursos informáticos en la UPCT

Normativa de seguridad y uso de los recursos informáticos en la UPCT Normativa de seguridad y uso de los recursos informáticos en la UPCT Aprobada por: Consejo de Gobierno de la UPCT. Fecha: 7 de Noviembre de 2011. Resumen: La Política de Seguridad de la UPCT se aprobó

Más detalles

DOCUMENTO PARA CLIENTES, PROVEEDORES O TERCEROS- POLÍTICAS DE SEGURIDAD EMTELCO 1. POLÍTICA DE ACCESO PORTÁTILES SEDES EMTELCO.

DOCUMENTO PARA CLIENTES, PROVEEDORES O TERCEROS- POLÍTICAS DE SEGURIDAD EMTELCO 1. POLÍTICA DE ACCESO PORTÁTILES SEDES EMTELCO. DOCUMENTO PARA CLIENTES, PROVEEDORES O TERCEROS- POLÍTICAS DE SEGURIDAD EMTELCO Las siguientes políticas de seguridad son aplicables a los clientes, proveedores y/o terceros, que tengan alguna relación

Más detalles

MANUAL DE BUEN USO DE LOS SISTEMAS DE INFORMACIÓN PARA EMPRESAS PROVEEDORAS -MSGUSIEX- Versión 1.1

MANUAL DE BUEN USO DE LOS SISTEMAS DE INFORMACIÓN PARA EMPRESAS PROVEEDORAS -MSGUSIEX- Versión 1.1 MANUAL DE BUEN USO DE LOS SISTEMAS DE INFORMACIÓN PARA EMPRESAS PROVEEDORAS -MSGUSIEX- Versión 1.1 MANUAL DE BUEN USO DE LOS SISTEMAS DE INFORMACIÓN PARA EMPRESAS PROVEEDORAS ÍNDICE 1. ENTORNO 3 2. OBJETIVO

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA

POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA Código: 2-00-002-001POL-09 Versión:3 Página 1 de 36 POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA Código de documento: 2-00-002-001POL-09 Aprobado por Licda. Gabriela Espinoza Meza Fecha aprobación:

Más detalles

PROCEDIMIENTO DE GESTIÓN DE INCIDENCIAS DE SEGURIDAD ELABORADO POR: REVISADO POR: APROBADO POR:

PROCEDIMIENTO DE GESTIÓN DE INCIDENCIAS DE SEGURIDAD ELABORADO POR: REVISADO POR: APROBADO POR: DE GESTIÓN DE INCIDENCIAS DE SEGURIDAD ELABORADO POR: REVISADO POR: APROBADO POR: 19/10/2015 Audedatos Josema Gil Nº edición: 01 Nº revisión: 01 Página 2 de 14 Fecha Edición Revisión Cambios Realizados

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED 1. OBJETIVO Establecer el procedimiento para la administración de la seguridad en la que asegure su protección efectiva contra ataques y permita cumplir los requisitos de confidencialidad, integridad y

Más detalles

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el

Más detalles

ADMINISTRACIÓN DE LA INFRAESTRUCTURA TECNOLÓGICA

ADMINISTRACIÓN DE LA INFRAESTRUCTURA TECNOLÓGICA ADMINISTRACIÓN DE LA INFRAESTRUCTURA TECNOLÓGICA ELABORACIÓN REVISIÓN APROBACIÓN Elaborado por: Revisado por: Aprobado por: Patricia Eugenia Gómez Escobar Rafael López Hoyos Rafael López Hoyos Cargo: Cargo:

Más detalles

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones:

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones: Lima, 02 de abril de 2009 CIRCULAR Nº G- 140-2009 --------------------------------------------------------- Ref.: Gestión de la seguridad de la información ---------------------------------------------------------

Más detalles

PROYECTO METODOLOGIA PARA LA ELABORACION DEL PLAN DE SEGURIDAD INFORMATICA

PROYECTO METODOLOGIA PARA LA ELABORACION DEL PLAN DE SEGURIDAD INFORMATICA PROYECTO METODOLOGIA PARA LA ELABORACION DEL PLAN DE SEGURIDAD INFORMATICA Propósitos de este documento El objetivo del presente documento es establecer una metodología para la elaboración del Plan de

Más detalles

3 POLÍTICAS DE SEGURIDAD

3 POLÍTICAS DE SEGURIDAD 3 POLÍTICAS DE SEGURIDAD 3.1 PROPÓSITO Las Políticas de Seguridad son documentos de alto nivel. Representan la filosofía y el talante del ASJ, en materia de seguridad. Es necesario, además, que las Políticas

Más detalles

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

POLÍTICA DE SEGURIDAD FÍSICA N-10 NOTA DE CONFIDENCIALIDAD DE ACUERDO A CLASIFICACIÓN

POLÍTICA DE SEGURIDAD FÍSICA N-10 NOTA DE CONFIDENCIALIDAD DE ACUERDO A CLASIFICACIÓN POLÍTICA DE SEGURIDAD FÍSICA N-10 2011 NOTA DE CONFIDENCIALIDAD DE ACUERDO A CLASIFICACIÓN Este documento es de propiedad exclusiva de MINSAL y su uso debe estar ceñido a lo dispuesto en la clasificación

Más detalles

SOLUCIONES EN SEGURIDAD INFORMATICA

SOLUCIONES EN SEGURIDAD INFORMATICA SOLUCIONES EN SEGURIDAD INFORMATICA PLAN DE SEGURIDAD INFORMATICA ASESORIA SERVICIOS DE SEGURIDAD INFORMATICA Debido a la necesidad de las organizaciones para comunicarse con proveedores, clientes, empleados

Más detalles

Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES

Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES Con el propósito de obtener un adecuado entendimiento de la implicancia que tiene el uso de tecnología, las amenazas y vulnerabilidades, así

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

Vicerrectorado de Servicios Informáticos y de Comunicación Política de uso de los Recursos Informáticos y de la Red de Datos de la UPM

Vicerrectorado de Servicios Informáticos y de Comunicación Política de uso de los Recursos Informáticos y de la Red de Datos de la UPM Política de uso de los Recursos Informáticos y de la Red de Datos de la UPM 1. Objetivo del documento Establecer las normas de uso correcto de los Recursos Informáticos y de la Red de Datos en la UPM.

Más detalles

MINISTERIO DE HACIENDA INSTRUCTIVO SAFI N 02/2010

MINISTERIO DE HACIENDA INSTRUCTIVO SAFI N 02/2010 INSTRUCTIVO SAFI N 02/2010 ASUNTO: NORMAS PARA EL FUNCIONAMIENTO DE LA ARQUITECTURA TECNOLÓGICA DE LOS SISTEMAS DE: ADMINISTRACIÓN FINANCIERA INTEGRADO (SAFI), INFORMACIÓN DE RECURSOS HUMANOS (SIRH) E

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

Corte Suprema de Justicia Secretaría General

Corte Suprema de Justicia Secretaría General CIRCULAR Nº 120-10 Asunto: Reglamento para la administración y Uso de los Recursos Tecnológicos del Poder Judicial.- A LOS SERVIDORES Y SERVIDORAS JUDICIALES DEL PAÍS SE LES HACE SABER QUE: La Corte Plena

Más detalles

ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 ADMINISTRACION DE INFRAESTRUCTURA TECNOLOGICA

ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 ADMINISTRACION DE INFRAESTRUCTURA TECNOLOGICA ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 ADMINISTRACION DE INFRAESTRUCTURA TECNOLOGICA CÓDIGO: APO4-P-002 FECHA DE VIGENCIA 05/Feb/2014 1. OBJETIVO Proveer, mantener y garantizar

Más detalles

MANUAL 02 DE AUDITORIA

MANUAL 02 DE AUDITORIA MANUAL 02 DE AUDITORIA INDICE 1. Introducción 2. Evaluación de los Sistemas 3. Evaluación de los equipos 4. Controles administrativos en un ambiente de Procesamiento de Datos 5. Revisión de Centros de

Más detalles

MANUAL PARA EL MANEJO DE EQUIPOS DE CÓMPUTO Y SOFTWARE SCI-MG-MEC-V1-08

MANUAL PARA EL MANEJO DE EQUIPOS DE CÓMPUTO Y SOFTWARE SCI-MG-MEC-V1-08 MANUAL PARA EL MANEJO DE EQUIPOS DE CÓMPUTO Y SOFTWARE SCI-MG-MEC-V1-08 MUNICIPIO DE GAMA 1 CONTENIDO 1. INTRODUCCION 2. OBJETIVOS 3. AMBITO DE APLICACIÓN 4. NORMAS DE USO DE LOS EQUIPOS DE CÓMPUTO 5.

Más detalles

TECNOLOGÍAS DE INFORMACIÓN GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

TECNOLOGÍAS DE INFORMACIÓN GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO Tema: Uso de Sistemas de Información, de la Internet y del Correo Electrónico TECNOLOGÍAS DE INFORMACIÓN GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLÍTICA NÚM.: TIG-008 FECHA DE EFECTIVIDAD: 15

Más detalles

SECRETARIA DISTRITAL DE INTEGRACION SOCIAL SUBDIRECCION DE INVESTIGACION E INFORMACION

SECRETARIA DISTRITAL DE INTEGRACION SOCIAL SUBDIRECCION DE INVESTIGACION E INFORMACION ALCALDÍA MAYOR DE BOGOTÁ D.C. Secretaría Distrital INTEGRACIÓN SOCIAL SECRETARIA DISTRITAL DE INTEGRACION SOCIAL SUBDIRECCION DE INVESTIGACION E INFORMACION LINEAMIENTOS DE SEGURIDAD INFORMATICA SDIS Bogotá,

Más detalles

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad)

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) Abril 2008 TABLA DE CONTENIDO INTRODUCCIÓN. 3 ARANDA 360 ENDPOINT SECURITY & LA NORMA ISO / IEC 27001. 4 www.arandasoft.com

Más detalles

NORMAS BASICAS DE AUDITORIA DE SISTEMAS

NORMAS BASICAS DE AUDITORIA DE SISTEMAS DIRECCION DE ESTRUCTURAS ADMINISTRATIVAS Y SISTEMAS DE INFORMACIÓN DEPARTAMENTO DE SISTEMAS DE INFORMACION NORMAS BASICAS DE AUDITORIA DE SISTEMAS 1 INDICE INTRODUCCIÓN Objetivos Control Interno Normas

Más detalles

Auditoria de Sistemas

Auditoria de Sistemas Sistemas de Información I Página1 1. Introducción La naturaleza especializada de la auditoria de los sistemas de información y las habilidades necesarias para llevar a cabo este tipo de auditorias, requieren

Más detalles

RESOLUCIÓN JB-2012-2148

RESOLUCIÓN JB-2012-2148 RESOLUCIÓN JB-2012-2148 LA JUNTA BANCARIA CONSIDERANDO: Que en el título II De la organización de las instituciones del sistema financiero privado, del libro I Normas generales para la aplicación de la

Más detalles

POLITICA DE SEGURIDAD DE LA INFORMACIÓN

POLITICA DE SEGURIDAD DE LA INFORMACIÓN POLITICA DE SEGURIDAD DE LA INFORMACIÓN En AVANSIS, la información es un activo fundamental para la prestación de sus servicios y la toma de decisiones eficientes, razón por la cual existe un compromiso

Más detalles

POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)

POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) ALCALDÍA DE SAN LUIS DE PALENQUE 2014 INTRODUCCIÓN La Política de Seguridad de la Información es la declaración general

Más detalles

POLÍTICAS DE SEGURIDAD DE ACTIVOS DE INFORMACIÓN.

POLÍTICAS DE SEGURIDAD DE ACTIVOS DE INFORMACIÓN. POLÍTICAS DE SEGURIDAD DE ACTIVOS DE INFORMACIÓN. Objetivo de Control: Proveer dirección y soporte a la administración para la seguridad de información. 1.1 Protección y respaldo de la información 1.1.1

Más detalles

POLÍTICA DE INFRAESTRUCTURA INFORMÁTICA

POLÍTICA DE INFRAESTRUCTURA INFORMÁTICA POLÍTICA DE INFRAESTRUCTURA INFORMÁTICA FACULTAD DE MEDICINA / UNIVERSIDAD DE CHILE INTRODUCCIÓN 2 1. Política de Seguridad. 4 Definición Dominios de la seguridad Roles y Responsabilidades Implementación

Más detalles

MEJORES PRÁCTICAS DE INDUSTRIA

MEJORES PRÁCTICAS DE INDUSTRIA MEJORES PRÁCTICAS DE INDUSTRIA A continuación se relacionan las mejores prácticas y recomendaciones en prevención de fraude, extractadas de los diferentes mapas de operación y riesgo desarrollados por

Más detalles

Departamento de Informática. DI-PO-12-2014 Política sobre el uso del antivirus

Departamento de Informática. DI-PO-12-2014 Política sobre el uso del antivirus Departamento de Informática DI-PO-12-2014 Política sobre el uso del antivirus Fecha de envío: Enero, 2014 Página: 2 de 9 1. Objetivo... 3 2. Alcance... 3 3. Definiciones... 3 4. Responsabilidades de las

Más detalles

METODOLOGIAS DE AUDITORIA INFORMATICA

METODOLOGIAS DE AUDITORIA INFORMATICA METODOLOGIAS DE AUDITORIA INFORMATICA Auditoria Informatica.- Certifica la integridad de los datos informaticos que usan los auditores financieros para que puedan utilizar los sistemas de información para

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

MODELO DOCUMENTO DE SEGURIDAD

MODELO DOCUMENTO DE SEGURIDAD MODELO DOCUMENTO DE SEGURIDAD Responsable del Fichero...... Nombre del Fichero...... Nº de Inscripción... Nº de la Versión... Fecha... ÍNDICE 1. Objeto del documento 2. Ámbito de aplicación 3. Recursos

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN DE LA CORPORACIÓN AUTÓNOMA REGIONAL DEL GUAVIO

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN DE LA CORPORACIÓN AUTÓNOMA REGIONAL DEL GUAVIO ALCANCE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN DE LA CORPORACIÓN AUTÓNOMA REGIONAL DEL GUAVIO Las presentes políticas de seguridad aplican o están destinadas a todos los servidores públicos, contratistas

Más detalles

PRIVACIDAD Y SEGURIDAD DE LOS DATOS

PRIVACIDAD Y SEGURIDAD DE LOS DATOS Español PRIVACIDAD Y SEGURIDAD DE LOS DATOS Este Documento Complementario será parte integral del Contrato. Los términos escritos con mayúscula inicial a los que se haga referencia en este documento tendrán

Más detalles

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO.

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. SEGURIDAD DE LA INFORMACIÓN ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. La mayoría de las organizaciones tiene sus procesos críticos

Más detalles

POLITICA DE SEGURIDAD INFORMÁTICA SECRETARIA DISTRITAL DE INTEGRACION SOCIAL

POLITICA DE SEGURIDAD INFORMÁTICA SECRETARIA DISTRITAL DE INTEGRACION SOCIAL POLITICA DE SEGURIDAD INFORMÁTICA SECRETARIA DISTRITAL DE INTEGRACION SOCIAL 1. OBJETIVO Definir, adoptar y legitimar los lineamentos, directrices, controles y políticas de seguridad informática para proteger

Más detalles

Objetivo Situaciones Observadas en las Cooperativas Carta Informativa 2014-03 - Evaluación de la infraestructura para la seguridad en los sistemas de

Objetivo Situaciones Observadas en las Cooperativas Carta Informativa 2014-03 - Evaluación de la infraestructura para la seguridad en los sistemas de 1 Objetivo Situaciones Observadas en las Cooperativas Carta Informativa 2014-03 - Evaluación de la infraestructura para la seguridad en los sistemas de información 2 Como parte de los requisitos del seguro

Más detalles

Análisis de la Norma BCRA A 4609

Análisis de la Norma BCRA A 4609 Análisis de la Norma BCRA A 4609 Seguridad Informática y Continuidad de Procesamiento Módulo I: Fase Teórica Lic. Raúl Castellanos rcastellanos@cybsec.com 5 de Junio de 2007 Buenos Aires - ARGENTINA Agenda

Más detalles

Norma de uso Navegación por Internet Ministerio del Interior N04

Norma de uso Navegación por Internet Ministerio del Interior N04 Norma de uso Navegación por Internet Ministerio del Interior N04 Introducción Propósito. Ofrecer a los usuarios una guía sobre los requerimientos mínimos que deben ser cumplidos respecto del uso y navegación

Más detalles

DID (DEFENSE IN DEPTH)

DID (DEFENSE IN DEPTH) DID (DEFENSE IN DEPTH) Martín Ojeda Knapp CPM Coordinador I-SEC Especialista en Seguridad de la Información I-Sec Information Security Inc. - Chile http://geeks.ms/blogs/mojeda/ Defensa en profundidad

Más detalles

POLÍTICAS INSTITUCIONALES DE SEGURIDAD EN CÓMPUTO DE LA UNIVERSIDAD AUTÓNOMA DE CHIHUAHUA

POLÍTICAS INSTITUCIONALES DE SEGURIDAD EN CÓMPUTO DE LA UNIVERSIDAD AUTÓNOMA DE CHIHUAHUA POLÍTICAS INSTITUCIONALES DE SEGURIDAD EN CÓMPUTO DE LA UNIVERSIDAD AUTÓNOMA DE CHIHUAHUA APARTADO I RESTRICCIONES GENERALES DEL USO DE LA PLATAFORMA TECNOLÓGICA DE LA UNIVERSIDAD AUTÓNOMA DE CHIHUAHUA

Más detalles

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014 Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC Titulación certificada por EUROINNOVA BUSINESS SCHOOL Técnico Profesional en Sistema de Gestión de Seguridad de la Información

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN CORREO URUGUAYO Administración Nacional de Correos del Uruguay Unidad de Servicios Electrónicos POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Versión: 1.0 Marzo de 2013 Índice Mantenimiento y Aprobación de esta

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN PARA LT GEOPERFORACIONES Y MINERIA LTDA LEIDY ZULIETH BONILLA MAHECHA

MANUAL DE SEGURIDAD DE LA INFORMACIÓN PARA LT GEOPERFORACIONES Y MINERIA LTDA LEIDY ZULIETH BONILLA MAHECHA MANUAL DE SEGURIDAD DE LA INFORMACIÓN PARA LT GEOPERFORACIONES Y MINERIA LTDA LEIDY ZULIETH BONILLA MAHECHA UNIVERSIDAD DEL TOLIMA INSTITUTO DE EDUCACIÓN A DISTANCIA-IDEAD PROGRAMA DE INGENIERÍA DE SISTEMAS

Más detalles

ESPECIFICACIONES TECNICAS Y PROCEDIMIENTO DE RESPALDO DE LA INFORMACION

ESPECIFICACIONES TECNICAS Y PROCEDIMIENTO DE RESPALDO DE LA INFORMACION ESPECIFICACIONES TECNICAS Y PROCEDIMIENTO DE RESPALDO DE LA INFORMACION Última Revisión 18/11/2010 (Se constituye en el Anexo A de la Oferta Comercial) Contacto de Soporte Técnico: 3139800 Extensiones:

Más detalles

Información. Ing. Max Lazaro. Electrónico e Informática

Información. Ing. Max Lazaro. Electrónico e Informática Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse

Más detalles

Secretaría General. Dirección de Informática. Manual de Seguridad Informática Centro de Cómputo. (Políticas y lineamientos)

Secretaría General. Dirección de Informática. Manual de Seguridad Informática Centro de Cómputo. (Políticas y lineamientos) Secretaría General Dirección de Informática Manual de Seguridad Informática Centro de Cómputo (Políticas y lineamientos) C O N T E N I D O Introducción. 3 Objetivos. 4 Alcances. 5 Equipo de Cómputo. De

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN - ABRIL DE 2013 ÍNDICE 1. INTRODUCCIÓN 2. TÉRMINOS Y DEFINICIONES 2.1.Seguridad de la Información 2.2.Información 2.3.Sistema de Información 2.4.Tecnología de la

Más detalles

A la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales:

A la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales: XVI.- DIRECCIÓN DE TECNOLOGÍA Y COMUNICACIONES. Tendrá como objetivo desarrollar y aplicar los sistemas que sean necesarios para garantizar el uptime de los servidores, equipos y redes de comunicación,

Más detalles

Procedimiento de Gestión de Incidentes de Seguridad de la Información

Procedimiento de Gestión de Incidentes de Seguridad de la Información SERVICIO NACIONAL PARA LA PREVENCIÓN Y REHABILITACIÓN DEL CONSUMO DE DROGAS Y ALCOHOL Procedimiento de Gestión de Incidentes de Seguridad de la Información Sistema de Gestión de la Seguridad de Código:

Más detalles

REGLAMENTO SOBRE SEGURIDAD INFORMATICA

REGLAMENTO SOBRE SEGURIDAD INFORMATICA REGLAMENTO SOBRE SEGURIDAD INFORMATICA TITULO I OBJETIVOS Y ALCANCE ARTICULO 1: El presente Reglamento tiene por objeto establecer los principios, criterios y requerimientos de Seguridad Informática que

Más detalles

Nomenclador de cargos

Nomenclador de cargos Nomenclador de cargos ROLES Áreas de I T Definición de módulos y roles Versión: 1.0 Pagina 1 Módulos interactuantes en un área de IT 1. Infraestructura Tecnológica 2. Producción de Software 3. Asistencia

Más detalles

MUNICIPIO DE SANTIAGO DE CALI SECRETARIA DE SALUD PUBLICA

MUNICIPIO DE SANTIAGO DE CALI SECRETARIA DE SALUD PUBLICA MUNICIPIO DE SANTIAGO DE CALI SECRETARIA DE SALUD PUBLICA POLITICA DE SEGURIDAD DE LOS SISTEMAS DE INFORMACION Decreto 411.0.20.0563 de Sep 9 de 2010 AREA DE SISTEMAS Abril 2012 INTRODUCCION La información

Más detalles

SEGURIDAD TIC Código: GAST0502 MANUAL Versión No: 00 09/04/2015 VISE LTDA Página : 1 de 12

SEGURIDAD TIC Código: GAST0502 MANUAL Versión No: 00 09/04/2015 VISE LTDA Página : 1 de 12 VISE LTDA Página : 1 de 12 1. OBJETIVO Establecer las normativas y políticas para el uso, control y administración de las Tecnología de Información y Comunicaciones que deben conocer y cumplir todos los

Más detalles

Lineamientos en Materia de Tecnologías de Información y Comunicaciones

Lineamientos en Materia de Tecnologías de Información y Comunicaciones Con fundamento en los artículos 3 y 6, fracción VII, del Reglamento del Poder Legislativo del Estado de Guanajuato para el Uso de Medios Electrónicos y Firma Electrónica, la Secretaría General emite los

Más detalles

inloruj Instituto de Acceso a la Información Publica del Distrito Fodoral INSTITUTO DE ACCESO A LA INFORMACiÓN PÚBLICA DEL DISTRITO FEDERAL

inloruj Instituto de Acceso a la Información Publica del Distrito Fodoral INSTITUTO DE ACCESO A LA INFORMACiÓN PÚBLICA DEL DISTRITO FEDERAL inloruj Instituto de Acceso a la Información Publica del Distrito Fodoral INSTITUTO DE ACCESO A LA INFORMACiÓN PÚBLICA DEL DISTRITO FEDERAL POLíTICAS PARA EL USO DE EQUIPO DE CÓMPUTO Y COMUNICACIONES DEL

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

Para los efectos de esta normativa se deberán considerar las siguientes definiciones:

Para los efectos de esta normativa se deberán considerar las siguientes definiciones: RECOPILACION ACTUALIZADA DE NORMAS Capítulo 20-7 Documento para Comentarios CAPÍTULO 20-7 PROCESAMIENTO EXTERNO DE ACTIVIDADES I. ÁMBITO DE APLICACIÓN El presente Capítulo trata de las contrataciones de

Más detalles

1. ASPECTOS GENERALES

1. ASPECTOS GENERALES PAGINA: 1 de 18 1. ASPECTOS GENERALES Los computadores y la red proporcionan acceso y recursos, dentro y fuera del ámbito de la Gobernación de Córdoba y nos permiten la comunicación con usuarios en todo

Más detalles

Capítulo VI POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

Capítulo VI POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Capítulo VI POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN En este capitulo se elaboraran las políticas de seguridad con el propósito de proteger la información de la empresa, estas servirán de guía para la

Más detalles

INSTITUTO MIXTO DE AYUDA SOCIAL INDICE. CAPÍTULO I - Disposiciones Generales 3. Artículo 1.- Propósito del reglamento: 3

INSTITUTO MIXTO DE AYUDA SOCIAL INDICE. CAPÍTULO I - Disposiciones Generales 3. Artículo 1.- Propósito del reglamento: 3 INSTITUTO MIXTO DE AYUDA SOCIAL INDICE CAPÍTULO I - Disposiciones Generales 3 Artículo 1.- Propósito del reglamento: 3 Artículo 2.- Definiciones y términos: 3 CAPÍTULO II - Competencias del Área de Tecnologías

Más detalles

Mapa de Riesgos Fraude y Corrupción

Mapa de Riesgos Fraude y Corrupción Mapa de s Fraude y Corrupción Cód. Evento Causa Evaluación y Control RECON11 RECON12 RECON15 RESPR10 Falta de objetividad y/o imparcialidad y/o veracidad en los Conflictos de interés, presión o amenazas

Más detalles

Privada ha de ser también el de educar y motivar a que los miembros de la cadena de suministro participen en BASC.

Privada ha de ser también el de educar y motivar a que los miembros de la cadena de suministro participen en BASC. Business Alliance for Secure Commerce (BASC) Estándares BASC Versión 3-2008 Adopción de Requisitos Mínimos de Seguridad C-TPAT Vigilancia y Seguridad Privada Las Empresas de Vigilancia y Seguridad Privada

Más detalles

a. Derechos de Autor.

a. Derechos de Autor. Controles aplicables a la administración, a la organización y al procesamiento de los datos. Por Omar Javier Solano Rodríguez Profesor Univalle. Apartes del artículo: la auditoría como punto de apoyo al

Más detalles

Seguridad Perimetral. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012

Seguridad Perimetral. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Seguridad Perimetral Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Introducción La mayoría de las empresas sufren la problemática de seguridad debido a sus necesidades

Más detalles

POLÍTICA DE SEGURIDAD PARA EL CONTROL DE ACCESO FÍSICO DE PERSONAS Y EQUIPOS P-11 NOTA DE CONFIDENCIALIDAD DE ACUERDO A CLASIFICACIÓN

POLÍTICA DE SEGURIDAD PARA EL CONTROL DE ACCESO FÍSICO DE PERSONAS Y EQUIPOS P-11 NOTA DE CONFIDENCIALIDAD DE ACUERDO A CLASIFICACIÓN POLÍTICA DE SEGURIDAD PARA EL CONTROL DE ACCESO FÍSICO DE PERSONAS Y EQUIPOS P-11 2011 NOTA DE CONFIDENCIALIDAD DE ACUERDO A CLASIFICACIÓN Este documento es de propiedad exclusiva de MINSAL y su uso debe

Más detalles

Políticas de Allus para la Protección de Datos Personales

Políticas de Allus para la Protección de Datos Personales Políticas de Allus para la Protección de Datos Personales Allus ha diseñado una Política para la Protección de Datos Personales (en adelante La Política ) para asegurar un tratamiento ético y adecuado

Más detalles

Contenido OBJETO Y ALCANCE... 2 RED CORPORATIVA MUNICIPAL... 3 REQUERIMIENTOS DE LA SOLUCIÓN... 3

Contenido OBJETO Y ALCANCE... 2 RED CORPORATIVA MUNICIPAL... 3 REQUERIMIENTOS DE LA SOLUCIÓN... 3 Servicio de Sistemas y Tecnologías de la Información y las Comunicaciones. PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA EL SUMINISTRO E IMPLANTACIÓN DE UNA RED WiFi DE ACCESO A INTERNET EN LAS INSTALACIONES

Más detalles

MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN INSTITUTO COLOMBIANO DE CRÉDITO EDUCATIVO Y ESTUDIOS TÉCNICOS EN EL EXTERIOR

MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN INSTITUTO COLOMBIANO DE CRÉDITO EDUCATIVO Y ESTUDIOS TÉCNICOS EN EL EXTERIOR INSTITUTO COLOMBIANO DE CRÉDITO EDUCATIVO Y ESTUDIOS TÉCNICOS EN EL EXTERIOR Octubre 2014 Página: 2 de 73 Contenido 1. INTRODUCCION... 7 2. OBJETIVO... 7 3. ALCANCE... 7 4. DEFINICIONES... 8 5. POLÍTICA

Más detalles

FORMULARIO DE SOLICITUD PARA POLIZAS DE CRIMEN ELECTRONICO Y POR COMPUTADOR

FORMULARIO DE SOLICITUD PARA POLIZAS DE CRIMEN ELECTRONICO Y POR COMPUTADOR FORMULARIO DE SOLICITUD PARA POLIZAS DE CRIMEN ELECTRONICO Y POR COMPUTADOR 1. Si no tiene espacio suficiente para responder las preguntas, favor responderlas por anexo en papel membreteado. 2. Este formulario

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

POLÍTICA DE USO DEL SERVICIO DE ALOJAMIENTO DE SERVIDORES INSTITUCIONALES

POLÍTICA DE USO DEL SERVICIO DE ALOJAMIENTO DE SERVIDORES INSTITUCIONALES POLÍTICA DE USO DEL SERVICIO DE ALOJAMIENTO DE SERVIDORES INSTITUCIONALES UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO FACULTAD DE INGENIERÍA SECRETARÍA GENERAL UNIDAD DE SERVICIOS DE CÓMPUTO ACADÉMICO Versión

Más detalles

VERIFIQUE EN EL LISTADO MAESTRO DE DOCUMENTOS Y REGISTROS DEL SIG QUE ESTA ES LA VERSIÓN VIGENTE ANTES DE UTILIZAR EL DOCUMENTO

VERIFIQUE EN EL LISTADO MAESTRO DE DOCUMENTOS Y REGISTROS DEL SIG QUE ESTA ES LA VERSIÓN VIGENTE ANTES DE UTILIZAR EL DOCUMENTO CONTROL DE CAMBIOS MANUAL DE PROCESOS Y PROCEDIMIENTOS Fecha: 30/11/2012 Página: 1 de 22 Versión Fecha Descripción de la modificación 01 23/09/2011 Inicial 02 30/11/2012 AUTORIZACION Modifico nombre del

Más detalles