Seguridad de la información

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Seguridad de la información"

Transcripción

1 Seguridad de la información y cumplimiento de las obligaciones legales: cómo encontrar una base en común Informe técnico que explora los denominadores comunes de las leyes y normativas de la seguridad de la información; confidencialidad, integridad y disponibilidad. Escrito por Michael R. Overly, abogado, CISA, CISSP, CIPP, ISSMP, CRISC Con Kaspersky, ahora usted puede. Be Ready for What s Next

2 Contenidos 1.0 Introducción Qué tipo de información se debería proteger? Por qué es importante la protección Conceptos erróneos habituales sobre el cumplimiento de las obligaciones de seguridad de la información Buscar denominadores comunes en las leyes y normativas sobre el cumplimiento Abordar la seguridad de la información en las relaciones con los socios comerciales y los proveedores Programas BYOD (Traiga su propio dispositivo) Conclusiones 21 2

3 Introducción 1.0 Conciliar la totalidad de las obligaciones legales puede ser, en el mejor de los casos, una tarea de tiempo completo y, en el peor, motivo de multas, penalidades y demandas. Las empresas de hoy en día enfrentan la casi insuperable tarea de cumplir con una confusa diversidad de leyes y normativas relacionadas con la privacidad y seguridad de la información. Estas pueden provenir de una variedad de fuentes: de legisladores locales, de los estados, nacionales e incluso internacionales. No se trata de un problema propio únicamente de las grandes empresas. Hasta una pequeña empresa con presencia geográfica localizada puede estar sujeta a leyes de otros estados y, posiblemente, de otros países si tiene presencia en Internet. En muchos casos, estas leyes y normativas son vagas y ambiguas, con muy poca orientación en lo que respecta a su cumplimiento. Es más, con frecuencia las leyes de diferentes jurisdicciones son contradictorias. Un estado o país puede exigir medidas de seguridad totalmente distintas a las de otro estado o país. Conciliar todas estas obligaciones legales puede ser, en el mejor de los casos, una tarea de tiempo completo y, en el peor, motivo de multas, penalidades y demandas. En respuesta a las crecientes amenazas a la seguridad de la información, los reguladores de prácticamente todas las jurisdicciones han aprobado o están luchando por aprobar leyes y normativas que impongan obligaciones de seguridad y confidencialidad de la información a las empresas. Incluso dentro de una misma jurisdicción, varias entidades gubernamentales pueden tener autoridad para tomar medidas contra una empresa que no cumpla con las normas vigentes. Esto es, una sola brecha de seguridad puede someter una empresa a acciones de cumplimiento de parte de una amplia gama de reguladores, por no mencionar las posibles reclamaciones por daños y perjuicios de clientes, socios comerciales, accionistas y otros. Estados Unidos, por ejemplo, utiliza un enfoque por sectores para proteger la privacidad y seguridad de la información personal (por ejemplo, distintas leyes federales regulan la información personal relacionada con la atención médica, el sector financiero, la solvencia crediticia y la correspondiente a estudiantes y niños). Otros enfoques, por ejemplo, en la Unión Europea, proporcionan una norma unificada, pero ofrecen mayor protección para determinados tipos de información altamente confidencial (por ejemplo, información de salud, afiliación sindical, etc.). La implementación real de las normas en las leyes depende del país miembro. Canadá utiliza un enfoque similar en su Ley de Protección de la Información Personal y los Documentos Electrónicos (PIPEDA según su sigla en inglés). La responsabilidad por multas y daños y perjuicios puede fácilmente llegar a millones de dólares. Aun si la responsabilidad está relativamente limitada, la reputación comercial de la empresa puede verse irreparablemente dañada por la publicidad adversa y la pérdida de confianza de los clientes y socios comerciales. 3

4 El 65% de las empresas de todo el mundo cree que las políticas de BYOD amenazan la seguridad de sus negocios.¹ Las leyes y normativas se orientan a que las empresas hagan lo razonable y adecuado, y no lo que es impracticable o irracional. Las amenazas a la seguridad de la información han alcanzado un nivel sin precedentes. Difícilmente pase una semana sin que salga en las noticias la última compañía que fue objeto de una violación de la seguridad de sus datos. Si bien la amenaza de los hackers es significativa, según la Oficina Federal de Investigación (FBI por su sigla en inglés), la incidencia de apropiación indebida desde adentro o la puesta en riesgo de la información confidencial nunca fue más alta. Las personas con acceso a información privilegiada incluyen no solo al propio personal de la empresa, sino también a los contratistas y socios comerciales. Por esa razón, este informe técnico se enfoca en dos de las amenazas desde adentro más importantes: por un lado, las situaciones en que se confía información corporativa delicada a socios y proveedores de la empresa, y por otro lado, los programas BYOD (traiga su propio equipo), en los que se accede a la información empresarial desde dispositivos sobre los que la compañía tiene muy poco control. En el primer caso, los terceros que tienen acceso a información privilegiada (esto es, proveedores y socios comerciales) generan un riesgo que es preciso mitigar. En el segundo caso, los que generan el riesgo son empleados. Si bien no hay soluciones fáciles, este informe técnico aspira a alcanzar varios objetivos: Dejar claro que la privacidad relacionada con la información personal es solo uno de los elementos del cumplimiento. Las empresas también tienen la obligación de proteger otros tipos de datos (por ejemplo, secretos comerciales, datos e información de socios comerciales, información financiera no pública, etc.). Repasar diversas leyes y normativas de confidencialidad y seguridad para identificar tres denominadores comunes, relativamente directos, que están presentes en muchas de ellas: 1. Requisito de confidencialidad, integridad y disponibilidad 2. Actuar razonablemente o tomar medidas adecuadas o necesarias 3. Ajustar las medidas de seguridad para reflejar la confidencialidad de la información y la magnitud de la amenaza Al entender estos conceptos generales, de alto nivel, las empresas pueden comprender mejor sus obligaciones globales de cumplimiento. No obstante, hay un punto que es preciso destacar: las leyes de seguridad y confidencialidad de la información no exigen lo imposible. La seguridad perfecta, si bien es una meta, no es el requisito. Más bien, como subrayaremos repetidamente en el siguiente análisis, las leyes y normativas en esta área apuntan a que las empresas hagan lo razonable y adecuado, y no lo impracticable o irracional. Si una empresa alcanza ese estándar y aun así ocurre una violación de la seguridad, en general no tendrá un problema de cumplimiento. Destacar los riesgos potenciales del no cumplimiento (por ejemplo, demandas, multas, sanciones, etc.) y analizar los conceptos erróneos habituales sobre las leyes de seguridad y confidencialidad de la información. Dar dos ejemplos del mundo real de cómo se pueden implementar estos principios, incluidos pasos específicos para mitigar el riesgo y satisfacer las obligaciones de cumplimiento: 1. El primer ejemplo trata de cómo integrar mejor la seguridad de la información en las relaciones con los proveedores y socios comerciales. 2. El segundo ejemplo se centra en controlar el riesgo al implementar un programa BYOD (Traiga su propio dispositivo). 1 Kaspersky Lab: Informe Global de Riesgos de TI

5 Qué tipo de información se debería proteger? 2.0 El 60% de los eventos de pérdida de datos pueden resultar en algún nivel de deterioro de la capacidad de la empresa de operar. 2 Al pensar en las leyes y normativas de la seguridad de la información, la mayoría de la gente piensa de inmediato en datos personalmente identificables o en información personal. Si bien es indudablemente cierto que la mayoría de las leyes y normativas se centran en la información personal, esta es solo uno de los tipos de datos para con los cuales las empresas pueden tener obligaciones legales. Casi todas las empresas tienen una amplia gama de información muy delicada que debe ser protegida. Algunos ejemplos de ello son: Información general confidencial de la empresa Esto puede incluir información financiera, planes de marketing, potenciales actividades de promoción, información de contacto empresarial, información de inversores, planes para nuevos productos, listas de clientes, etc. Propiedad intelectual Con frecuencia, la propiedad intelectual comprende uno de los activos más importantes de las empresas, cuando no el más importante. Una violación de la seguridad podría derivar en la pérdida definitiva por parte de la empresa de su capacidad de hacer respetar sus derechos de propiedad intelectual. Por ejemplo, los secretos comerciales se definen como información delicada de una empresa que tiene valor porque no es conocida en términos generales en la industria y es el objeto de esfuerzos de la compañía por asegurarse de que siga siendo confidencial (por ejemplo, la fórmula de Coca-Cola ). Si se revela un secreto comercial al público, pierde su estatus y valor como tal. Casi todas las empresas tienen al menos algunos secretos comerciales. Una lista de clientes, un código fuente de software, fórmulas, métodos de hacer negocios, etc., pueden ser secretos comerciales. Deben ser protegidas para garantizar que la información siga amparada como secreto comercial. Información de atención médica La información de atención médica es uno de los tipos de información más regulados y delicados. En Estados Unidos, por ejemplo, la Ley de Transferibilidad y Responsabilidad Seguro de Salud (HIPAA) regula la privacidad y seguridad de la información de atención médica. En algunas jurisdicciones, se le da la mayor protección en comparación con otros tipos de datos personales. En la Unión Europea, la información de atención médica cuenta con protección reforzada en virtud de la Directiva de Protección de Datos de la Unión Europea, según se refleja en las leyes de implementación de los países miembro. Ver también la Ley de Privacidad de Australia de 1988 y la reciente Ley de Modificación de la Privacidad (Protección Aumentada de la Privacidad). Una empresa del sector de atención médica puede estar en posesión de registros reales de pacientes, pero incluso una compañía que no tenga nada que ver con ese sector puede tener información médica de sus empleados (por ejemplo, información de reclamaciones al seguro) que está obligada a proteger. Información financiera personal Al igual que la información de atención médica, la información financiera personal también es muy delicada y está fuertemente regulada. En Estados Unidos, la Ley Gramm, Leach y Bliley (GLBA) trata sobre la privacidad y seguridad de la información financiera personal. En otros países, la información personal es ampliamente definida en leyes globales que abarcan casi 5

6 cualquier cosa que se pueda identificar con una persona, incluida, por supuesto, la información financiera. Ver, por ejemplo, la Ley de Protección de la Información Personal de Japón. Al igual que con la información de atención médica, una empresa no necesita estar en el sector financiero para poseer este tipo de información. Todo empleador cuenta con información financiera delicada de sus empleados (por ejemplo, información salarial, números de la seguridad social y de identificación personal de otro tipo, números de cuentas bancarias, etc.). Información de seguridad Hasta la información de seguridad en sí misma es delicada y debe ser protegida. Las políticas de seguridad de una compañía, los informes de auditorías de seguridad, los planes para recuperación de desastres y continuidad de negocios y otra información similar son de una elevada confidencialidad. En caso de verse comprometida, la información podría utilizarse para aprovecharse de las vulnerabilidades de una empresa. 2 Kaspersky Lab: Informe Global de Riesgos de TI

7 Por qué es importante la protección 3.0 El impacto característico de una violación de la seguridad de los datos es de aproximadamente $ en el caso de las pequeñas empresas (SMB) y $ en el caso de las grandes empresas. 3 El cumplimiento de las obligaciones legales está ciertamente a la cabeza de la lista de cada empresa en materia de razones para implementar medidas de seguridad de la información con el fin de proteger datos confidenciales. No obstante, hay otras razones, muy importantes, para que las empresas se ocupen de ese riesgo. Proteger los activos empresariales Tal como se señala en la sección anterior, además de los datos personalmente identificables, toda empresa cuenta con otra información de dominio privado que debe proteger (por ejemplo, propiedad intelectual, planes de marketing, planes para nuevos productos, información de inversores, información financiera, etc.). Todos estos son activos valiosos de la empresa que ameritan protección. Establecer la diligencia debida Muchas leyes y normativas incluyen la exigencia de que la empresa actúe con la diligencia debida en la protección de datos delicados. El mismo concepto existe de manera más general en la obligación de la dirección corporativa de actuar con la debida cautela y de ejercer un criterio razonable al dirigir la empresa, lo que incluiría actuar con la diligencia debida a la hora de proteger la información corporativa. Ni las leyes aplicables ni esta norma más general de gestión empresarial requieren perfección. Más bien, la empresa y sus gerentes deben poder demostrar que actuaron en forma razonable, adecuada y con la diligencia debida para proteger sus activos de información. Por medio de la implementación y documentación de una estrategia razonada para mitigar los riesgos de la seguridad de la información, la empresa y sus gerentes tendrán pruebas para demostrar que hicieron justamente eso en caso de una violación de la seguridad. Proteger la reputación de la empresa Ser objeto de una violación de la seguridad puede dañar considerablemente la reputación de una empresa. La publicidad adversa de este tipo podría afectar seriamente a una compañía. Los clientes y los socios comerciales pueden perder confianza en la capacidad de la empresa de proteger su información y sus sistemas. Minimizar la posible responsabilidad Por último, la razón más obvia para implementar una estrategia razonada para la seguridad de la información es minimizar la posible responsabilidad. Esta puede adoptar varias formas: multas impuestas por una serie de reguladores, sanciones reglamentarias, demandas de accionistas y demandas civiles de socios comerciales y clientes (incluida la posibilidad de costosas demandas colectivas) contra la empresa y eventualmente contra la gerencia. 3 Kaspersky Lab: Informe Global de Riesgos de TI

8 Conceptos erróneos habituales sobre el cumplimiento de las obligaciones de seguridad de la información 4.0 Las leyes y normativas en esta área no requieren perfección; están orientadas a que las empresas hagan lo razonable y adecuado. Existe mucha confusión y conceptos erróneos cuando se trata del cumplimiento de las obligaciones de seguridad de la información. Los más importantes son que todo se trata de la información y todo se trata de la confidencialidad. Si bien la información y la confidencialidad tienen ciertamente una significación crucial, se necesita un enfoque más integral. Una empresa debe preocuparse por los datos, pero debe preocuparse del mismo modo por los sistemas donde residen esos datos. Además, la confidencialidad es solo una de las tres protecciones claves requeridas por la verdadera seguridad. Cualquiera que esté relacionado con la seguridad de la información debería estar familiarizado con la sigla CID. Para que la información esté verdaderamente protegida, se debe cumplir con cada uno de estos elementos. Confidencialidad significa que los datos están protegidos ante el acceso y divulgación no autorizados. Integridad significa que se puede confiar en la exactitud de los datos y que estos no han sido objeto de modificaciones no autorizadas. Por último, disponibilidad significa que la información está disponible para su acceso y uso cuando así se requiera. De nada sirve mantener la confidencialidad e integridad si los datos no están de hecho disponibles cuando un usuario los necesita. Para cumplir este último requisito, los sistemas en los que residen los datos deben tener niveles de servicio específicos para la disponibilidad, el tiempo de respuesta, etc. Esto es particularmente importante cuando un tercero proveedor pueda estar alojando la información en beneficio de la empresa. No se puede enfatizar lo suficiente la importancia de CID. No se trata simplemente de un concepto en los tratados de seguridad de la información. Los legisladores han incorporado directamente ese mismo lenguaje en determinadas leyes y normativas de seguridad de la información. Las empresas que no alcanzan la confidencialidad, integridad y disponibilidad con respecto a su información, pueden estar en infracción de esas leyes. Un último concepto errado sobre las leyes de seguridad y privacidad de la información es que estas requieren perfección (por ejemplo, cualquier violación, independientemente de cuánta diligencia haya demostrado la empresa, generará responsabilidad). Esto no es cierto. Las leyes y normativas en esta área están orientadas a que las empresas hagan lo razonable y adecuado. Si la empresa alcanza ese estándar y aun así ocurre una violación de la seguridad, en general no tendrá un problema de cumplimiento. 8

9 Buscar denominadores comunes en las leyes y normativas sobre cumplimiento 5.0 La cantidad y diversidad de leyes y normativas aplicables incluso a pequeñas empresas que manejan información confidencial puede ser sobrecogedora y hasta abrumadora. En algunas instancias, puede ser casi imposible hasta para una gran y sofisticada organización identificar todas las leyes aplicables, conciliar las inconsistencias y luego implementar un programa de cumplimiento. El objetivo de esta sección no es analizar leyes o normativas específicas, sino identificar tres denominadores comunes presentes en muchas de ellas. Entendiendo esos denominadores comunes, las empresas pueden comprender más fácilmente sus obligaciones de cumplimiento de referencia. Los mismos no solo se encuentran en leyes y normativas, sino también en normas contractuales como la norma de seguridad de la información del sector de las tarjetas de crédito (PCI DSS según su sigla en inglés) e, incluso, en normas industriales comunes para la seguridad de la información publicadas por organizaciones como CERT, de Carnegie Mellon, y la Organización Internacional de Normalización (ISO según su sigla en inglés). La inclusión de estos denominadores comunes en el diseño e implementación de un programa de seguridad de la información aumentará en gran forma la capacidad de una empresa para lograr el cumplimiento global de las leyes, normativas y otros requisitos (por ejemplo, PCI DSS, normas de la industria, etc.) aplicables. Confidencialidad, integridad y disponibilidad (CID) Como se analiza en la sección 4, el antiguo concepto de CID que se puede encontrar en todo manual sobre la seguridad de la información ha sido codificado en muchas leyes y normativas. Los tres pilares de este concepto se relacionan con los objetivos más importantes de la seguridad de la información: mantener la confidencialidad de los datos, protegerlos contra las modificaciones no autorizadas y hacer que estén disponibles para su uso cuando sea necesario. La ausencia de alguna de estas protecciones tendría un impacto considerable en el cumplimiento y en el valor del activo de la información. Actuar razonablemente o tomar las medidas adecuadas o necesarias El concepto de actuar razonablemente es utilizado en muchas leyes federales y de los estados en Estados Unidos, Australia y muchos otros países. El concepto relacionado que postula actuar de manera de tomar las medidas adecuadas o necesarias se usa en la Unión Europea y en otra muchas zonas. En conjunto, conforman el núcleo de casi todas las leyes de seguridad y confidencialidad de la información. Una empresa debe actuar razonablemente o hacer lo que sea necesario o adecuado para proteger su información. Nótese que esto no requiere perfección. Más bien, la empresa debe tomar en cuenta el riesgo presentado y hacer lo que sea razonable o necesario para mitigarlo. Si de todas maneras, igual ocurre una violación de la seguridad, siempre que la empresa haya establecido este requisito básico, por lo general no estará en infracción de las leyes o normativas aplicables. 9

10 Ajustar las medidas de seguridad para que reflejen la naturaleza de los datos y la amenaza Un concepto que está estrechamente vinculado con el de actuar razonablemente y hacer lo que es adecuado es el de ajustar las medidas de seguridad para que reflejen la naturaleza de la amenaza y la confidencialidad de los datos. Es decir, no es necesario que una empresa gaste la totalidad de su presupuesto de seguridad en una amenaza de bajo riesgo. Pero si el riesgo es significativo, particularmente en vistas del volumen o confidencialidad de la información, el nivel de esfuerzo y gasto de la empresa para resolver ese riesgo debe aumentar. Una base de datos que solo contenga nombres y direcciones físicas puede no requerir tanta seguridad como una base de datos de nombres, direcciones y números de seguro social. Para comprender mejor este concepto, citamos fragmentos de dos leyes que incorporan el concepto de ajuste : Primer ejemplo: Una empresa debe implementar salvaguardas que se adecuen (a) al tamaño, alcance y tipo de empresa de la persona obligada a proteger la información personal en virtud de tal programa integral de seguridad de la información; (b) al volumen de recursos disponibles para tal persona; (c) al volumen de información almacenada; y (d) a la necesidad de seguridad y confidencialidad de la información de los consumidores y empleados. Segundo ejemplo: Los esfuerzos de seguridad deben tomar en cuenta: (i) El tamaño, la complejidad y las capacidades de la empresa. (ii) Las capacidades de seguridad de la infraestructura técnica, el hardware y el software de la empresa. (iii) Los costos de las medidas de seguridad. (iv) La probabilidad y criticidad de potenciales riesgos de datos. En las siguientes dos secciones, se analizan estos conceptos en el contexto de dos situaciones del mundo real aplicables a casi todos los tipos y tamaños de empresa. El primer ejemplo trata de cómo integrar mejor la seguridad de la información en las relaciones con los proveedores y socios comerciales. Esto es, cuando un proveedor de una empresa acceda a la información más confidencial de la misma o la tenga en su poder, lo que la empresa debe hacer para garantizar la protección de dicha información. El segundo ejemplo se centra en controlar el riesgo al implementar un programa BYOD (Traiga su propio dispositivo) para los empleados de una empresa. 10

11 Abordar la seguridad de la información en las relaciones con los socios comerciales y los proveedores 6.0 Casi todas las semanas hay casos de empresas que confían su información más delicada a un proveedor o socio comercial solo para ver que la seguridad de esos datos resulta comprometida porque el proveedor no implementó las salvaguardas adecuadas para proteger la información. Peor aún, con frecuencia se determina que esas mismas empresas aplicaron poca o ninguna diligencia debida con respecto a sus proveedores y no abordaron adecuadamente la seguridad de la información en los contratos con ellos, en muchos casos dejando a la empresa sin recursos legales para subsanar el daño sustancial que sufren como resultado del riesgo al que son expuestos los datos. En el actual entorno normativo, las empresas deben ser mucho más rigurosas al entablar relaciones con proveedores en las que se pondrá en riesgo información confidencial. En esta sección, se describen tres herramientas que las empresas pueden implementar de inmediato para reducir sustancialmente las amenazas a la seguridad de la información planteadas por sus proveedores y socios comerciales, garantizar que se aplique y documente la adecuada diligencia debida, y prever recursos legales para el caso de que la seguridad de los datos se vea comprometida. Estas herramientas son las siguientes: Cuestionario de diligencia debida para el proveedor Protecciones contractuales claves Utilización en circunstancias adecuadas de un anexo de requisitos de seguridad de la información Toda vez que un proveedor o socio comercial acceda a la red, instalaciones o información de una empresa, deberán utilizarse una o más de estas herramientas. Al usarlas, las empresas pueden alcanzar el nivel de CID con respecto a sus datos, demostrar que actuaron razonable o adecuadamente al tratar el riesgo, y ajustar su enfoque para reflejar el nivel de eso riesgo (por ejemplo, exigiendo protecciones contractuales más rigurosas y mayor diligencia debida cuando el proveedor está en posesión de volúmenes significativos de información muy delicada frente a protecciones y diligencia debida menos estrictas cuando el proveedor tiene contacto solo incidental con dicho tipo de información). 11

12 Este enfoque ad hoc de la diligencia debida ya no es adecuado o razonable en el contexto del entorno empresarial y normativo actual. Diligencia debida: la primera herramienta Si bien la mayoría de las empresas implementan alguna forma de diligencia debida al confiar a los proveedores su información confidencial o el acceso a sus sistemas, a menudo esto se hace de manera informal, no uniforme y sin que quede claramente documentado. En muy pocos casos se incorpora de hecho el resultado de esa diligencia debida al contrato entre las partes. Este enfoque ad hoc de la diligencia debida ya no es adecuado o razonable en el contexto del entorno empresarial y normativo actual. Para garantizar la documentación y uniformidad adecuadas del proceso de diligencia debida, las empresas tienen que implementar un Cuestionario de diligencia debida estándar que cada posible proveedor o socio comercial con acceso a información comercial o personal confidencial o delicada debe completar. El cuestionario debe incluir, además de otras áreas pertinentes: responsabilidad corporativa, cobertura de seguros, situación financiera, prácticas con respecto al personal, políticas de seguridad de la información, seguridad física, seguridad lógica, recuperación de desastres y continuidad de negocios. La utilización de un cuestionario estandarizado tiene una serie de beneficios importantes: Proporciona un marco uniforme y ya preparado para la diligencia debida. Asegura una comparación homogénea de las respuestas de los proveedores. Asegura que se tengan en cuenta todas las áreas claves de diligencia y que no se pase por alto ninguna. Representa una manera sencilla de incorporar la información de diligencia debida directamente en el contrato. El cuestionario completado se adjunta por lo general al contrato final como anexo. Desde el principio, los proveedores deben estar al tanto de que la información que proporcionen como parte del proceso de diligencia debida y, en particular, las respuestas al Cuestionario de diligencia debida al proveedor serán (i) tomadas como base para seleccionar a los proveedores e (ii) incorporadas al contrato final, del cual pasarán a formar parte. Para ganar en efectividad, el cuestionario debe presentarse a los posibles proveedores lo antes posible. Es recomendable incluirlo como parte de todos las RFP (sigla en inglés de solicitud de propuesta) pertinentes o, si no se emite ninguna RFP, como un documento independiente durante las conversaciones preliminares con el proveedor. 12

13 Las áreas claves del cuestionario de diligencia debida para el proveedor incluyen lo siguiente: La situación financiera del proveedor. El proveedor es una empresa pública o privada? Están disponibles los estados de situación financiera más recientes? La situación financiera puede no parecer un factor importante a los efectos de la seguridad de la información, pero la posibilidad de que un proveedor se declare en quiebra o simplemente deje de operar mientras tiene en su poder información muy delicada de la empresa supone un riesgo significativo. En esos casos, puede resultar difícil, si no imposible, recuperar los datos y asegurarse de que haya sido adecuadamente extraída de los sistemas del proveedor. Del mismo modo, la posibilidad de demandar a un mal proveedor por daños y perjuicios se verá frustrada si este no tiene la capacidad financiera de pagar la indemnización adjudicada. Cobertura de seguros. Qué tipos de cobertura tiene el proveedor? Cuáles son los límites de la cobertura y otros términos? La cobertura se basa en las reclamaciones realizadas o en las incidencias? Como las pólizas comerciales de responsabilidad general habitualmente no cubren las violaciones de la seguridad de la información, se debe considerar la posibilidad de requerir al proveedor que tenga seguro contra riesgos cibernéticos o seguridad de red. Estos tipos de póliza se están haciendo más comunes. Responsabilidad corporativa. Ha habido condenas penales, recientes litigios pertinentes, instancias en las que el proveedor haya visto comprometida significativamente la seguridad, violaciones a la privacidad, resultados adversos de auditoría, etc.? Subcontrataciones. El proveedor requerirá el uso de subcontratistas o filiales en la prestación de sus servicios? El proveedor utilizará subcontratistas o filiales fuera del país de estos? Dónde se ubican los subcontratistas y filiales? Qué tipos de servicios proporcionarán? Qué información, de haberla, que pertenezca a la empresa será enviada a estas entidades? Procedimientos organizativos de seguridad. El proveedor cuenta con un programa integral y bien documentado de seguridad de la información? Cuáles son las políticas de manejo de la información del proveedor? El proveedor cuenta con un equipo especializado de seguridad de la información? Hay un equipo de respuesta a incidentes? Cuáles son las prácticas de seguridad de la información del proveedor en relación con los contratistas y agentes (por ejemplo, diligencia debida, requerir acuerdos de confidencialidad, obligaciones contractuales específicas relacionadas con la seguridad de la información, etc.)? Seguridad física; controles lógicos. Qué medidas y procedimientos de seguridad física emplea el proveedor? El proveedor usa controles de acceso a sus sistemas para que únicamente el personal que está específicamente autorizado tenga acceso a la información? Controles de desarrollo de software. Si el proveedor es un desarrollador de software, cuáles son sus procedimientos de desarrollo y mantenimiento? Qué controles de seguridad se usan durante la vida útil del desarrollo? El proveedor realiza pruebas de seguridad de su software? El proveedor mantiene entornos separados de pruebas y producción? El proveedor recibe códigos de terceros en calidad de licenciatario para incorporarlos en sus productos? En caso afirmativo, qué tipos de códigos? Problemas de privacidad. Si la información personal de clientes, consumidores u otros individuos está en riesgo, el proveedor cuenta con una política de privacidad? Cuál es la historia de revisión de la política? Ha habido instancias en que el proveedor haya tenido que comunicarse con los consumidores en relación con una violación de la seguridad? El proveedor realiza capacitaciones específicas para sus empleados con respecto al manejo de información personal? En caso afirmativo, con cuánta frecuencia? 13

CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD

CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD BUCARAMANGA - COLOMBIA 2013 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto

Más detalles

Anexo I. Politicas Generales de Seguridad del proyecto CAT

Anexo I. Politicas Generales de Seguridad del proyecto CAT Anexo I Politicas Generales de Seguridad del proyecto CAT 1 Del Puesto de Servicio. Se requiere mantener el Puesto de Servicio: a) Disponible, entendiendo por ello que el Puesto de Servicio debe estar

Más detalles

Condiciones de servicio de Portal Expreso RSA

Condiciones de servicio de Portal Expreso RSA Condiciones de servicio de Portal Expreso RSA Le damos la bienvenida a Portal Expreso RSA 1. Su relación con Portal Expreso RSA 1.1 El uso que el usuario haga de la información, software, servicios prestados

Más detalles

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países. Este documento es solo para fines informativos. MICROSOFT NO OTORGA NINGUNA GARANTÍA, YA SEA EXPLÍCITA, IMPLÍCITA O LEGAL, RESPECTO DE LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO. Este documento se entrega

Más detalles

Soporte Técnico de Software HP

Soporte Técnico de Software HP Soporte Técnico de Software HP Servicios Tecnológicos HP Servicios contractuales Datos técnicos El Soporte Técnico de Software HP ofrece servicios integrales de soporte remoto de para los productos de

Más detalles

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,

Más detalles

SHAREFILE. Contrato de socio comercial

SHAREFILE. Contrato de socio comercial SHAREFILE Contrato de socio comercial Este Contrato de socio comercial ("Contrato de SC") se hace vigente de acuerdo con los términos de la sección 5 del Contrato de servicio del usuario final ("EUSA")

Más detalles

Aviso Legal. Entorno Digital, S.A.

Aviso Legal. Entorno Digital, S.A. Aviso Legal En relación al cumplimiento de la Ley de Protección de Datos, le informamos que los datos personales facilitados por Ud. en cualquiera de los formularios incluidos en este sitio web son incluidos

Más detalles

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES Artículo 1.- Ámbito de aplicación y fines. El presente Reglamento

Más detalles

NORMA INTERNACIONAL DE AUDITORÍA 706 PÁRRAFOS DE ÉNFASIS Y PÁRRAFOS DE OTROS ASUNTOS EN EL

NORMA INTERNACIONAL DE AUDITORÍA 706 PÁRRAFOS DE ÉNFASIS Y PÁRRAFOS DE OTROS ASUNTOS EN EL NORMA INTERNACIONAL DE AUDITORÍA 706 PÁRRAFOS DE ÉNFASIS Y PÁRRAFOS DE OTROS ASUNTOS EN EL DICTAMEN DEL AUDITOR INDEPEN DIENTE (Entra en vigor para las auditorías de estados financieros por periodos que

Más detalles

Aplicación de Justicia Móvil AZ de la ACLU-AZ Política de Privacidad

Aplicación de Justicia Móvil AZ de la ACLU-AZ Política de Privacidad Aplicación de Justicia Móvil AZ de la ACLU-AZ Política de Privacidad Bienvenido a la Aplicación Móvil Justicia Móvil AZ ("Aplicación"), la cual está diseñada para permitir que usted grabe video de encuentros

Más detalles

Política Global Conflictos de Intereses

Política Global Conflictos de Intereses Política Global Conflictos de Intereses Una Pasión por Cumplir Índice 1. DECLARACIÓN DE PRINCIPIOS...3 2. INTRODUCCIÓN...3 3. OBJETIVO...3 4. ALCANCE...4 5. NORMAS Y REGLAMENTOS...5 6. GUIA GENERAL...6

Más detalles

DECLARACIÓN DE PRIVACIDAD DE FONOWEB

DECLARACIÓN DE PRIVACIDAD DE FONOWEB DECLARACIÓN DE PRIVACIDAD DE FONOWEB Fonoweb se compromete a respetar su privacidad y la confidencialidad de su información personal, los datos de las comunicaciones y el contenido de las comunicaciones

Más detalles

Health Republic Insurance Política de privacidad del sitio web

Health Republic Insurance Política de privacidad del sitio web Health Republic Insurance Política de privacidad del sitio web Introducción Nos encargamos seriamente de salvaguardar su privacidad. Hemos creado esta Política de privacidad del sitio web para familiarizarnos

Más detalles

Business Layout Consulting, S.C. Todos los derechos reservados. Prohibida su reproducción total o parcial.

Business Layout Consulting, S.C. Todos los derechos reservados. Prohibida su reproducción total o parcial. Business Layout Consulting, S.C. Todos los derechos reservados. Prohibida su reproducción total o parcial. Todos los materiales contenidos en este Sitio (Incluyendo, pero no limitado a texto, logotipos,

Más detalles

AVISOS LEGALES Sistema de Control de Solicitudes ( SICS )

AVISOS LEGALES Sistema de Control de Solicitudes ( SICS ) AVISOS LEGALES Sistema de Control de Solicitudes ( SICS ) SEGUROS ARGOS, S.A. DE C.V. (en adelante ARGOS ), es una sociedad mercantil legalmente constituida de acuerdo a las Leyes de la República Mexicana

Más detalles

Operación 8 Claves para la ISO 9001-2015

Operación 8 Claves para la ISO 9001-2015 Operación 8Claves para la ISO 9001-2015 BLOQUE 8: Operación A grandes rasgos, se puede decir que este bloque se corresponde con el capítulo 7 de la antigua norma ISO 9001:2008 de Realización del Producto,

Más detalles

2.11.1 CONTRATAS Y SUBCONTRATAS NOTAS

2.11.1 CONTRATAS Y SUBCONTRATAS NOTAS NOTAS 1 Cuando en un mismo centro de trabajo desarrollen actividades trabajadores de dos o más empresas, éstas deberán cooperar en la aplicación de la normativa sobre prevención de riesgos laborales. A

Más detalles

Enkarga.com LLC. Política de privacidad

Enkarga.com LLC. Política de privacidad Enkarga.com LLC. Política de privacidad Esta declaración de privacidad explica qué información recopilamos de usted se utiliza al ordenar productos Enkarga.com LLC y cuando usted visita nuestros sitios.

Más detalles

I. DISPOSICIONES GENERALES

I. DISPOSICIONES GENERALES POLÍTICA DE CLASIFICACIÓN DE CLIENTES I. DISPOSICIONES GENERALES 1.1. El propósito de esta Política de Clasificación de Clientes de DELTASTOCK es establecer normas internas para la clasificación de los

Más detalles

INFORME UCSP Nº: 2011/0070

INFORME UCSP Nº: 2011/0070 MINISTERIO DE LA POLICÍA CUERPO NACIONAL DE POLICÍA COMISARÍA GENERAL DE SEGURIDAD CIUDADANA INFORME UCSP Nº: 2011/0070 FECHA 07/07/2011 ASUNTO Centro de control y video vigilancia integrado en central

Más detalles

Política de Seguridad y Salud Ocupacional. Recursos. Humanos. Abril 2006

Política de Seguridad y Salud Ocupacional. Recursos. Humanos. Abril 2006 Endesa Chile Políticas de Índice 1. PRINCIPIOS 2. LINEAMIENTOS GENERALES 2.1 Organización 2.2 Identificación de Peligros y Evaluación de Riesgos 2.3 Planificación Preventiva 2.4 Control de la acción preventiva

Más detalles

Equipos a Presión. Condiciones de Seguridad Industrial y Laboral. Marco Normativo. Calderas. Lugo, 25 de octubre de 2011 1 CAMPAÑA EUROPEA SOBRE MANTENIMIENTO SEGURO Principales Objetivos: Sensibilizar

Más detalles

Preguntas Frecuentes sobre Intermediarios

Preguntas Frecuentes sobre Intermediarios Preguntas Frecuentes sobre Intermediarios P.1 Qué es un intermediario en el área de banca privada? P.2 Qué referencias podemos encontrar sobre los intermediarios en los Principios Wolfsberg? P.3 Qué es

Más detalles

POLÍTICA DE PRIVACIDAD PARA APLICACIONES MÓVILES GRUPOCOPESA. 1. información que se obtiene la aplicación y su utilización

POLÍTICA DE PRIVACIDAD PARA APLICACIONES MÓVILES GRUPOCOPESA. 1. información que se obtiene la aplicación y su utilización POLÍTICA DE PRIVACIDAD PARA APLICACIONES MÓVILES GRUPOCOPESA Nuestra política de privacidad se aplica al uso de las aplicaciones informáticas de los siguientes medios de comunicación: LaTercera, LaCuarta,

Más detalles

Jornada informativa Nueva ISO 9001:2008

Jornada informativa Nueva ISO 9001:2008 Jornada informativa Nueva www.agedum.com www.promalagaqualifica.es 1.1 Generalidades 1.2 Aplicación Nuevo en Modificado en No aparece en a) necesita demostrar su capacidad para proporcionar regularmente

Más detalles

Se aplicará la base de la Orden de Compra acordada expresamente por las partes contratantes.

Se aplicará la base de la Orden de Compra acordada expresamente por las partes contratantes. Página 1 de 7 Condiciones Generales de Compra 1. Partes contratantes Este contrato (en adelante denominado Orden de Compra) se acuerda entre el proveedor (referido en adelante como "PROVEEDOR") y la empresa

Más detalles

Diputación de Albacete. Paseo Libertad, 5. 02001. Albacete. Tel. 967595300. Fax. 967520316. Guía

Diputación de Albacete. Paseo Libertad, 5. 02001. Albacete. Tel. 967595300. Fax. 967520316. Guía Diputación de Albacete. Paseo Libertad, 5. 02001. Albacete. Tel. 967595300. Fax. 967520316 Guía 12 Obligaciones del responsable de seguridad exigibles por la LOPD Cesión de datos Es cesión o comunicación

Más detalles

CÓDIGO DE CONDUCTA DE DATOS PERSONALES

CÓDIGO DE CONDUCTA DE DATOS PERSONALES CÓDIGO DE CONDUCTA DE DATOS PERSONALES Este Código de Conducta, incluyendo las Reglas del Uso Adecuado y Justo de Datos, explica como Equifax maneja los datos personales incluidos en sus bases de datos

Más detalles

0. Introducción. 0.1. Antecedentes

0. Introducción. 0.1. Antecedentes ISO 14001:2015 0. Introducción 0.1. Antecedentes Conseguir el equilibrio entre el medio ambiente, la sociedad y la economía está considerado como algo esencial para satisfacer las necesidades del presente

Más detalles

POLITICA DE PRIVACIDAD. www.tuboleta.com

POLITICA DE PRIVACIDAD. www.tuboleta.com http://vive.tuboleta.com/content/privatepolicy.aspx POLITICA DE PRIVACIDAD Tu Boleta respeta la privacidad de todos sus clientes y contactos comerciales, y está comprometido a salvaguardar la información

Más detalles

5.1 REGISTRO DE FICHEROS... 5. 5.1.1 Análisis de los datos tratados... 5 5.1.2 Inscripción de los ficheros... 5

5.1 REGISTRO DE FICHEROS... 5. 5.1.1 Análisis de los datos tratados... 5 5.1.2 Inscripción de los ficheros... 5 1 INTRODUCCION... 3 2 PROTECCIÓN DE DATOS... 4 3 NORMATIVA BÁSICA REGULADORA... 4 4 AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS... 4 5 OBLIGACIONES DE LAS EMPRESAS.... 5 5.1 REGISTRO DE FICHEROS... 5 5.1.1

Más detalles

Términos y condiciones de Europeanwebhost S.L ver: 1.0

Términos y condiciones de Europeanwebhost S.L ver: 1.0 Términos y condiciones de Europeanwebhost S.L ver: 1.0 Los siguientes términos y condiciones se aplican a Europeanwebhost S.L a partir del 30 de noviembre de 2014. 1. Suscripción: Las suscripciones de

Más detalles

Iniciativa de Red Global Protegiendo y promoviendo la libertad de expresión y la privacidad en las tecnologías de información y comunicaciones

Iniciativa de Red Global Protegiendo y promoviendo la libertad de expresión y la privacidad en las tecnologías de información y comunicaciones Iniciativa de Red Global Protegiendo y promoviendo la libertad de expresión y la privacidad en las tecnologías de información y comunicaciones Marco de Gobernabilidad, Rendición de cuentas y Aprendizaje

Más detalles

LISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M

LISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M No. REQUISITOS EXISTE ESTADO OBSERVACIONES 4. SISTEMA DE GESTION DE LA CALIDAD 4.1 Requisitos Generales La organización debe establecer, documentar, implementar y mantener un S.G.C y mejorar continuamente

Más detalles

AVISO LEGAL y POLITICA DE PRIVACIDAD

AVISO LEGAL y POLITICA DE PRIVACIDAD AVISO LEGAL y POLITICA DE PRIVACIDAD AVISO LEGAL. OBJETO: La presente página Web ha sido diseñada para dar a conocer los servicios ofertados por la entidad Análisis de Riesgos para Entidades Aseguradoras

Más detalles

Cloud Security Alliance, Inc. (CSA) se atiene a los siguientes principios en relación al manejo de información personal en formato electrónico:

Cloud Security Alliance, Inc. (CSA) se atiene a los siguientes principios en relación al manejo de información personal en formato electrónico: Cloud Security Alliance Política de Privacidad Cloud Security Alliance, Inc. (CSA) se atiene a los siguientes principios en relación al manejo de información personal en formato electrónico: La información

Más detalles

CODIGO DEL DOCUMENTO: CONTROL DE CAMBIOS. Versión Fecha Descripción del Cambio

CODIGO DEL DOCUMENTO: CONTROL DE CAMBIOS. Versión Fecha Descripción del Cambio Proceso: GESTIÓN DE CALIDAD Página 1 de 7 NOMBRE DEL DOCUMENTO: En cumplimiento de la Ley 1581 de 2.012 y su Decreto Reglamentario 1377 de 2.013 CODIGO DEL DOCUMENTO: OD-GC-001 CONTROL DE CAMBIOS Versión

Más detalles

Acerca de EthicsPoint

Acerca de EthicsPoint Acerca de EthicsPoint Reportes General Seguridad y confidencialidad de los reportes Consejos y mejores prácticas Acerca de EthicsPoint Qué es EthicsPoint? EthicsPoint es una herramienta de reporte anónima

Más detalles

COLEGIO DE CONTADORES PUBLICOS DEL DISTRITO CAPITAL DECLARACIÓN SOBRE NORMAS Y PROCEDIMIENTOS DE AUDITORIA. No. 2

COLEGIO DE CONTADORES PUBLICOS DEL DISTRITO CAPITAL DECLARACIÓN SOBRE NORMAS Y PROCEDIMIENTOS DE AUDITORIA. No. 2 DECLARACIÓN SOBRE NORMAS Y PROCEDIMIENTOS DE AUDITORIA No. 2 SOLICITUD DE INFORMACIÓN AL ABOGADO DEL CLIENTE GENERADORES DE CONFIANZA!!! 1 SOLICITUD DE INFORMACION AL ABOGADO DEL CLIENTE INTRODUCCION 1.

Más detalles

Condiciones de uso. Accesorios Forestales de Occidente S.A. de C.V.

Condiciones de uso. Accesorios Forestales de Occidente S.A. de C.V. Condiciones de uso Accesorios Forestales de Occidente S.A. de C.V. Condiciones de uso Condiciones de Uso Accesorios Forestales de Occidente, S.A. de C.V. (AFOSA) aprecia su interés por la compañía y por

Más detalles

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-003 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SEGURIDAD

Más detalles

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN Política General de Seguridad aplicable al usuario final del SCS

SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN Política General de Seguridad aplicable al usuario final del SCS SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN Política General de Seguridad aplicable al usuario final del SCS A través de las Políticas de Seguridad recogidas en el Documento de Seguridad se describen las

Más detalles

IAP 1009 - TÉCNICAS DE AUDITORÍA APOYADAS EN ORDENADOR (TAAO)

IAP 1009 - TÉCNICAS DE AUDITORÍA APOYADAS EN ORDENADOR (TAAO) IAP 1009 - TÉCNICAS DE AUDITORÍA APOYADAS EN ORDENADOR (TAAO) Introducción 1. Como se indica en la Norma Internacional de Auditoría 401, "Auditoría en un contexto informatizado", los objetivos globales

Más detalles

DECLARACIÓN SOBRE NORMAS Y PROCEDIMIENTOS DE AUDITORIA DNA 2. SOLICITUD DE INFORMACIÓN AL ABOGADO DEL CLIENTE

DECLARACIÓN SOBRE NORMAS Y PROCEDIMIENTOS DE AUDITORIA DNA 2. SOLICITUD DE INFORMACIÓN AL ABOGADO DEL CLIENTE DECLARACIÓN SOBRE NORMAS Y PROCEDIMIENTOS DE AUDITORIA DNA 2. SOLICITUD DE INFORMACIÓN AL ABOGADO DEL CLIENTE INTRODUCCION 1. Esta declaración proporciona una guía de los procedimientos que un contador

Más detalles

POLÍTICA DE TECNOLOGÍA DE INFORMACIÓN

POLÍTICA DE TECNOLOGÍA DE INFORMACIÓN TABLA DE CONTENIDO 1. OBJETIVO... 1 2. ALCANCE... 1 3. CONTENIDO DE LA POLÍTICA... 1 3.1 Premisas generales para el cumplimiento de la política... 2 3.2 Contenido de la política... 3 3.2.1 Responsabilidades

Más detalles

Actualización de la Norma ISO 9001:2008

Actualización de la Norma ISO 9001:2008 Actualización de la Norma ISO 9001:2008 Porqué se actualiza la norma? Existe un ciclo para revisar las normas ISO para mantener las normas actualizadas. Se debe mantener la actualización con desarrollos

Más detalles

Sistemas de Gestión de Calidad. Control documental

Sistemas de Gestión de Calidad. Control documental 4 Sistemas de Gestión de Calidad. Control documental ÍNDICE: 4.1 Requisitos Generales 4.2 Requisitos de la documentación 4.2.1 Generalidades 4.2.2 Manual de la Calidad 4.2.3 Control de los documentos 4.2.4

Más detalles

152. a SESIÓN DEL COMITÉ EJECUTIVO

152. a SESIÓN DEL COMITÉ EJECUTIVO ORGANIZACIÓN PANAMERICANA DE LA SALUD ORGANIZACIÓN MUNDIAL DE LA SALUD 152. a SESIÓN DEL COMITÉ EJECUTIVO Washington, D.C., EUA, del 17 al 21 de junio del 2013 Punto 7.3 del orden del día provisional CE152/INF/3

Más detalles

Requisitos de control de proveedores externos

Requisitos de control de proveedores externos Requisitos de control de proveedores externos Ciberseguridad Para proveedores clasificados como de bajo riesgo de ciberdelito 1. Protección de activos y configuración de sistemas Los Datos de Barclays,

Más detalles

AUTO MERCADO S.A. Términos y condiciones

AUTO MERCADO S.A. Términos y condiciones AUTO MERCADO S.A. Términos y condiciones El acceso a este sitio web y a cualquier página del mismo sitio, implica el conocimiento y cumplimiento de los términos y condiciones que en ella se establecen,

Más detalles

TÉRMINOS Y CONDICIONES PARA EL ACCESO AL PORTAL BDF.

TÉRMINOS Y CONDICIONES PARA EL ACCESO AL PORTAL BDF. TÉRMINOS Y CONDICIONES PARA EL ACCESO AL PORTAL BDF. 1. Términos y condiciones Los presentes términos y condiciones de Uso y Privacidad, son los establecidos por el Banco de Finanzas, S.A. (BDF) para los

Más detalles

Proceso: AI2 Adquirir y mantener software aplicativo

Proceso: AI2 Adquirir y mantener software aplicativo Proceso: AI2 Adquirir y mantener software aplicativo Se busca conocer los estándares y métodos utilizados en la adquisición de y mantenimiento del software. Determinar cuál es proceso llevado a cabo para

Más detalles

Módulo 7: Los activos de Seguridad de la Información

Módulo 7: Los activos de Seguridad de la Información Módulo 7: Los activos de Seguridad de la Información Se explica en este tema cómo deben abordarse la elaboración de un inventario de activos que recoja los principales activos de información de la organización,

Más detalles

Norma ISO 9001: 2008. Sistema de Gestión de la Calidad

Norma ISO 9001: 2008. Sistema de Gestión de la Calidad Norma ISO 9001: 2008 Sistema de Gestión de la Calidad Hemos recibido una solicitud de información a través de nuestra Web (www.grupoacms.com). Próximamente un comercial de ACMS se pondrá en contacto con

Más detalles

POLITICA DE PRIVACIDAD DE LA PAGINA WEB

POLITICA DE PRIVACIDAD DE LA PAGINA WEB POLITICA DE PRIVACIDAD DE LA PAGINA WEB operamos el website de Simple Solutions.com y respetamos la privacidad de los individuos que utilizan este website. A continuación detallamos cómo utilizamos la

Más detalles

DEPARTAMENTO DE SALUD PÚBLICA DE ALABAMA NOTIFICACIÓN DE PRÁCTICAS DE PRIVACIDAD

DEPARTAMENTO DE SALUD PÚBLICA DE ALABAMA NOTIFICACIÓN DE PRÁCTICAS DE PRIVACIDAD DEPARTAMENTO DE SALUD PÚBLICA DE ALABAMA NOTIFICACIÓN DE PRÁCTICAS DE PRIVACIDAD ESTA NOTIFICACIÓN DESCRIBE CÓMO SE PUEDE UTILIZAR Y DIVULGAR LA INFORMACIÓN MÉDICA SOBRE USTED Y CÓMO PUEDE ACCEDER A ESTA

Más detalles

Cómo afecta la Ley Orgánica de Protección de Datos de carácter personal a un Administrador de fincas y a las Comunidades de Propietarios que gestiona

Cómo afecta la Ley Orgánica de Protección de Datos de carácter personal a un Administrador de fincas y a las Comunidades de Propietarios que gestiona Cómo afecta la Ley Orgánica de Protección de Datos de carácter personal a un Administrador de fincas y a las Comunidades de Propietarios que gestiona Si usted dirige un despacho de administración de fincas,

Más detalles

BYOD - Retos de seguridad

BYOD - Retos de seguridad BYOD - Retos de seguridad ÍNDICE Introducción 3 Manejo de la información 11 Qué es BYOD? Dispositivos más utilizados Usos de los dispositivos móviles 4 5 6 Gestión de aplicaciones y dispositivos Elegir

Más detalles

SISTEMA DE PAPELES DE TRABAJO PARA AUDITORÍA SPT AUDIT

SISTEMA DE PAPELES DE TRABAJO PARA AUDITORÍA SPT AUDIT SISTEMA DE PAPELES DE TRABAJO PARA AUDITORÍA SPT AUDIT INTRODUCCIÓN La documentación de auditoría ó papeles de trabajo son el respaldo que tiene el auditor para registrar los procedimientos aplicados,

Más detalles

Aceptación del acuerdo: Modificaciones de este acuerdo: Derechos de autor:

Aceptación del acuerdo: Modificaciones de este acuerdo: Derechos de autor: Bienvenido a EnfoquealaFamilia.com, un sitio web operado por Enfoque a la Familia. Salvo que se indique lo contrario, el término "Enfoque a la Familia " se considerará que incluye la Asociación Para cada

Más detalles

6. RESPONSABILIDADES DE LOS PRESTADORES DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN

6. RESPONSABILIDADES DE LOS PRESTADORES DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN 28 6. RESPONSABILIDADES DE LOS PRESTADORES DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN 6.1 Responsabilidad general Las empresas o profesionales que ofrezcan servicios de la sociedad de la información

Más detalles

Acuerdo de aprobación de la Normativa Básica de Correo Electrónico de la Universidad Miguel Hernández.

Acuerdo de aprobación de la Normativa Básica de Correo Electrónico de la Universidad Miguel Hernández. Acuerdo de aprobación de la Normativa Básica de Correo Electrónico de la Universidad Miguel Hernández. Con el fin de regular el uso de los recursos informáticos y telemáticos del servicio de correo en

Más detalles

Guía para identificar riesgos en el Proceso de Inventarios

Guía para identificar riesgos en el Proceso de Inventarios 2010 Guía de Auditoría Guía para identificar riesgos en el Proceso de Inventarios www.auditool.org Red de Conocimientos en Auditoría y Interno 31/10/2010 Identificación de riesgos en el proceso de inventarios

Más detalles

Transport Layer Security (TLS) Acerca de TLS

Transport Layer Security (TLS) Acerca de TLS Transport Layer Security (TLS) Acerca de TLS Contenido Correo electrónico seguro en HSBC... 2 Acerca de Transport Layer Security..... 2 Para establecer una conexión Forced TLS con HSBC... 4 Glosario...

Más detalles

INFORME AL PROYECTO DE REAL DECRETO DE ASISTENCIA SANITARIA TRANSFRONTERIZA

INFORME AL PROYECTO DE REAL DECRETO DE ASISTENCIA SANITARIA TRANSFRONTERIZA INFORME AL PROYECTO DE REAL DECRETO DE ASISTENCIA SANITARIA TRANSFRONTERIZA La primera conclusión derivada de la contrastar el contenido del proyecto de Real Decreto y la Directiva 2011/24 relativa a la

Más detalles

Principios de Privacidad y Confidencialidad de la Información

Principios de Privacidad y Confidencialidad de la Información Principios de Privacidad y Confidencialidad de la Información Con el objetivo de mantener nuestro permanente liderazgo en la protección de la privacidad del cliente, Manufacturera 3M S.A de C.V está activamente

Más detalles

Privacidad. Política de Privacidad del Sitio Web. Introducción. Cookies y Seguimiento

Privacidad. Política de Privacidad del Sitio Web. Introducción. Cookies y Seguimiento Privacidad Aviso de Prácticas de Privacidad de la HIPAA: Para leer más sobre nuestras prácticas de privacidad en relación con la información médica y de salud según la Ley de Portabilidad y Responsabilidad

Más detalles

Procedimiento para el Manejo de No Conformidades, Acciones Preventivas y Correctivas del Sistema de Gestión Integral

Procedimiento para el Manejo de No Conformidades, Acciones Preventivas y Correctivas del Sistema de Gestión Integral Página: 1 de 1 Hoja de Control de Emisión y Revisiones. N de Revisión Páginas Afectadas Motivo del Cambio Aplica a partir de: 0 Todas Generación de documento 01-Agosto-2009 1 Todas Mejora del documento

Más detalles

GRUPO DE ACCIÓN SOBRE LA CAPACIDAD LEGAL SEGÚN LA CONVENCION

GRUPO DE ACCIÓN SOBRE LA CAPACIDAD LEGAL SEGÚN LA CONVENCION GRUPO DE ACCIÓN SOBRE LA CAPACIDAD LEGAL SEGÚN LA CONVENCION DISEÑO DE SISTEMAS DE TOMA DE DECISIONES CON APOYO: UNA GUÍA PARA EL DIÁLOGO Febrero de 2009 INTRODUCCIÓN El artículo 12 de la Convención de

Más detalles

DOCUMENTO DE SEGURIDAD

DOCUMENTO DE SEGURIDAD CÁMARA DE COMERCIO DE OCAÑA DOCUMENTO DE SEGURIDAD Ocaña Norte de Santander 2014 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto

Más detalles

CONTRALORIA GENERAL DE LA REPUBLICA UNIDAD DE TECNOLOGIAS DE INFORMACION POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL

CONTRALORIA GENERAL DE LA REPUBLICA UNIDAD DE TECNOLOGIAS DE INFORMACION POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL CONTRALORIA GENERAL DE LA REPUBLICA UNIDAD DE TECNOLOGIAS DE INFORMACION POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL AÑO 2009 1 POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL 1. INTRODUCCION.

Más detalles

El USUARIO manifiesta que es jurídicamente capaz de realizar el procedimiento a utilizar y que está facultado para hacer uso del mismo.

El USUARIO manifiesta que es jurídicamente capaz de realizar el procedimiento a utilizar y que está facultado para hacer uso del mismo. A continuación se detallan los términos y condiciones bajo las cuales se regirá el servicio de pagos en línea del Municipio de Itagüí, para ello se proveerá la plataforma tecnológica con el fin de prestar

Más detalles

Política de Privacidad Novasalud.com S.A.

Política de Privacidad Novasalud.com S.A. Política de Privacidad Novasalud.com S.A. Esta Política es aplicable a los residentes de Chile. La presente Política de Privacidad explica la forma en que Novasalud.com S.A. ( Novasalud ) maneja la información

Más detalles

Norma Internacional ISO 9001:2008: Sistemas de Gestión de la Calidad- Requisitos. 4. Sistema de Gestión de la Calidad

Norma Internacional ISO 9001:2008: Sistemas de Gestión de la Calidad- Requisitos. 4. Sistema de Gestión de la Calidad Norma Internacional ISO 9001:2008: Sistemas de Gestión de la Calidad- Requisitos 4. Sistema de Gestión de la Calidad Figura N 1. Estructura del capítulo 4, Norma ISO 9001:2008. La Norma ISO 9001: 2008

Más detalles

Ley Modelo sobre sistemas de pagos y de liquidación de valores de Centroamérica y República Dominicana. Capítulo I Disposiciones generales

Ley Modelo sobre sistemas de pagos y de liquidación de valores de Centroamérica y República Dominicana. Capítulo I Disposiciones generales Ley Modelo sobre sistemas de pagos y de liquidación de valores de Centroamérica y República Dominicana Artículo 1. Objeto de la normativa. Capítulo I Disposiciones generales La presente ley tiene por objeto

Más detalles

Política de privacidad

Política de privacidad Política de privacidad Esta política de privacidad (la Política de privacidad ) podría cambiar periódicamente. Los cambios no tienen por qué anunciarse necesariamente, por lo que conviene que vuelva a

Más detalles

Curso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007

Curso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007 Curso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007 C/Fernando Macías 13; 1º izda. 15004 A CORUÑA Tel 981 160 247. Fax 981 108 992 www.pfsgrupo.com DEFINICIONES: RIESGOS

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

DOCUMENTO DE SEGURIDAD EMPRESA DE EJEMPLO SL

DOCUMENTO DE SEGURIDAD EMPRESA DE EJEMPLO SL DOCUMENTO DE SEGURIDAD EMPRESA DE EJEMPLO SL Fecha de version: 27/02/2008 El presente Documento y sus Anexos, redactados en cumplimiento de lo dispuesto en el Reglamento de Medidas de Seguridad (Real Decreto

Más detalles

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Aníbal Díaz Gines Auditor de SGSI Certificación de Sistemas Applus+ Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC

Más detalles

Términos y Condiciones de http://www.game-learn.com

Términos y Condiciones de http://www.game-learn.com Términos y Condiciones de http://www.game-learn.com Introducción Bienvenido a http://www.game-learn.com. Esta web es propiedad y está operada por Gamelearn. Al visitar nuestra página y acceder a la información,

Más detalles

AVISO DE PRIVACIDAD MACRO QUIMICA SA DE CV

AVISO DE PRIVACIDAD MACRO QUIMICA SA DE CV AVISO DE PRIVACIDAD MACRO QUIMICA SA DE CV Responsable de la protección de sus datos personales. MACRO QUIMICA, SA DE CV, con domicilio en Alfa N 1019, Parque Industrial Mitras, C.P. 66000, Mitras, Nuevo

Más detalles

A. PRINCIPIOS GENERALES PARA LA MANIPULACION DE INFORMACION CONFIDENCIAL

A. PRINCIPIOS GENERALES PARA LA MANIPULACION DE INFORMACION CONFIDENCIAL CONVENCION SOBRE LA PROHIBICION DEL DESARROLLO, LA PRODUCCIÓN, EL ALMACENAMIENTO Y EL EMPLEO DE ARMAS QUIMICAS Y SOBRE SU DESTRUCCION ANEXO SOBRE LA PROTECCION DE LA INFORMACION CONFIDENCIAL ("ANEXO SOBRE

Más detalles

ISO 17025: 2005. Requisitos generales para la competencia de los laboratorios de ensayo y calibración

ISO 17025: 2005. Requisitos generales para la competencia de los laboratorios de ensayo y calibración ISO 17025: 2005 Requisitos generales para la competencia de los laboratorios de ensayo y calibración El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información

Más detalles

ESTATUTO DE AUDITORIA LOPD PARA EL AYUNTAMIENTO DE ZARZADILLA DE PAR

ESTATUTO DE AUDITORIA LOPD PARA EL AYUNTAMIENTO DE ZARZADILLA DE PAR ESTATUTO DE AUDITORIA LOPD PARA EL AYUNTAMIENTO DE ZARZADILLA DE PAR LA LOPD Y SU ÁMBITO DE APLICACIÓN La Ley Orgánica de Protección de Datos (LOPD) se aplica a todos los datos de carácter personal registrados

Más detalles

CAPÍTULO V. CONCLUSIONES Y RECOMENDACIONES. La franquicia es una figura jurídica regulada en la ley de propiedad industrial,

CAPÍTULO V. CONCLUSIONES Y RECOMENDACIONES. La franquicia es una figura jurídica regulada en la ley de propiedad industrial, CAPÍTULO V. CONCLUSIONES Y RECOMENDACIONES. La franquicia es una figura jurídica regulada en la ley de propiedad industrial, en donde de acuerdo a ésta ley, destacan ciertas características fundamentales,

Más detalles

ANEXO II. Los datos facilitados no serán incorporados a sistemas o soportes distintos de los del responsable del fichero.

ANEXO II. Los datos facilitados no serán incorporados a sistemas o soportes distintos de los del responsable del fichero. ANEXO II COMPROMISO RELATIVO AL TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL, DE OBLIGADA ACEPTACIÓN PARA AQUELLAS ENTIDADES QUE OBTENGAN LA CONDICIÓN DE ENTIDAD COLABORADORA DE LANBIDE-SERVICIO VASCO DE

Más detalles

TEXTOS A AÑADIR EN LOS CONTRATOS LABORALES CON LOS TRABAJADORES DE LA EMPRESA

TEXTOS A AÑADIR EN LOS CONTRATOS LABORALES CON LOS TRABAJADORES DE LA EMPRESA CONTRATOS LABORALES TEXTOS A AÑADIR EN LOS CONTRATOS LABORALES CON LOS TRABAJADORES DE LA EMPRESA Deberá usted añadir este texto en el contrato de los trabajadores, tanto en el caso de los nuevos, como

Más detalles

Tratamiento del Riesgo

Tratamiento del Riesgo Tratamiento del Riesgo 1 En que consiste el tratamiento de los riesgos? 2. Cuando debemos enfrentarnos a los riesgos? 3. Estrategias de tratamiento de riesgos 4. Modelo de Análisis de Riesgos 5. Qué pasos

Más detalles

CONTRATO DE CONFIDENCIALIDAD

CONTRATO DE CONFIDENCIALIDAD CONTRATO DE CONFIDENCIALIDAD Este Contrato de Confidencialidad, en adelante denominado como el CONTRATO, se celebra entre, Universidad de los Andes, RUT71.614.000-8, con domicilio en San Carlos de Apoquindo

Más detalles

GVSIG ACUERDO DE LICENCIA DE CONTRIBUCIÓN

GVSIG ACUERDO DE LICENCIA DE CONTRIBUCIÓN GVSIG ACUERDO DE LICENCIA DE CONTRIBUCIÓN Gracias por su interés en el proyecto de código abierto gvsig, que es gestionado por la Asociación gvsig. El documento de cesión que figura a continuación es un

Más detalles

Ley Orgánica de Protección de Datos

Ley Orgánica de Protección de Datos Hécate GDocS Gestión del documento de seguridad Ley Orgánica de Protección de Datos 2005 Adhec - 2005 EFENET 1. GDocS - Gestión del Documento de Seguridad GDocS es un programa de gestión que permite mantener

Más detalles

Antecedentes Programa de Nuevos Dominios Genéricos de Alto Nivel (gtld)

Antecedentes Programa de Nuevos Dominios Genéricos de Alto Nivel (gtld) Programa de Nuevos Dominios Genéricos de Alto Nivel (gtld) Memorando Explicativo Versión preliminar para el debate: Impactos económicos y en el mercado Fecha de publicación original: 15 de abril de 2011

Más detalles

6 - Aspectos Organizativos para la Seguridad

6 - Aspectos Organizativos para la Seguridad Auditorría de Sistemas: SIS-303 Universidad Católica Boliviana Docente Ph.D. Indira Rita Guzman de Galvez ISO 17799 6 - Aspectos Organizativos para la Seguridad Resumen Por: Edwin Marcelo Guzman Bueso

Más detalles

Para que la legislación modelo propuesta ofrezca mayor certidumbre y previsión, será necesario que aborde los siguientes temas:

Para que la legislación modelo propuesta ofrezca mayor certidumbre y previsión, será necesario que aborde los siguientes temas: DESCRIPCION DE LA PROPUESTA DEL CANADA SOBRE LA ELABORACION DE UNA LEGISLACION MODELO SOBRE JURISDICCION Y NORMAS SOBRE CONFLICTO DE LEYES, APLICABLES EN FORMA UNIFORME EN MATERIA DE CONTRATOS CON EL CONSUMIDOR

Más detalles

Términos y condiciones generales de uso del sitio web del Banco de la Provincia de Buenos Aires

Términos y condiciones generales de uso del sitio web del Banco de la Provincia de Buenos Aires 1 INTRODUCCIÓN El Banco de (en adelante BANCO PROVINCIA) le da la bienvenida a su sitio Web y lo invita a recorrer sus páginas para acceder a la información sobre nuestra institución, sus productos y servicios.

Más detalles

Sistema de Gestión de Prevención de Riesgos Laborales. Auditorías de Prevención

Sistema de Gestión de Prevención de Riesgos Laborales. Auditorías de Prevención Sistema de Gestión de Prevención de Riesgos Laborales. Auditorías de Prevención Autor: autoindustria.com Índice 0. Introducción 1. Auditorías del Sistema de Prevención de Riesgos Laborales 1.1. Planificación

Más detalles