NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S

Transcripción

1 Nom bre del Políticas de Seguridad de Información Normativa EMISIÓN CLASIFICACIÓN SERIAL Nº 20/09/06 USO GENERAL NORMATIVA S/S 1/39

2 INTRODUCCIÓN Las normas que integran las Políticas de Seguridad de Información serán de obligatorio cumplimiento para el personal de Petróleos de Venezuela S.A. y de sus empresas filiales y es, así mismo, responsabilidad de los niveles supervisorios respectivos ejecutar y hacer cumplir estas disposiciones regulatorias de los aspectos relacionados con la seguridad de los activos de información pertenecientes a, o bajo custodia de, la Corporación. La Gerencia de de la Gerencia Corporativa de Prevención y (PCP), ejercerá la custodia de las referidas normas y será responsable de definir procedimientos de control específicos, así como de administrar, implementar y mantener medidas de supervisión y vigilancia de acceso a los Activos de Información y suministrar formas de recuperación, en concordancia con las instrucciones emanadas de los Gerentes Propietarios de los Activos de Información. De igual manera, queda establecido que estas Políticas se deberán aplicar independientemente de la manera en que se representa la información, la tecnología usada para manipular la información, la ubicación de la información o la categorización de la información. Gerencia Corporativa de Prevención y Trabajo, Honestidad, Excelencia La Corporación se reserva el derecho de cambiar estas Políticas en cualquier momento y sin previo aviso 2/39

3 POLÍTICAS DE SEGURIDAD DE INFORMACIÓN CAPÍTULO 01 PROTECCIÓN DE LA PLATAFORMA TECNOLÓGICA SECCIÓN 01 Protección de la Plataforma Tecnológica PSI : Declaración de Seguridad: Los Activos de Información de la Corporación deberán estar debidamente protegidos contra acciones o eventos que perjudiquen los principios y estándares establecidos de seguridad de información. PSI : Regulación sobre Aspectos de Seguridad de Información: La Corporación, a través de la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica, deberá regular las actividades inherentes y conexas con la Seguridad de la Plataforma Tecnológica. PSI : Responsabilidades Legales en Materia de Seguridad: La Corporación, en defensa de sus Activos de Información, procederá de acuerdo al Ordenamiento Jurídico y a los Tratados Internacionales de la República. En virtud de lo cual, ante la presencia de un evento o incidente que pudiera afectar la Seguridad de los Activos de Información, de su propiedad o bajo su custodia, iniciará a través de la Gerencia Corporativa de Prevención y (PCP), las investigaciones respectivas y, en caso de evidenciarse un supuesto delito, contactará, previa opinión de la organización jurídica de la Corporación, a los organismos competentes del Estado para que éstos efectúen las actuaciones correspondientes en aplicación de las disposiciones legales que regulan la materia. 3/39

4 CAPÍTULO 02 CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN SECCIÓN 01 Clasificación de Activos de Información PSI : Clasificación de Activos de Información: Todo Activo de Información perteneciente a, o bajo la custodia, de la Corporación, deberá ser clasificado de acuerdo a la normativa de clasificación vigente en materia de Protección de Activos de Información de la Corporación. PSI : Asignación de Propiedad de Información: La responsabilidad de protección, resguardo y custodia sobre cada Activo de Información de la Corporación deberá ser asignada a un Gerente Propietario. PSI : Rotular Activos de Información: Todo Activo de Información de la Corporación deberá ser rotulado de manera que todos los usuarios puedan tener conocimiento acerca de la propiedad, clasificación y valor de dicha información. PSI : Inventario de Activos de Información: La Gerencia Responsable de la Plataforma Tecnológica deberá crear mecanismos que permitan mantener un inventario vigente de los Activos de Información de la Corporación. PSI : Tratamiento y Resguardo de los Activos de Información: Todo Activo de Información deberá ser protegido, custodiado y resguardado de conformidad con los niveles de clasificación que le fueron asignados, utilizando para ello los métodos y/o técnicas de seguridad aprobados por la Corporación. 4/39

5 CAPÍTULO 03 CONTROL DE ACCESO A LA INFORMACIÓN Y SISTEMAS SECCIÓN 01 Control de Acceso a la Información y Sistemas PSI : Administración del Control Acceso: El Control de Acceso a la Información y Sistemas deberá ser administrado por el personal autorizado debida y formalmente por la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica a solicitud del Gerente Propietario, respetando los perfiles organizacionales de la Corporación, de conformidad con los Acuerdos de Servicio, los eventuales Estados de Excepción y las prioridades del Negocio. PSI : Control de Acceso al Usuario: El acceso de los usuarios a la Información y Sistemas deberá ser permitido cuando esté debidamente justificado por el Gerente Propietario, autorizado debida y formalmente por el Administrador Responsable de esta información y/o sistemas y procesado por la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica, respetando los roles y perfiles organizacionales de la Corporación. Todas las referidas autorizaciones deberán efectuarse por escrito. PSI : Protección de Equipos de Tecnología de Información Desatendidos: Todo Equipo de Tecnología de Información desatendido deberá estar protegido física y lógicamente, de acuerdo a su clasificación. PSI : Administración del Control de Acceso a la Red: El Control de Acceso a la Red deberá ser administrado por personal autorizado debida y formalmente por la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica, a solicitud del Gerente Propietario, respetando los perfiles organizacionales de la Corporación, de conformidad con los Acuerdos de Servicio, los eventuales Estados de Excepción y las prioridades del Negocio. PSI : Control de Acceso al Sistema Operativo: El acceso al Sistema Operativo deberá ser permitido sólo a aquellas personas autorizadas, en forma escrita, por la Gerencia Responsable de la Plataforma Tecnológica, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación y cuyas funciones del cargo lo requieran. PSI : Mecanismos de Identificación y Autenticación: Las personas designadas por la Gerencia Responsable de la Plataforma Tecnológica deberán ser responsables del diseño, elaboración y verificación de mecanismos de identificación 5/39

6 y autentificación confiables. Será responsabilidad de la Gerencia Corporativa de Prevención y (PCP) hacer los respectivos requerimientos, definir su especificación funcional, efectuar las pruebas necesarias, certificar los referidos mecanismos y lograr el uso eficiente de los mismos. PSI : Restricción de Acceso a la Información: Las restricciones a la información deberán establecerse atendiendo los niveles apropiados asociados al cargo y perfil organizacional y de acuerdo a la política de Control de Acceso, a fin de minimizar los riesgos en seguridad de información. PSI : Monitoreo del Acceso y Uso del Sistema: Todo acceso a los recursos de Tecnología de Información deberá ser registrado y monitoreado de acuerdo a las mejores prácticas vigentes aceptadas por la Corporación. PSI : Brindar Acceso a los Activos de Información: El acceso a los Activos de Información deberá ser controlado, asegurando su disponibilidad, sólo al personal autorizado debida y formalmente por el Gerente Propietario y avalado por la respectiva Gerencia Responsable de la Seguridad de la Plataforma Tecnológica, de conformidad con las Políticas de clasificación de Activos de Información. PSI : Control del Acceso a Usuarios Remotos: El control de acceso a los Activos de Información, en el caso de usuarios remotos, deberá establecerse de conformidad con su clasificación, ser autorizado debida y formalmente por el Gerente Propietario, avalado por la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica y estar limitado al perfil de usuario, para no utilizar a estos fines más privilegios del necesario para lograr los objetivos específicos del Negocio. PSI : Administración de Seguridad de Aplicaciones: Toda aplicación administrada por la Corporación deberá tener un Administrador de Seguridad debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica, de conformidad con la política de clasificación de los Activos de Información y los Acuerdos de Servicio. PSI : Claves de Máximos Privilegios: Las Claves de Máximos Privilegios de las aplicaciones y sistemas de la Corporación deberán tener el máximo nivel de clasificación establecido en la Corporación. La Gerencia Responsable de la Protección de los Activos de la Corporación deberá establecer los mecanismos de asignación, administración, custodia y uso, de conformidad con los eventuales Estados de Excepción y las prioridades del Negocio. 6/39

7 CAPÍTULO 04 PROCESAMIENTO DE INFORMACIÓN Y DOCUMENTOS SECCIÓN 01 Redes PSI : Arquitectura y Configuración de la Red: La arquitectura y configuración de la Red deberán cubrir las necesidades y los procesos del Negocio, manteniendo un alto nivel de desempeño. PSI : Administración de la Red: Sólo personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnológica y avalado por la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación, deberá administrar la Red de la Corporación, de conformidad con los Acuerdos de Servicio, los eventuales Estados de Excepción y las prioridades del Negocio. PSI : Administración de la Plataforma de Seguridad: La Plataforma de Seguridad de la Red de la Corporación deberá ser administrada sólo por personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica, de conformidad con los Acuerdos de Servicio, los eventuales Estados de Excepción y las prioridades del Negocio. PSI : Acceso Remoto a la Red: El Acceso Remoto a la Red y sus recursos deberá estar debidamente justificado por el demandante del servicio, autorizado formalmente por el Gerente Propietario de la información, avalado por la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica y procesado por la Gerencia Responsable de la Plataforma Tecnológica de la Corporación. SECCIÓN 02 Operaciones y Administración de Sistemas PSI : Administración de Sistemas: Los Sistemas de la Corporación deberán ser administrados por personal debidamente calificado y autorizado formalmente por el Gerente Propietario, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación y de conformidad con los Acuerdos de Servicio establecidos. PSI : Control de Distribución de Información: El Gerente Propietario, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma 7/39

8 Tecnológica de la Corporación, deberá establecer los mecanismos que garanticen la existencia de controles y reportes técnicos que permitan efectuar una distribución adecuada de la información, a todas aquellas personas que formalmente autorice. PSI : Revisión de Registros de Eventos: Todo registro de eventos de error, de excepción y de seguridad de los sistemas en la Plataforma Tecnológica de la Corporación deberá ser revisado permanentemente, analizado, documentado y resguardado de forma apropiada por personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica. PSI : Programación de Operaciones de Sistemas: La programación de operaciones de sistemas de la Corporación deberá ser formalmente planificada, autorizada y certificada por personal debidamente calificado y autorizado formalmente por el Gerente Propietario de la información, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación. El diseño, desarrollo, prueba, documentación y operacionalización le corresponderá a la Gerencia Responsable de la Plataforma Tecnológica. PSI : Cambio y/o Mantenimiento de la Programación de la Operación de los Sistemas: Toda modificación y/o mantenimiento de la Programación de Operación de los Sistemas deberá contar con el aval de la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica y se regirá estrictamente por las Políticas de Control de Cambio de la Corporación. PSI : Revisión de Registros de Auditoria: Los registros de auditoria de los Sistemas deberán ser revisados permanentemente por el personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica, de conformidad con el Acuerdo de Servicio con el Gerente Propietario. PSI : Sincronización de Relojes de los Sistemas: Los Relojes de los Sistemas deberán estar sincronizados, especialmente entre las diversas plataformas de procesamiento de la Corporación. PSI : Atención de Fallas de los Sistemas: Sólo personal debidamente calificado y autorizado formalmente deberá atender las fallas de los sistemas de la Plataforma Tecnológica de la Corporación, de conformidad con los Acuerdos de Servicio celebrados entre el Gerente Propietario y la Gerencia Responsable de la Plataforma Tecnológica. PSI : Contratación de Servicios Externos de Tecnología de Información: La contratación y uso de servicios externos y de otros activos de Tecnología de 8/39

9 Información en la Corporación, deberán estar avalados por la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación y deberán contemplar cláusulas y penalidades que garanticen el fiel cumplimiento de lo estipulado y la confidencialidad de la información a la cual acceden. SECCIÓN 03 Correo Electrónico e Internet PSI : Uso del Correo Electrónico de la Corporación: El personal autorizado sólo deberá hacer uso del correo electrónico de la Corporación para fines del Negocio, de conformidad con las normas y procedimientos relacionadas con la recepción, envío, reenvío, almacenamiento y retención del mismo, para tal objeto establecidas. PSI : Uso de Internet dentro de la Corporación: El uso de Internet será permitido en la Corporación, con el fin de formar al personal, innovar y prestar apoyo en la implementación de mejores prácticas en el sector petrolero. En aquellos casos de requerimientos de acceso a la Internet de personas no autorizadas, deberá elevarse dicho requerimiento a la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación para su correspondiente análisis y eventual autorización. PSI : Descarga de Archivos e Información desde Internet: La descarga de información y archivos desde Internet, deberá estar directamente relacionada con el rol que desempeña el empleado y orientada exclusivamente a las actividades propias del Negocio, de conformidad con la política de Uso de Internet dentro de la Corporación. PSI : Uso de Firmas Digitales: Las firmas digitales deberán ser utilizadas para el intercambio de información en la Corporación, de conformidad con las Políticas de Clasificación de Activos de Información. PSI : Acceso a la Intranet: Sólo personal autorizado debida y formalmente por la gerencia que ejerza la respectiva custodia de las aplicaciones a ser utilizadas en la Corporación, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación, podrá acceder a la Intranet, de conformidad al rol que desempeña. PSI : Acceso a la Extranet: La Extranet es de uso masivo, es nuestro mecanismo de divulgación de información oficial al país y al mundo, por lo tanto, su 9/39

10 uso es extenso. Los niveles de autorización y control de acceso a la Extranet de la Corporación, deberán realizarse con el aval de la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica y de conformidad con las Políticas de Administración del Control de Acceso a la Red. SECCIÓN 04 Dispositivos de Transmisión de Información PSI : Administración de Dispositivos de Transmisión de Información: Los Dispositivos de Transmisión de Información deberán ser administrados y controlados, en la Corporación, de forma segura y eficiente, a través de la Gerencia Responsable de la Plataforma Tecnológica. PSI : Uso de Dispositivos de Transmisión de Información: El uso de los Dispositivos de Transmisión de Información en la Corporación deberá ser autorizado debida y formalmente por la Gerencia Responsable de la Plataforma Tecnológica, previo aval de la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica y de conformidad con las Políticas de Clasificación de Activos de Información. SECCIÓN 05 Manejo de Información PSI : Transferencia y/o Intercambio de Información: Toda transferencia y/o intercambio de información interna o externa de la Corporación, a través de cualquier medio electrónico, mecánico o manual, deberán ser autorizados formalmente por el Gerente Propietario, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación y de conformidad con las Políticas de Clasificación de Activos de Información. PSI : Administración de las Bases de Datos: Sólo personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnológica, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación, será responsable de la administración de las bases de datos, tomando en cuenta la seguridad de las mismas, de conformidad con los Acuerdos de Servicio establecidos con el Gerente Propietario. PSI : Cambios de Emergencia en la Información: Sólo el personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnológica podrá ejecutar los cambios de emergencia en la información 10/39

11 de la Corporación, sin arriesgar la seguridad de ésta, de conformidad con las Políticas de Control de Cambios. PSI : Administración de Directorios, Carpetas y/o Estructuras de Información: Sólo personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnológica podrá administrar los directorios, carpetas y/o estructuras de información de la Corporación, de conformidad con lo establecido por el Gerente Propietario y los respectivos Acuerdos de Servicio. PSI : Archivo Físico de Documentos: El archivo físico de documentos deberá realizarse por personal autorizado debida y formalmente por el Gerente Propietario, de conformidad con las Políticas de Clasificación de Activos de Información, las más adelantadas prácticas tecnológicas, los aspectos legales, la normativa interna y las características del respectivo Negocio. PSI : Preservación de Información: La información creada y almacenada por los sistemas de información de la Corporación, deberá preservarse de conformidad con las Políticas de Clasificación de Activos de Información y a los Acuerdos de Servicio con el Gerente Propietario, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación, de manera de cumplir con los aspectos legales, la normativa interna y las características del respectivo Negocio. PSI : Establecer Nuevas Bases de Datos: Sólo personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnológica deberá encargarse de la evaluación, diseño y creación de nuevas bases de datos, de conformidad con las Políticas de Clasificación de Activos de Información, cumpliendo con los requerimientos del Gerente Propietario. PSI : Vinculación de Información entre Documentos y Archivos: Toda información vinculada con las actividades propias del Negocio, deberá estar disponible en su totalidad para evitar depender de la disponibilidad o integridad de archivos de información externos o propiedad de terceros y/o relacionados. PSI : Administración de Reportes Borradores o Preliminares: Toda información de la Corporación considerada borrador o revisión preliminar, deberá cumplir con las Políticas de Clasificación de Activos de Información y será suprimida después de emitirse el reporte definitivo. PSI : Administración de Información de Proyectos relacionados con Tecnología de Información: Sólo personal autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnológica de la Corporación y avalada por la 11/39

12 Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación, deberá administrar la información referente a los Proyectos relacionados con Tecnología de Información, de conformidad con las Políticas de Clasificación de Activos de Información. PSI : Uso de Nomenclatura Estándar para nombrar Archivos y Carpetas: Sólo personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnológica y avalada por la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación, deberá establecer mecanismos que permitan crear una nomenclatura estándar para la identificación de los archivos y carpetas de la Plataforma Tecnológica de la Corporación. PSI : Uso de Encabezados y Pies de Página: Todo documento oficial perteneciente a la Corporación deberá poseer encabezados y pie de página estándar, según la aplicación a la cual pertenecen, autorizados por la Gerencia Responsable de la Imagen Corporativa, de conformidad con las Políticas de Rotulación de Activos de Información y de la Clasificación de Activos de Información, del Ordenamiento Jurídico y del Negocio. PSI : Administración de Archivos Temporales: Los Archivos Temporales generados por Sistemas Operativos y/o Aplicaciones instalados en la Plataforma Tecnológica de la Corporación, con el propósito de registrar información técnica, deberán ser administrados por personal autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnológica, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación, de conformidad con las Políticas de Monitoreo y auditoria de Información y sólo serán eliminados cuando se constate la pérdida de su vigencia. SECCIÓN 06 Respaldo, Almacenaje y Recuperación PSI : Respaldo: Todos los sistemas, su data y/o documentos de usuario, asociados, deberán ser respaldados periódicamente por personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnológica, con funciones excluyentes del personal que realiza el almacenaje y la recuperación, de conformidad con las Políticas de Clasificación de Activos de Información, los Acuerdos de Servicio con el Gerente Propietario en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación. la normativa interna y el Ordenamiento Jurídico. 12/39

13 PSI : Almacenaje: Todos los respaldos de los sistemas, su data y/o documentos de usuario asociados deberán tener una copia y ser almacenados en sitios separados bajo condiciones ambientales seguras, por personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnológica, previo aval de la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación, con funciones excluyentes del personal que realiza respaldos, de conformidad con las Políticas de Clasificación de Activos de Información, los Acuerdos de Servicio con el Gerente Propietario, normativa interna y el Ordenamiento Jurídico. PSI : Recuperación: Todos los sistemas, su data y/o documentos de usuario asociados deberán ser recuperados cuando se requiera, por personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnológica, con funciones excluyentes de la función de respaldo, de conformidad con las Políticas de Clasificación de Activos de Información, los Acuerdos de Servicio con el Gerente Propietario en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación, la normativa interna y el Ordenamiento Jurídico. PSI : Hardware de Respaldo y Recuperación: El Hardware de respaldo y recuperación de la Corporación deberá ser estándar, compatible con la arquitectura de la Plataforma Tecnológica y con capacidad de proceso simultáneo de distintas unidades de almacenamiento masivo, de conformidad con las necesidades del Negocio. PSI : Software de Respaldo y Recuperación: El Software de respaldo y recuperación de la Corporación deberá ser estándar, compatible con la arquitectura de la Plataforma Tecnológica, proveer capacidad de proceso simultáneo de distintas unidades de almacenamiento masivo y producir indicadores relevantes del proceso realizado. PSI : Documentación de Procesos de Respaldo y Recuperación: Deberá mantenerse una documentación detallada de los procesos de respaldo y recuperación, elaborada por personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnológica, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación. Dicha documentación deberá contener indicaciones del entorno donde los referidos procesos se desarrollan y las acciones a tomar en caso de fallas, de conformidad con las normas y procedimientos establecidos para tal fin. PSI : Ejecución Programada de los Procesos de Respaldo y Recuperación: Deberá mantenerse una ejecución programada y automatizada de 13/39

14 los procesos de respaldo y recuperación, elaborada por personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnológica de la Corporación y avalada por la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación. Dicha ejecución deberá contener indicaciones del entorno donde los referidos procesos se desarrollan y las acciones a tomar en caso de fallas, de conformidad con la política de Documentación de Procesos de Respaldo y Recuperación. PSI : Período de Retención de Respaldo: Los respaldos y/o copias de seguridad de la información de la Corporación, deberán ser retenidos por un período de tiempo determinado en el momento de su generación, de conformidad con las Políticas de Clasificación de Activos de Información, los Acuerdos de Servicio con el Gerente Propietario, la normativa interna y el Ordenamiento Jurídico. PSI : Etiquetado de los Respaldos: La identificación para los respaldos y los medios de almacenaje deberá ser un estándar para toda la Corporación, de conformidad con las Políticas de Clasificación de Activos de Información. SECCIÓN 07 Manejo de Documentos PSI : Administración de Documentos: Todo documento perteneciente a la Corporación deberá ser administrado por personal autorizado debida y formalmente por el Gerente Propietario, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación y de conformidad con las Políticas de Clasificación de Activos de Información. PSI : Manejo de Copias de Documentos: Toda copia de documentos de la Corporación deberá recibir el mismo tratamiento y resguardo que el respectivo documento original y ser autorizada formalmente por el Gerente Propietario, de conformidad con las Políticas de Clasificación de Activos de Información. PSI : Autenticidad de Documentos: Los documentos que obligan o comprometen a la Corporación deberán ser refrendados manual o electrónicamente sólo por personal autorizado debida y formalmente y, de conformidad con las Políticas de Clasificación de Activos de Información. PSI : Envío de Documentos: El envío de documentos que obligan o comprometen a la Corporación, deberá ser aprobado por personal autorizado debida y formalmente por el Gerente Propietario, de conformidad con las Políticas de 14/39

15 Clasificación de Activos de Información y Manejo de Documentos, manteniendo un control y registro de su envío. PSI : Correspondencia Interna: Toda correspondencia interna de la Corporación deberá ser identificada debidamente y manejada sólo por personal autorizado formalmente por el Gerente Propietario. PSI : Estilo y Presentación de Reportes: Los documentos corporativos deberán elaborarse bajo un formato estándar acordado entre el Gerente Propietario y la Gerencia Responsable de la Imagen Corporativa, de conformidad con las Políticas de Clasificación de Activos de Información. PSI : Transmisión o Transporte de Documentos: Todo documento deberá ser transmitido o transportado por personal autorizado debida y formalmente por el Gerente Propietario, de conformidad con las Políticas de Clasificación de Activos de Información. PSI : Destrucción de Documentos: Todo documento que haya perdido vigencia y/o valor para la Corporación deberá ser destruido por personal autorizado debida y formalmente por el Gerente Propietario, de conformidad con los mecanismos y normativas para tal fin establecidos. SECCIÓN 08 Seguridad de la Información PSI : Uso de Técnicas de Cifrado: El uso de técnicas de cifrado para la Corporación deberá ser administrado debidamente por la Gerencia Responsable de la Plataforma Tecnológica y autorizado formalmente por la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica. PSI : Manejo de la Información: La Gerencia Responsable de la Protección de los Activos de la Corporación deberá establecer mecanismos de divulgación que contribuyan a que todos sus empleados, terceros y/o relacionados, conozcan sus compromisos legales y corporativos, en el manejo de la información que está bajo su responsabilidad, de conformidad con las Políticas de Clasificación de Activos de Información. PSI : Intercambio de Información con Terceros y/o Relacionados: Toda información perteneciente a la Corporación que sea intercambiada con terceros y/o relacionados, deberá ser autorizada debida y formalmente por el Gerente Propietario, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma 15/39

16 Tecnológica de la Corporación y de conformidad con las Políticas de Clasificación de Activos de Información. PSI : Manejo de Información de Clientes y Terceros: Toda información sobre clientes, terceros y/o relacionados, que sea confiada a la Corporación para fines del Negocio, deberá ser asignada a un Gerente Propietario, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación, de acuerdo a los compromisos previamente establecidos y de conformidad con las Políticas de Clasificación de Activos de Información. PSI : Riesgos de Pérdida y/o Daño de Información y Documentos: Toda la Información de la Corporación, en cualquiera de sus formas, deberá estar protegida contra cualquier evento que pueda atentar contra su integridad, confidencialidad y disponibilidad. PSI : Protección de Información: El acceso a toda información de la Corporación o delegada a ésta, deberá ser protegido por la gerencia que ejercerá la custodia, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación, con mecanismos de identificación y autentificación, de conformidad con las Políticas de Clasificación de Activos de Información. PSI : Impresión de Documentos: Los documentos de la Corporación, de conformidad con la política de Clasificación de los Activos de Información, deberán ser impresos y retirados inmediatamente de las impresoras, sólo por personal autorizado debida y formalmente por el Gerente Propietario. SECCIÓN 09 Manejo y Procesamiento de Otra Información PSI : Eliminación de Información en Medios de Almacenamiento de Información a Desincorporar: La eliminación de información contenida en medios de almacenamiento a desincorporar, deberá ser autorizada por el Gerente Propietario, con el aval de la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación y realizada por personal autorizado debida y formalmente por la Gerencia Responsable de la Plataforma Tecnológica de la Corporación, de conformidad con las Políticas de Clasificación de Activos de Información, la normativa interna y del Ordenamiento Jurídico. PSI : Uso de Dispositivos de Copiado: El uso de los Dispositivos de Copiado en la Corporación deberá estar restringido por la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica y sólo será autorizado para asuntos 16/39

17 relacionados con el Negocio, por el personal debida y formalmente autorizado por el Gerente Propietario de la información, de conformidad con las Políticas de Clasificación de Activos de información. PSI : Suministro de Información a los Medios de Comunicación Social: Sólo personal autorizado debida y formalmente por la Gerencia Responsable de la Imagen Corporativa podrá suministrar información en nombre de la Corporación, en cualquiera de sus formas, a los Medios de Comunicación Social. PSI : Necesidad de Control Dual y/o Segregación de Tareas: El Gerente Propietario deberá asegurar la correcta segregación de tareas en el uso y proceso de la información que accede, mediante los sistemas instalados en la Plataforma Tecnológica de la Corporación, de conformidad con las Políticas de Clasificación de Activos de Información. PSI : Escritorio Despejado: Todo el personal que labore en la Corporación es responsable de mantener sus escritorios despejados, no dejando expuesta información clasificada perteneciente a la Corporación. PSI : Movilización de Información Fuera de las Instalaciones de la Corporación: Todo personal que requiera movilizar información fuera de las instalaciones de la Corporación deberá ser autorizado debida y formalmente por el Gerente Propietario, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación y tiene la estricta responsabilidad de custodiarla y resguardarla, de conformidad con las Políticas de Clasificación de Activos de Información. CAPÍTULO 05 17/39

18 COMPRA Y MANTENIMIENTO DE SOFTWARE COMERCIAL SECCIÓN 01 Compra e Instalación de Software PSI : Requerimientos de Nuevo Software: Toda solicitud de nuevo Software deberá ser presentada por la Gerencia solicitante a la Gerencia Responsable de la Plataforma Tecnológica de la Corporación, para su aprobación, con las correspondientes justificaciones y los requerimientos del Negocio, de conformidad con las Políticas establecidas para tal fin. PSI : Evaluación, Selección y Adquisición de Software Comercial: Sólo la Gerencia Responsable de la Plataforma Tecnológica de la Corporación estará autorizada para evaluar, seleccionar y adquirir Software comercial, de conformidad con los requerimientos de la Gerencia solicitante, de la arquitectura de la Plataforma Tecnológica, de los aspectos de seguridad y de las Políticas de Control de Cambio. PSI : Uso de Software propiedad de Terceros: Todo Software propiedad de terceros instalado en la Plataforma Tecnológica de la Corporación deberá estar autorizado debida y formalmente para su uso, mediante las licencias o convenios necesarios, de manera de preservar los respectivos derechos de autor y el servicio técnico. PSI : Implementación de Software: La implementación de todo Software en la Corporación deberá ser realizada sólo por personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnológica, con el aval de la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación, de conformidad con las Políticas de Control de Cambio. SECCIÓN 02 Actualización y Mantenimiento de Software PSI : Implantación de Actualizaciones de Seguridad al Software: La Gerencia Responsable de la Plataforma Tecnológica deberá crear mecanismos que permitan la implantación controlada y oportuna de las actualizaciones de seguridad, sugeridas por el fabricante, al Software de la Plataforma Tecnológica de la Corporación y realizada sólo por personal debidamente calificado, de conformidad con las Políticas de Control de Cambio. 18/39

19 PSI : Respuesta a las Mejoras recomendadas para el Software por el Fabricante: La decisión de mejorar el Software, recomendado por el fabricante, en la Plataforma Tecnológica de la Corporación, deberá basarse en un análisis técnico realizado por personal debidamente calificado y autorizado formalmente por el Gerente Propietario, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación y de conformidad con las Políticas de Control de Cambio. PSI : Implantación de Mejoras del Software: La Gerencia Responsable de la Plataforma Tecnológica deberá crear mecanismos que permitan la implantación de mejoras, sugeridas por el fabricante del Software, en la Plataforma Tecnológica de la Corporación. Dichas mejoras deberán ser evaluadas y probadas en un ambiente apropiado de prueba y realizadas sólo por personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnológica, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación y de conformidad con las Políticas de Control de Cambio. PSI : Interfaz de Sistemas y/o Software de Aplicación: El desarrollo de Software para interfaces deberá ser realizado por personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnológica y por el Gerente Propietario, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación y de conformidad con las Políticas de Control de Cambio. PSI : Soporte al Software Comercial: Toda aplicación comercial instalada en la Plataforma Tecnológica de la Corporación deberá establecer en un Acuerdo de Servicio que permita proveer soporte técnico y deberá ser administrada por la Gerencia Responsable de la Plataforma Tecnológica, con la aprobación del Gerente Propietario, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación y de conformidad con las Políticas de Control de Cambio. PSI : Implantación de Mejoras al Software del Sistema Operativo: La Gerencia Responsable de la Plataforma Tecnológica deberá crear mecanismos que permitan la implantación de mejoras, sugeridas por el fabricante del Software del Sistema Operativo, en la Plataforma Tecnológica de la Corporación. Dichas mejoras serán evaluadas, realizadas como proyectos formales y probadas en un ambiente apropiado de prueba, solo por personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnológica, avalado por la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación y de conformidad con las Políticas de Control de Cambio. 19/39

20 PSI : Soporte para Sistemas Operativos: Todo Software de Sistema Operativo instalado en la Plataforma Tecnológica de la Corporación deberá contar con un Acuerdo de Servicio que permita proveer un nivel apropiado de soporte técnico y deberá ser administrado por la Gerencia Responsable de la Plataforma Tecnológica, con la aprobación del Gerente Propietario, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación y de conformidad con las Políticas establecidas para tal fin. PSI : Registro y Reporte de Fallas en el Software: Todo Software instalado en la Plataforma Tecnológica de la Corporación requiere de un registro y reporte de fallas, los cuales deberán ser revisados por el personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnológica, avalado por la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación. Dicho personal tiene la responsabilidad de reportar las posibles desviaciones detectadas para su verificación y acordar las acciones correspondientes. PSI : Seguridad en el Ciclo de Vida del Desarrollo de los Sistemas: Para todos los sistemas de aplicaciones de la Corporación, los diseñadores y desarrolladores de sistemas deberán establecer con la autorización formal de la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación, la seguridad apropiada desde el principio del proceso de diseño de los sistemas, hasta su conversión en sistemas de producción. SECCIÓN 03 Otros Asuntos del Software PSI : Desincorporación de Software: La Gerencia Responsable de la Plataforma Tecnológica deberá crear mecanismos que permitan, previa solicitud de la Gerencia Propietaria del proceso, la desincorporación de Software de la Plataforma Tecnológica de la Corporación. Dicha desincorporación será realizada como proyecto específico y sólo por personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnológica, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación y de conformidad con las Políticas de Control de Cambio. 20/39

21 CAPÍTULO 06 SEGURIDAD DE HARDWARE, PERIFÉRICOS Y OTROS EQUIPOS SECCIÓN 01 Compra e Instalación de Hardware PSI : Requerimientos de Nuevo Hardware: Toda solicitud de nuevo Hardware deberá ser presentada por la Gerencia solicitante a la Gerencia Responsable de la Plataforma Tecnológica, con las justificaciones respectivas y los requerimientos del Negocio, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación, de conformidad con la Arquitectura de la Plataforma Tecnológica de la Corporación y de las Políticas establecidas para tal fin. PSI : Evaluación, Selección y Adquisición de Hardware: Sólo la Gerencia Responsable de la Plataforma Tecnológica de la Corporación será autorizada para evaluar, seleccionar y adquirir Hardware, de conformidad con los requerimientos de la Gerencia solicitante, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación, de la Arquitectura de la Plataforma Tecnológica y de las Políticas de Control de Cambio. PSI : Instalación de Nuevo Hardware: La instalación de todo Hardware deberá ser realizada sólo por personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnológica, previa autorización del Gerente propietario del proceso, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación y de conformidad con las Políticas de Control de Cambio. SECCIÓN 02 Documentación de Hardware PSI : Manejo y Uso de la Documentación del Hardware: La documentación del Hardware de la Plataforma Tecnológica de la Corporación deberá realizarse por personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnológica, especificando y detallando los 21/39

22 aspectos técnicos, la vigencia y la disponibilidad para la operación adecuada de la gerencia que ejerza la respectiva custodia, en el ambiente apropiado de producción. SECCIÓN 03 Uso de Almacenamiento Seguro PSI : Administración de Activos de Reposición: Se deberán crear mecanismos adecuados y eficientes que permitan la administración de los Activos de Reposición de la Plataforma Tecnológica de la Corporación, por personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnológica, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación. SECCIÓN 04 Otros Aspectos del Hardware PSI : Desincorporación de Equipos: La desincorporación de equipos de la Plataforma Tecnológica de la Corporación deberá ser autorizada formalmente por el Gerente Propietario, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación y realizada por personal autorizado debida y formalmente por la Gerencia Responsable de la Plataforma Tecnológica, de conformidad con las Políticas de Clasificación de Activos de Información, de la normativa interna y del Ordenamiento Jurídico. PSI : Bitácora de Hardware: Deberá crearse una bitácora detallada e individual de cada Hardware instalado en la Plataforma Tecnológica de la Corporación, bajo la responsabilidad de personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnológica, de conformidad con las Políticas establecidas para tal fin. PSI : Mantenimiento del Hardware: Todos los equipos instalados en la Plataforma Tecnológica de la Corporación deberán contar con programas de mantenimiento predictivos, preventivos y correctivos, los cuales serán realizados y ejecutados por personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnológica, avalado por la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación y de conformidad con las Políticas establecidas para tal fin. PSI : Soporte de Entrenamiento para Hardware: Todo Hardware instalado en la Plataforma Tecnológica de la Corporación deberá contar con un Convenio de Entrenamiento con el proveedor del Hardware, que permitirá mantener vigente el 22/39

23 conocimiento del personal de la Corporación, atendiendo al rol que desempeña en el uso y/o administración del Hardware, de conformidad con las Políticas establecidas para tal fin. PSI : Instalación, activación y uso de Dispositivos de Transmisión de Información: La instalación, activación y uso de dispositivos de transmisión de información desde y hacia la Plataforma Tecnológica de la Corporación deberán ser justificados por el Gerente solicitante, evaluados por la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica y autorizados formalmente por la Gerencia Responsable de la Plataforma Tecnológica, de conformidad con las Políticas para tal fin establecidas. PSI : Instalación, Activación y Uso de Módems: La instalación, activación y uso de Módems deberá ser justificado por el Gerente solicitante, evaluado por la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnológica. PSI : Instalación, Activación y Uso de Dispositivos de Copiado: La instalación, activación y uso de Dispositivos de Copiado en la Corporación deberá ser justificado por el Gerente solicitante, evaluado por la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnológica. PSI : Instalación, Certificación, Mantenimiento y/o Mejoras del Cableado de Red: La Gerencia Responsable de la Plataforma Tecnológica, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación deberá crear mecanismos de seguridad para la instalación, certificación, mantenimiento, y/o mejoras del cableado de la Red de la Corporación, de conformidad con las Políticas diseñadas para tal fin. PSI : Contratación o Uso de Servicios de Cómputo Externo: Sólo el personal autorizado debida y formalmente por la Gerencia Responsable de los Servicios de Plataforma Tecnológica, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación, podrá contratar servicios de cómputo externo, amparados bajo Contratos de Servicio que contengan cláusulas de confidencialidad, garantías, criterios de calidad y control de la información, extensivo al personal vinculado con el servicio. PSI : Asignación y Uso de Dispositivos Móviles de Computación: La Gerencia Responsable de la Plataforma Tecnológica deberá asignar los dispositivos móviles de computación de conformidad con las Políticas diseñadas para tal fin y con el rol que desempeña en la Corporación el personal solicitante, quien asumirá la responsabilidad por la información allí contenida. 23/39

24 PSI : Traslado de Equipos: El traslado de equipos de la Plataforma Tecnológica de la Corporación, dentro o fuera de sus instalaciones, deberá ser autorizado debida y formalmente por la Gerencia Responsable de la Plataforma Tecnológica, previo requerimiento del Gerente Propietario, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación y de conformidad con las Políticas establecidos para tal fin. PSI : Control de Equipos No Pertenecientes a la Corporación: El ingreso y uso de equipos, no pertenecientes a la Corporación, en sus instalaciones, deberá ser justificado previamente por el solicitante y autorizado, debida y formalmente por la Gerencia encargada de la Protección de los Activos y la Gerencia de Adquisición de Tecnología de Información, de conformidad con las Políticas establecidas para tal fin. CAPÍTULO 07 CONTROL DE LA SEGURIDAD DE INFORMACIÓN DEL COMERCIO ELECTRÓNICO SECCIÓN 01 Control de la Seguridad de Información del Comercio Electrónico PSI : Sistemas de Comercio Electrónico: Los Sistemas, incluyendo los servidores Web, aplicaciones, bases de datos y cualquier otro elemento para el Comercio Electrónico de la Corporación, deberán ser diseñados, implantados y colocados en ambiente de producción sólo por personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnológica, dando prioridad a mecanismos de seguridad en la transmisión de información, autorizados formalmente por la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación y de conformidad con las Políticas establecidas para tal fin. PSI : Uso de Proveedores de Servicios Externos para el Comercio Electrónico: Sólo el personal autorizado debida y formalmente por la Gerencia Responsable de la Plataforma Tecnológica podrá contratar proveedores de servicios externos para Comercio Electrónico, amparados por Contratos de Servicio que contengan cláusulas de confidencialidad y garantías. Dichos contratos deberán ser revisados y aprobados por la organización responsable de los aspectos jurídicos de la Corporación, en concordancia con la Gerencia Responsable de la Seguridad de la 24/39