Estándar de Control de la Seguridad de la WLA

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Estándar de Control de la Seguridad de la WLA"

Transcripción

1 Asociación Mundial de Loterías Estándar de de la Seguridad de la WLA Estándar de seguridad e integridad para organizaciones operadoras de loterías y juegos de azar y pronósticos y pronósticos WLA-SCS:2012 Edición septiembre 2012 Todos los derechos reservados. Salvo que se especifique lo contrario, ninguna parte de esta publicación puede ser reproducida o utilizada de ninguna forma ni por ningún medio, sea electrónico o mecánico, incluyendo fotocopiado o microfilm, sin el consentimiento por escrito de la WLA.

2 Prefacio 2 Introducción 3 Contenido Compatibilidad con otros sistemas de gestión 3 1. Alcance General Aplicación 4 2. Referencias a estándares 4 3. Términos y definiciones Abreviaturas comunes Definiciones 4 4. Visión general 5 5. Requisitos generales de seguridad e integridad 5 Cumplimiento con el estándar ISO Alcance del Sistema de Gestión de Seguridad de la Información (SGSI) 5 Declaración de aplicabilidad 5 es básicos de la WLA 5 6. Requisitos específicos de seguridad e integridad para organizaciones operadoras de loterías y juegos de azar y pronósticos 5 Anexo A 6 es básicos (generales) de seguridad e integridad 6 G.1 Organización de la seguridad 6 G.2 Seguridad y personas 7 G.3 Seguridad física y del entorno 7 G.4 de acceso a sistemas de juego 8 G.5 Mantenimiento de los sistemas de información 8 G.6 Gestión de la continuidad de negocio 9 Anexo B 10 es específicos de seguridad e integridad 10 L.1 Billetes de lotería instantánea 10 L.2 Sorteos de lotería 14 L.3 Seguridad en puntos de venta 16 L.4 Custodia del dinero de premios 17 L.5 Personal de ventas y servicios al cliente 19 L.6 Ventas a través de Internet y servicios interactivos 19 L.7 Apuestas deportivas 21 Listado de tablas Tabla A es básicos y objetivos 6 9 Tabla B es específicos y objetivos Prefacio La Asociación Mundial de Loterías (WLA por sus iniciales en inglés), desde sus primeros pasos percibió la necesidad de establecer estándares de seguridad e integridad adecuados para las organizaciones operadoras de loterías y juegos de azar y pronósticos, y ha desarrollado de manera más amplia el trabajo iniciado por las asociaciones que la precedieron. Las organizaciones operadoras de loterías y juegos azar y pronósticos necesitan desarrollar un entorno de seguridad e integridad visible y documentado que les permita mantener la confianza del público y de otros grupos de interés. El Estándar de de la Seguridad de la WLA (WLA- SCS) se ha diseñado para que resulte de ayuda, a las organizaciones operadoras de loterías y juegos de azar y pronósticos del mundo, para alcanzar un nivel de control alineado tanto con las mejores prácticas generalmente aceptadas como con los requisitos específicos del sector en materia de integridad operativa y seguridad de la información. Esto contribuye a crear una mayor confianza sobre la integridad de las actividades de las organizaciones operadoras de loterías y juegos de azar y pronósticos. La certificación en el WLA-SCS proporciona una medida objetiva sobre el desempeño de una organización operadora de loterías y juegos de azar y pronósticos respecto su control de la seguridad y la gestión de riesgo. EL WLA-SCS ha sido elaborado por el Comité de Seguridad y Gestión de Riesgo (SRMC por sus siglas en inglés) de la WLA. Este Comité cuenta con representantes y especialistas en materia de seguridad provenientes de organizaciones operadoras de loterías y juegos de azar y pronósticos de todo el mundo. Gracias a la comparación de las prácticas actuales en seguridad e integridad empleadas en el sector con las prácticas probadas por expertos de loterías, se ha logrado establecer un marco de seguridad y gestión de riesgo sólido para las organizaciones operadoras de loterías y juegos de azar y pronósticos. El SRMC de la WLA genera todos los estándares de control de seguridad para su implementación en el sector de las organizaciones operadoras de loterías y los juegos de azar y pronósticos (de la WAL), actúa como contacto principal en materia de seguridad para WLA y supervisa el proceso de certificación a través del cual se verifica el cumplimiento de las organizaciones operadoras de loterías y juegos de azar y pronósticos con el WLA-SCS. Toda actualización o adopción de nuevos estándares por parte del SRMC de la WLA requiere ser respaldada y autorizada por el Comité Ejecutivo de la WLA y aprobada en Asamblea General antes de su publicación como estándar de la WLA. 2 2

3 La estructura actual de los estándares de la WLA se alinea con la de la Organización Internacional de Estandarización (ISO por sus siglas en inglés). La WLA se compromete a mantener el WLA-SCS actualizado de manera que permanezca alineado con el estándar ISO/IEC Introducción Este estándar define requisitos de seguridad, integridad y gestión de riesgo a ser empleados por el sector de las organizaciones operadoras de loterías y juegos de azar y pronósticos, además de ser referencia en materia de seguridad e integridad en el sector. Este estándar ayuda a las organizaciones operadoras de loterías y juegos de azar y pronósticos del mundo a alcanzar un nivel de control que se alinee con las prácticas generalmente aceptadas y hace posible que haya una mayor confianza en la integridad de sus operaciones. Este estándar prescribe un proceso de gestión de la seguridad que cumple con estándares tanto reconocidos internacionalmente como con buenas prácticas básicas de seguridad específicas para las organizaciones operadoras de loterías y juegos de azar y pronósticos. Se trata de un conjunto completo de requisitos, controles y prescripciones elaboradas para las organizaciones operadoras de loterías y juegos de y pronósticos que incluye el cumplimiento con el estándar ISO/IEC 27001:2005 sobre los sistemas de gestión de seguridad de la información. seguridad, los procesos que emplea, así como por su tamaño y estructura. Puesto que estos factores y sus sistemas de apoyo se modifican con el tiempo debería producirse una adaptación en la implementación del sistema de acuerdo con las necesidades de la organización. El cumplimiento con WLA-SCS puede ser usado por grupos tanto internos como externos con el fin de evaluar la seguridad e integridad de los sistemas de una organización operadora de loterías y juegos de azar y pronósticos. Compatibilidad con otros sistemas de gestión El WLA-SCS está alineado con los estándares ISO/IEC 27001:2005 e ISO 9001:2008 a fin de permitir la implementación y operación consistente e integrada con otros estándares en materia de gestión. Así pues, un solo sistema de gestión diseñado adecuadamente podrá satisfacer los requisitos de estos estándares ISO y los de la WLA. Se puede considerar como la piedra angular sobre la cual se construyen las relaciones de confianza con otras organizaciones operadoras de loterías y juegos de azar y pronósticos, grupos de interés y reguladores con el fin de gobernar la operación de loterías y juegos de azar y pronósticos, así como juegos multi-jurisdiccionales. La experiencia ha probado que este estándar constituye un elemento importante que permite una evaluación independiente de la gestión de la seguridad que contribuya a aumentar la confianza en la organización. El cumplimiento con WLA-SCS permite a las organizaciones operadoras de loterías y juegos de azar y pronósticos proporcionar confianza sobre la integridad, disponibilidad y confidencialidad de sus servicios y de la información, vital para su funcionamiento efectivo. La adopción del WLA-SCS es una decisión estratégica de las organizaciones operadoras de loterías y juegos de azar y pronósticos. El diseño e implementación de los sistemas de una organización vienen definidos conforme a sus necesidades y objetivos específicos, sus requisitos en materia de 3 3

4 1 Alcance 1.1 General El WLA-SCS se aplica a todo tipo de organizaciones operadoras de loterías y juegos de azar y pronósticos (sean empresas, agencias gubernamentales o organizaciones sin ánimo de lucro). El WLA-SCS especifica los requisitos para establecer, implementar, operar, supervisar, revisar, mantener y mejorar un sistema de gestión de la seguridad e integridad documentado dentro del contexto de los riesgos generales de la organización. De igual modo, define los requisitos necesarios para implementar controles de seguridad e integridad aplicables a las necesidades específicas de la organización de manera que los sistemas puedan ser diseñados para dar confianza sobre la selección de controles de seguridad e integridad adecuados y proporcionados que protejan los recursos y den mayor confianza a las partes interesadas. 1.2 Aplicación Los requisitos establecidos por el WLA-SCS son genéricos y se pretende que sean aplicables a todas las organizaciones, independientemente del tipo, tamaño o naturaleza de estas. Cuando una organización desee declarar conformidad con el WLA-SCS no puede excluir ninguno de los requisitos especificados en las cláusulas 5 y 6 ni en los anexos A y B. Cualquier exclusión de controles que se considere necesaria en relación con las cláusulas 5 y 6 y con los anexos A y B, debe quedar justificada formalmente, disponiendo de pruebas de que las personas responsables han aceptado tal exclusión. Cuando algún control queda excluido no se puede declarar a la organización conforme con el WLA-SCS salvo que dicha exclusión no afecte a la capacidad y/o responsabilidad de la organización para ofrecer un nivel de seguridad e integridad que cumpla con los requisitos exigibles resultantes de la evaluación de riesgo y con los requisitos legales o regulatorios aplicables. Nota: Si una organización cuenta ya con un sistema de gestión de procesos operacional (por ejemplo, en relación con los estándares ISO 9001 o ISO 14001), es preferible, en la mayoría de los casos, satisfacer los requisitos del WLA-SCS dentro del sistema de gestión existente. Importante: El WLA-SCS no pretende incluir todas las disposiciones necesarias de un contrato. Las organizaciones operadoras de loterías y juegos de azar y pronósticos que adopten el WLA-SCS son responsables de su correcta aplicación. El cumplimiento con cualquier estándar no concede automáticamente inmunidad ante cualquier obligación legal. 2 Referencias a estándares Para la aplicación del WLA-SCS se requieren los siguientes documentos de referencia. Para referencias fechadas, solo se aplica la edición que se menciona a continuación. Para referencias sin fecha, se aplica la edición más reciente del referido documento (incluyendo cualquier modificación). Tecnología de la Información Técnicas de Seguridad Sistemas de Gestión de Seguridad de la Información Requisitos ISO/IEC 27001: Términos y definiciones 3.1 Abreviaturas comunes Las siguientes abreviaturas aparecen frecuentemente en este Estándar: WLA: World Lottery Association (Asociación Mundial de Loterías) WLA-SCS: WLA Security Standard (Estándar de de Seguridad de la WLA) SRMC de la WLA: Security and Risk Management Committee of the World Lottery Association (Comité de Seguridad y Gestión de Riesgos de la WLA) 3.2 Definiciones En esta sección encontrará solo aquellos términos que se usan de manera especializada en este documento. La mayoría de los términos aquí empleados se usan ya sea de acuerdo con su definición en los diccionarios o con las definiciones normalmente aceptadas que se pueden encontrar en los glosarios de seguridad de ISO o cualquier otro glosario reconocido de términos de seguridad. WLA (World Lottery Association): organización internacional formada por organizaciones operadoras de loterías y juegos de azar y pronósticos provenientes de más de 80 países en seis continentes. La WLA mantiene el compromiso de compartir conocimientos y experiencias entre sus miembros y a mejorar sus negocios para el beneficio de los grupos de interés, tal como lo exigen las autoridades en sus respectivas jurisdicciones. SRMC de la WLA (Comité de Seguridad y Gestión de Riesgos): comité de profesionales en materia de seguridad provenientes de diferentes organizaciones operadoras de loterías y juegos de azar y pronósticos de seis continentes y cuyos miembros son nombrados por el Comité Ejecutivo de la WLA. El SRMC de la WLA está autorizado para supervisar 4 4

5 el proceso de selección de los auditores de certificación y a asesorar a la WLA y a sus miembros en lo que respecta a seguridad y gestión de riesgo. 4 Visión general El objetivo principal del enfoque de seguridad e integridad para las organizaciones operadoras de loterías y juegos de azar y pronósticos es dar mayor confianza sobre las operaciones. La confianza sobre las operaciones es un elemento clave para satisfacer a los participantes en los juegos y otros grupos de interés. Por tanto, las organizaciones operadoras de loterías y juegos de azar y pronósticos necesitan desarrollar y mantener un entorno de seguridad e integridad visible y documentado. El WLA-SCS compila los requisitos y controles que se consideran mejores prácticas en el área. Una organización operadora de loterías y juegos de azar y pronósticos debe implementar los controles que se derivan directamente del estándar ISO 27001, así como los controles generales obligatorios. El WLA-SCS incorpora requisitos y controles básicos dentro del proceso general de seguridad, integridad y gestión de riesgo de una organización operadora de loterías y juegos de azar y pronósticos. Asimismo, evita la duplicidad con marcos de seguridad más generales y permite a los profesionales con responsabilidades en el área de seguridad e integridad contar con un proceso a través del cual pueden formalmente gestionar, actualizar y mejorar de manera continua sus controles. Ello requiere que las organizaciones operadoras de loterías y juegos de azar y pronósticos desarrollen y mantengan un entorno de seguridad visible y documentado. El WLA-SCS comprende dos partes en las que se especifican los requisitos mínimos necesarios para el manejo efectivo de la seguridad e integridad dentro de una organización de loterías y juegos de azar y pronósticos. La primera parte (Anexo A es generales de seguridad e integridad) incluye el cumplimiento tanto con el estándar ISO/IEC 27001:2005, con alcance global, así como con otros 21 controles básicos adicionales elaborados por la WLA. La segunda parte (Anexo B- es específicos de seguridad e integridad) proporciona 90 controles adicionales específicos para las organizaciones operadoras de loterías y juegos de azar y pronósticos, que representan las mejores prácticas actuales en materia de seguridad e integridad en el sector. 5 Requisitos generales de seguridad e integridad Cumplimiento con el estándar ISO La organización debe operar un Sistema de Gestión de Seguridad de la Información (SGSI) que cumpla con el estándar ISO/IEC 27001:2005. Alcance del SGSI El alcance del SGSI de la organización operadora de loterías y juegos de azar y pronósticos debe incluir todas sus actividades, así como todos los sistemas relacionados. Cualquier exclusión del alcance debe ser justificado de manera detallada. Declaración de aplicabilidad La declaración de aplicabilidad del SGSI de la organización debe incluir explícitamente todos los controles mencionados en las cláusulas 5 y 6 y en los anexos A y B del WLA-SCS, incluyendo todas las actividades efectuadas por la organización operadora de loterías y juegos de azar y pronósticos, así como todos los sistemas relacionados. Clquier exclusión de controles del estándar ISO/IEC 27001:2005, así como cualquier control no aplicable, debe ser justificado en detalle. es básicos de la WLA La organización debe implementar los 21 controles básicos (generales) compilados en la tabla A, anexo A, cláusulas G.1 a la G.6. Se derivan, acotan y refuerzan controles fundamentales definidos en el estándar ISO/IEC 27001: Requisitos específicos de seguridad e integridad para organizaciones operadoras de loterías y juegos de azar y pronósticos La organización debe implementar los 90 controles específicos que se encuentran en la tabla B, anexo B, cláusulas L.1 a la L.7. La implantación de estos controles específicos para organizaciones operadoras de loterías y juegos de azar es obligatoria siempre que sean aplicables. 5 5

6 Anexo A es básicos (generales) de seguridad e integridad Los controles que se mencionan en la tabla A, cláusulas G.1 a la G.6 son controles obligatorios en el marco del WLA- SCS. Se derivan, acotan y refuerzan controles fundamentales definidos en el estándar ISO/IEC 27001:2005. La lista que se presenta en la tabla A no es exhaustiva por lo que una organización operadora de loterías y juegos de azar y pronósticos puede considerar necesario contar con controles adicionales. Tabla A es básicos y objetivos G.1 Organización de la seguridad G.1.1 Asignación de responsabilidades de seguridad asegurar que las responsabilidades de la función de seguridad están efectivamente implementadas. G Foro/comité de seguridad Debe estar formalmente establecido un foro de seguridad, o cualquier otra estructura organizativa formada por gestores senior, que supervise y revise el SGSI. Dicho foro debe reunirse al menos cada seis meses y mantener actas formales de las reuniones. G Función de seguridad Debe existir la función de seguridad, responsable de proponer e implementar las estrategias de seguridad y los planes de actuación. Debe evaluar y estar implicada en todos los procesos de la organización que tengan relación con aspectos de la seguridad, incluyendo, pero no limitado a, la protección de la información, las comunicaciones, la infraestructura física y los procesos de juego. G G G Dependencia de la función de seguridad Rango de la función de seguridad Responsabilidad de la función de seguridad La función de seguridad debe depender de un nivel que no sea inferior a la Dirección Ejecutiva y no estará ubicada dentro de la función IT o dependiendo de ella. La función de seguridad debe estar suficientemente facultada y tener acceso a todos los recursos corporativos necesarios para permitir una adecuada evaluación, gestión y reducción del riesgo. El jefe de la función de seguridad debe ser miembro permanente del foro de seguridad y debe ser responsable de recomendar políticas de seguridad y cambios. 6 6

7 G.2 Seguridad y personas G.2.1 Implantación de un Código de Conducta asegurar que este implantado un Código de Conducta. G Código de Conducta Se debe entregar a toda persona que se incorpore una copia del Código de Conducta. Toda persona debe declarar aceptación formalmente, mediante acuse de recibo del mencionado Código. G Cumplimiento y acción disciplinaria El Código de Conducta debe incluir declaraciones respecto al cumplimiento de todas las políticas y procedimientos y sobre las acciones disciplinarias a las que podría conllevar cualquier incumplimiento o desacato al Código. G Conflictos de interés El Código de Conducta debe requerir la notificación de conflictos de interés en el momento en que se produzcan. En el código se deben citar ejemplos precisos de conflictos de interés. G Política sobre agasajos y obsequios El Código de Conducta debe incluir una política respecto a agasajos y obsequios dados o recibidos de personas o entidades con las cuales la organización mantiene transacciones comerciales (negocios). G.3 Seguridad física y del entorno G.3.1 Áreas seguras asegurar que las áreas desde las que se tiene acceso a los centros de proceso de datos de los juegos en producción, o a otros sistemas importantes para las actividades de juego, están adecuadamente protegidas. G es de acceso físico El acceso físico a los centros de proceso de datos de los sistemas de juegos en producción, salas de equipos informáticos, centros de operación/control de red y cualquier otra área identificada como crítica, debe estar controlada mediante mecanismos de autenticación de dos factores. Son aceptables mecanismos electrónicos de control de acceso basados en un solo factor, si el área está permanentemente ocupada por personal. 7 7

8 G.4 de acceso a sistemas de juego G.4.1 Gestión de acceso de usuarios remotos asegurar el acceso de usuarios remotos autorizados a los sistemas de información de juegos y prevenir accesos no autorizados. G G G Acceso de usuarios remotos a los sistemas de juego Funcionalidades para usuarios de acceso remoto Registro de acceso de usuarios remotos Debe estar establecido un procedimiento que permita un acceso remoto estrictamente controlado. El conjunto de funcionalidades disponibles para estos usuarios debe definirse de forma conjunta por los propietarios del proceso, la función IT y la función de seguridad. Todas las acciones ejecutadas a través de acceso remoto deben registrarse y esos registros (logs) deben revisarse de forma regular. G.5 Mantenimiento de los sistemas de información G.5.1 es criptográficos proteger la confidencialidad, autenticidad e integridad de la información crítica relacionada con los juegos, la lotería y el participante, mediante el empleo de medios criptográficos. G G G G G es criptográficos para datos en equipos portátiles es criptográficos para redes es criptográficos para almacenamiento es criptográficos para números de validación es criptográficos para transferencias Se deben cifrar los datos de la organización clasificados como no públicos depositados en dispositivos portátiles (procesadores portátiles, dispositivos USB, etc.) Se debe cifrar la información sensible, incluyendo la validación o cualquier otra información crítica de juego, correo electrónico, etc., transmitida mediante redes para las que el análisis de riesgo indica que proveen un inadecuado nivel de protección. Se deben aplicar medidas de integridad para almacenar la información contenida en los resguardos ganadores así como de la información de validación. Se deben cifrar los datos de validación de productos de lotería instantánea. Se deben cifrar las transacciones financieras entre la organización y las instituciones bancarias. 8 8

9 G.5.2 Pruebas de sistemas mantener la seguridad de los datos (confidencialidad e integridad). G Política de metodología de pruebas y datos La política de metodología de pruebas debe incluir disposiciones dirigidas a impedir el uso de datos (reales) creados en un sistema en producción correspondientes a sorteos aún activos. Debe también incluir disposiciones dirigidas a impedir el uso de datos personales de los participantes. G.6 Gestión de la continuidad de negocio G.6.1 Gestión de las relaciones con los medios de comunicación pública y disponibilidad asegurar la protección de la imagen y reputación de la organización y contrarrestar interrupciones de la actividad del negocio. G G Gestión de las relaciones con los medios de comunicación y con el personal Aprobación de los Socios o del Consejo de Administración El plan de continuidad de negocio debe incluir planes para gestionar las relaciones con los medios de comunicación y el personal durante situaciones de crisis. La organización debe asegurar que el Consejo de Administración o los Socios de la organización están conformes con los requisitos de disponibilidad establecidos. 9 9

10 Anexo B es específicos de seguridad e integridad Los controles que se mencionan en la tabla B, cláusulas L.1 a la L.7 son obligatorios, salvo aquellos que no sean aplicables a las operaciones de una determinada organización operadora de loterías y juegos de azar y pronósticos. La lista no es exhaustiva por lo que una organización operadora de loterías y juegos de azar y pronósticos puede considerar que es necesario contar con controles adicionales. Tabla B es específicos y objetivos L.1 Billetes de lotería instantánea L.1.1 Diseño de juego instantáneo asegurar que el diseño del juego cumple con los requisitos legales y regulatorios y que esta autorizado al nivel adecuado antes de ser puesto en producción. L L Procedimientos documentados de billetes de lotería instantánea Aprobación del diseño del juego Deben desarrollarse y estar documentados procedimientos formales que incluyan el diseño, desarrollo, producción y emisión del juego instantáneo. El diseño final del juego debe ser formalmente aprobado mediante un proceso que involucre a la función de seguridad. L Selección del proveedor Los impresores/proveedores de billetes de lotería instantánea deben estar sujetos a un proceso de selección y aprobación. La aprobación debe involucrar a la función de seguridad. L Requisitos de seguridad Los requisitos de seguridad concretos relativos al juego y al billete físico deben estar documentados y ser parte del contrato con el impresor/ proveedor. L de calidad Los requisitos de control de calidad para la impresión de billetes de lotería instantánea deben estar documentados y ser parte del contrato con el impresor/proveedor. L Políticas de auditoría y pruebas en laboratorio Debe estar establecida una política que describa las auditorías necesarias y las pruebas en laboratorio del diseño del juego e impresión de billetes

11 L.1.2 Impresión de billetes de lotería instantánea asegurar que los billetes de lotería instantánea cumplen con los estándares de seguridad de la organización relativos a la producción e impresión. L L L L Requisitos de impresión de billetes de lotería instantánea Aseguramiento de la calidad de la impresión Cifrado de números de validación Cifrado de archivos de validación y ganadores La organización debe entregarle al impresor/proveedor una especificación del juego y requisitos detallados en materia de seguridad. Los requisitos de seguridad deben incluir que el impresor/ proveedor tenga una función interna de aseguramiento de calidad. Los requisitos de seguridad deben incluir el cifrado de los números de validación. Los requisitos de seguridad deben incluir el cifrado de de los archivos de validación y de información de ganadores. L Verificación de billete Se deben realizar comprobaciones de muestras aleatorias de paquetes de billetes por juego para asegurar que estos cumplen con los márgenes de tolerancia dispuestos en la especificación de la organización. L Datos para pruebas de aceptación Los requisitos de seguridad deben incluir la provisión de datos de inventario y validación a la función de seguridad o control de calidad designada por la organización para realizar pruebas de aceptación en cada primera ronda de impresión y antes del lanzamiento. L.1.3 Envío de billetes de lotería instantánea asegurar el transporte seguro de billetes de lotería instantánea desde el impresor/proveedor a la organización. L Manifiesto de transporte Los requisitos de transporte deben especificar que se debe enviar un manifiesto de transporte completo a la organización antes del despacho de cada envío. L Modo de transporte La organización debe asegurarse de que el proceso de envíos se produce conforme al método de transporte acordado y que no se cambia sin la debida autorización de la organización. L Contenedores de transporte precintados Los contenedores de transporte deben estar precintados y los números de los precintos deben constar en el manifiesto de transporte

12 L.1.4 Almacenamiento y distribución de billetes de lotería instantánea asegurar que los billetes de lotería instantánea se almacenan y distribuyen de forma segura. L Auditoría de almacenes Debe estar establecido un procedimiento de inspección, por personal autorizado, de los almacenes de billetes de lotería instantánea, al menos una vez al año. L L L L Verificación del transporte de billetes Procedimiento de verificación de billetes Resultado de la verificación de billetes Sistema de control de billetes Cada consignación de billetes debe ser formalmente comprobada a su llegada. Se debe verificar mediante un procedimiento de comprobación de entregas a su llegada que los números de los precintos son correctos y que la seguridad del contenedor se ha preservado. Los resultados de la verificación deben documentarse y en caso de no conformidades y/o irregularidades se debe actuar para determinar si se ha comprometido la seguridad de un envío. Se deben contabilizar -mediante un sistema de control en funcionamiento- los paquetes de billetes desde su llegada a los almacenes de la organización hasta el momento que llegan al punto de venta. L.1.5 Seguridad en los puntos de venta (minoristas) lotería instantánea asegurar que los puntos de venta se adecuan a los requisitos de seguridad aplicables a la recepción, almacenamiento y venta de billetes de lotería instantánea. L L L L Recepción de billetes en los puntos de venta Confirmación de recepción Instrucciones para los minoristas Capacitación de los minoristas en materia de seguridad La organización debe requerir a los minoristas, bien por vía contractual o por los medios que corresponda, que validen la integridad de los paquetes de billetes al momento de la recepción. Asimismo, se les debe solicitar que confirmen la recepción concreta de cada una consignación de billetes. Tan pronto se disponga de la confirmación de recepción, se debe registrar formalmente que los billetes se han emitido a ese punto de venta. La organización debe dar instrucciones a los minoristas sobre pago de premios, validación de billetes, manejo y almacenamiento de billetes, comunicación de asuntos de seguridad y la gestión de billetes perdidos y robados. La organización debe proporcionar y documentar la capacitación a minoristas que les permita cumplir con los requisitos de seguridad asociados al manejo de billetes de lotería instantánea

13 L.1.6 Cierre de juegos de lotería instantánea asegurar que los requisitos de controles de seguridad y auditoría se mantienen cuando se cierra un determinado juego instantáneo. L L L L Procedimiento de cierre del juego Información para los minoristas Cuadre de inventario y existencia de billetes Auditoría de comprobación de existencia ( de inventario) La organización debe establecer el procedimiento a ser empleado para el cierre del juego. Debe establecerse y documentar el método y calendario para informar a los minoristas sobre el cierre de un juego y la recolección de billetes. Debe establecerse el método de cuadre entre inventario y existencia de billetes de juego que se encuentran en almacenes y en puntos de venta. Deben establecerse documentalmente los requisitos de auditorías de comprobación de existencia de billetes. L Personal autorizado Se debe definir formalmente quiénes están autorizados a cerrar un juego y/o a destruir billetes. L Destrucción de billetes Debe estar formalmente establecido el método y forma de control de la destrucción de billetes

14 L.2 Sorteos de lotería L.2.1 Gestión de los sorteos de lotería asegurar que los sorteos se realizan en el horario y días en el que la regulación lo estipula y conforme a las reglas aplicables del juego en cuestión. L Acto del sorteo Debe estar establecida una política que asegure que los actos de sorteo de lotería se desarrollan como actos planificados y controlados, conforme a instrucciones de trabajo claras. L L L L L Instrucciones para la celebración del sorteo Miembros del equipo de sorteo Deberes del equipo de sorteo Equipo de sorteo de reserva Horario y cronología del sorteo Antes de cada sorteo, la organización debe haber publicado las instrucciones de trabajo, incluyendo instrucciones especiales con respecto al sorteo. Las instrucciones de trabajo deben incluir la composición (personas) del equipo de sorteo, incluyendo sus números de teléfono de contacto. Las instrucciones de trabajo deben incluir las responsabilidades de los miembros identificados del equipo de sorteo. Las instrucciones de trabajo deben nombrar e identificar a las personas de reserva y dar detalles sobre el despliegue del equipo de reserva. Las instrucciones de trabajo deben incluir los horarios y cronología detallada de las operaciones de sorteo desde la apertura del local del sorteo hasta el cierre del mismo. L Observadores del sorteo Las instrucciones de trabajo deben incluir detalles de cualquier requisito relativo a las normas sobre el operador de la lotería sobre la obligación de presencia de observadores independientes durante el sorteo

15 L.2.2 Celebración del sorteo asegurar que la celebración del sorteo cumple con los requisitos regulatorios y con las normas aplicables del juego de lotería en cuestión. L L Procedimiento del sorteo Guía del sorteo paso a paso La organización debe establecer un procedimiento de sorteo detallado que asegure que todas las funciones del sorteo se ejecutan de manera conforme con las reglas aplicables del juego de lotería y con los requisitos regulatorios. El procedimiento de sorteo debe incluir una guía paso a paso del proceso del sorteo. L Lugar del sorteo El procedimiento de sorteo debe definir el lugar de celebración del sorteo. L Asistencia al sorteo y responsabilidades El procedimiento de sorteo debe definir quiénes asisten al sorteo y cuáles son las responsabilidades y acciones de todos los participantes. L Supervisión del sorteo El procedimiento de sorteo debe definir la política respecto a la asistencia de un oficial de cumplimiento (independiente) o auditor. L L Seguridad de las actividades del sorteo Emergencias durante el sorteo El procedimiento de sorteo debe incluir medidas de seguridad adecuadas para las actividades del sorteo y para todo el equipamiento utilizado durante el sorteo. El procedimiento de sorteo debe incluir las acciones a tomar en caso de que suceda una emergencia durante la celebración del sorteo

16 L.2.3 Equipamiento del sorteo y conjunto de bolas asegurar que el equipamiento de sorteo y los conjuntos de bolas cumplen con los requisitos de seguridad convenidos y/o las especificaciones regulatorias. L L L L L Procedimiento de inspección Inspecciones periódicas y mantenimiento Conjunto de bolas compatibles Equipamiento alternativo (de remplazo) del sorteo Manejo, almacenamiento y traslado del equipamiento del sorteo y conjunto de bolas Debe estar en vigor un procedimiento para la inspección de forma periódica del equipamiento de sorteo y los conjuntos de bolas, al momento de su entrega por parte del fabricante y a partir de entonces, tras consultar con una autoridad independiente. Ello con el fin de asegurar el cumplimiento con las especificaciones técnicas y los estándares. Deben realizarse, al menos anualmente, inspecciones y mantenimiento del equipamiento de sorteo, y documentarse, para cumplir a lo largo de la vida útil del equipamiento las condiciones de operación especificadas. La organización debe tener en vigor un procedimiento que estipule el uso de conjuntos de bolas fabricados con las medidas y peso-y sus toleranciascompatibles con el equipamiento de sorteo (bombo) que se emplea. La organización debe tener en vigor, si el sorteo es transmitido en vivo, un procedimiento que estipule la disponibilidad de equipamiento de sorteo alternativo y uno o varios conjuntos de bolas alternativos para su empleo en caso de problemas mecánicos o fallas de cualquier tipo. La organización debe tener en vigor un procedimiento que estipule el almacenamiento, traslado y manejo seguro del equipamiento de sorteo y conjuntos de bolas. L.3 Seguridad en los puntos de venta L.3.1 Selección y puesta en marcha asegurar que solo se aceptan (para la operación de puntos de venta de los productos, en línea y fuera de línea, de la organización) personas autorizadas, que operan en locales aprobados,. L Contrato del punto de venta La relación con los minoristas debe estar sujeta a los términos de un contrato establecido. L.3.2 Actividades del punto de venta asegurar que las actividades (operaciones) del punto de venta, para productos en línea y fuera de línea, se adecuan y son conformes con los requisitos de seguridad de la organización. L Seguridad del punto de venta La organización debe especificar los requisitos de seguridad que el punto de venta debe cumplir. Ello hará posible que el punto de venta se adecue y esté conforme con los requisitos de la organización en materia de seguridad

17 L.3.3 Seguridad de los terminales de juego asegurar la adecuada seguridad de los terminales de juego. L L L Seguridad de las transacciones Pruebas de seguridad de terminales Seguridad de terminales de autoservicio Los terminales de juego deben incluir prestaciones que permitan la autenticación y cifrado del tráfico de datos entre el terminal y los sistemas de juego centrales. Previo a su uso en el entorno de producción, se debe completar un concienzudo programa de pruebas relativo a las funcionalidades de seguridad del terminal. Estas pruebas deben incluir comprobaciones de que esté instalada la versión correcta de la aplicación (software). Los terminales de autoservicio deben disponer de mecanismos de seguridad que protejan la integridad del juego. L.4 Custodia del dinero de premios L.4.1 Validación y pago de premios asegurar que la organización tiene desplegados los controles necesarios para la validación y el pago de premios. L Validez de la información de premiados En relación con los premiados, la organización debe implementar procedimientos que aseguren la validez de las transacciones, de los billetes/resguardos y de las solicitudes de cobro. L Procesos de validación La organización debe definir y documentar los procesos de validación para los distintos niveles de premio y tipos de juegos. L Pago de premios La organización debe establecer un proceso para el pago o transferencia del dinero de premios

18 L.4.2 Dinero de premios pendientes de pago (unclaimed) asegurar el dinero de premios pendientes de pago, antes y después del final del período de cobro (caducidad) de premios. L L L L L Número único de referencia del billete/resguardo Procedimiento para la protección del dinero de premios pendientes de pago Período de pago de premios y auditoría Reglas de pago e investigaciones de acceso a la información sobre premios pendientes de pago El sistema central de juegos en línea en producción debe poder incluir en cada billete/resguardo un número de referencia único. La organización debe establecer un procedimiento específicamente referido a la protección del dinero de premios pendientes de pago y de los archivos de datos que contengan información sobre la situación de pago de premios de cada juego, las transacciones específicas que están pendientes y los archivos de validación. El procedimiento debe incluir el período completo de pago de premios, así como la auditoría de las transferencias de liquidación final del juego. El procedimiento debe confirmar las reglas sobre el período de validez del billete/resguardo (caducidad), pago de premios de billetes/resguardos perdidos o en mal estado, investigaciones específicas sobre la validez de solicitudes de cobro de premios y cobro de premios tardíos o de último minuto. El procedimiento debe confirmar que el control de acceso es estricto y limitado a lo necesario para los registros relativos a premios pendientes de pago. L Notificación de accesos El procedimiento debe confirmar que existe un proceso de notificación (alerta) en el caso de que se produzca algún intento de acceso no autorizado. L Proceso de escalado El procedimiento debe confirmar que existe un proceso de escalado de cualquier incidente o actividad sospechosa. L Auditoría de información de registro de acceso El procedimiento debe confirmar que el dinero de premios pendientes de pago está resguardado. L Trazas de auditoría El procedimiento debe confirmar que se mantienen trazas de auditoría que permiten identificar patrones no habituales de pagos tardíos

19 L.5 Personal de ventas y servicios al cliente L.5.1 Personal que trabaja fuera de los locales de la organización asegurar que los representantes comerciales y técnicos que trabajan fuera de los locales de la organización reciben un adecuado nivel de protección. L Personal que trabaja fuera de los locales de la organización Debe estar en vigor una política que asegure que el personal que trabaja fuera de los locales de la organización recibe e implementa un adecuado nivel de protección. L.5.2 Áreas de servicio al cliente asegurar que el servicio al cliente y las áreas de solicitud de pago de premios tienen un adecuado nivel de protección. L Personal que trabaja en áreas críticas de acceso del público Debe estar en vigor una política que asegure que el personal que trabaja en áreas críticas de acceso del público recibe un adecuado nivel de protección. L.6 Ventas a través de Internet y servicios interactivos L.6.1 Sistemas de juegos a través de Internet para proteger los sistemas de juego por Internet y la información de los participantes, es necesario mantener la confidencialidad, integridad y disponibilidad de los sistemas de juego a través de Internet. L L Arquitectura de sistemas en capas Ataques activos y pasivos La organización debe seguir un enfoque de arquitectura de los sistemas de juego a través de Internet basado en capas, a fin de asegurar el almacenamiento y procesamiento seguro de la información. Deben estar desplegadas las medidas apropiadas para minimizar el éxito y/o el impacto de ataques activos y pasivos típicos. L Segregación de redes Las bases de datos de producción que contienen datos de participantes o transacciones y el servidor Web deben estar ubicados en redes separadas. L Información de sesión Las cookies de sesión deben crearse siempre en memoria, ser aleatorias y eliminarse cuando la sesión de usuario termine. L Identificación de puntos de entrada y salida Se deben identificar, administrar y controlar todos los puntos de entrada y salida a los sistemas de Internet

20 L.6.2 Cuenta del participante combatir el fraude y el blanqueo de capital. L L L Identificación del participante Cuentas para varios participantes Exclusión de participantes Debe existir un proceso formal de identificación de participantes. Debe haber un procedimiento en vigor para el uso de cuentas para varios participantes. En los casos en los que estas no existan, se debe permitir solo una cuenta por participante. Debe haber un procedimiento establecido para la exclusión de participantes. L.6.3 Diseño del juego y aprobación asegurar que el diseño del juego cumple con los requisitos legales y regulatorios y que han sido debidamente autorizados al nivel adecuado antes de que estén disponibles en línea. L Procedimientos documentados para juegos que se ofrecen en Internet Las normas establecidas deben incluir el diseño y desarrollo del juego. Además, las reglas del juego deben ser accesibles para los participantes. L Aprobación del juego La versión final del juego debe ser formalmente aprobada a través de un proceso en el que esté implicada la función de seguridad

ESTÁNDAR MUNDIAL WLA-SCS: DE LOTERÍAS 2006

ESTÁNDAR MUNDIAL WLA-SCS: DE LOTERÍAS 2006 ESTÁNDAR MUNDIAL WLA-SCS: DE LOTERÍAS 2006 Asociación Mundial de Loterías (AML/WLA) Estándar de de la Seguridad La referencia para la seguridad y la gestión de riesgo del sector de las loterías a nivel

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

Código de Conducta para Proveedores de Dinero Móvil

Código de Conducta para Proveedores de Dinero Móvil Código de Conducta para Proveedores de Dinero Móvil INTEGRIDAD DE LOS SERVICIOS UN TRATO JUSTO DE LOS CLIENTES SEGURIDAD DE LA RED Y EL CANAL MÓVILES VERSIÓN 1 - NOVIEMBRE 2014 Introducción El Código de

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

Implantación de un SGSI

Implantación de un SGSI Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015

Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015 Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015 Índice Pág. Metodología para la Autoevaluación del Sistema de Control Interno Institucional. 2 Elementos

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

CÓDIGO DE CONDUCTA SOBRE APUESTAS DEPORTIVAS DE EL

CÓDIGO DE CONDUCTA SOBRE APUESTAS DEPORTIVAS DE EL CÓDIGO DE CONDUCTA SOBRE APUESTAS DEPORTIVAS DE EL A los efectos de este Código de Conducta, las siguientes palabras se entenderán como se define a continuación: European Lotteries (EL): European Lotteries

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

ESTÁNDAR ISO/IEC INTERNACIONAL 27001

ESTÁNDAR ISO/IEC INTERNACIONAL 27001 ESTÁNDAR ISO/IEC INTERNACIONAL 27001 Primera Edicion 2005-10 - 15 Tecnología de la Información Técnicas de seguridad Sistemas de gestión de seguridad de la información Requerimientos Numero de Referencia

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

NORMAS INTERNACIONALES PARA EL EJERCICIO PROFESIONAL DE LA AUDITORÍA INTERNA

NORMAS INTERNACIONALES PARA EL EJERCICIO PROFESIONAL DE LA AUDITORÍA INTERNA NORMAS INTERNACIONALES PARA EL EJERCICIO PROFESIONAL DE LA AUDITORÍA INTERNA THE INSTITUTE OF INTERNAL AUDITORS 247 Maitland Avenue Altamonte Springs, Florida 32701-4201 USA www.theiia.org The Institute

Más detalles

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S Nom bre del Políticas de Seguridad de Información Normativa EMISIÓN CLASIFICACIÓN SERIAL Nº 20/09/06 USO GENERAL NORMATIVA S/S 1/39 INTRODUCCIÓN Las normas que integran las Políticas de Seguridad de Información

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN CORREO URUGUAYO Administración Nacional de Correos del Uruguay Unidad de Servicios Electrónicos POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Versión: 1.0 Marzo de 2013 Índice Mantenimiento y Aprobación de esta

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA

POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA Código: 2-00-002-001POL-09 Versión:3 Página 1 de 36 POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA Código de documento: 2-00-002-001POL-09 Aprobado por Licda. Gabriela Espinoza Meza Fecha aprobación:

Más detalles

Tecnología de la información. Técnicas de seguridad (ISO/IEC 27001:2005) LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A:

Tecnología de la información. Técnicas de seguridad (ISO/IEC 27001:2005) LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A: norma española UNE-ISO/IEC 27001 Noviembre 2007 TÍTULO Tecnología de la información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información (SGSI) Requisitos (ISO/IEC 27001:2005) Information

Más detalles

Nomenclador de cargos

Nomenclador de cargos Nomenclador de cargos ROLES Áreas de I T Definición de módulos y roles Versión: 1.0 Pagina 1 Módulos interactuantes en un área de IT 1. Infraestructura Tecnológica 2. Producción de Software 3. Asistencia

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

ANEXO No. 1 NORMAS INTERNACIONALES

ANEXO No. 1 NORMAS INTERNACIONALES ANEXO No. 1 NORMAS INTERNACIONALES NORMAS INTERNACIONALES PARA EL EJERCICIO PROFESIONAL DE LA AUDITORÍA INTERNA THE INSTITUTE OF INTERNAL AUDITORS 247 Maitland Avenue Altamonte Springs, Florida 32701-4201

Más detalles

PROTECCIÓN DEL PATRIMONIO TECNOLÓGICO

PROTECCIÓN DEL PATRIMONIO TECNOLÓGICO PROTECCIÓN DEL PATRIMONIO TECNOLÓGICO Mtra. Mariela Osorio Domínguez El Modelo Nacional de Gestión de Tecnología considera la Protección del Patrimonio Tecnológico como la salvaguarda y cuidado del patrimonio

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

PROCEDIMIENTO DE GESTIÓN DE INCIDENCIAS DE SEGURIDAD ELABORADO POR: REVISADO POR: APROBADO POR:

PROCEDIMIENTO DE GESTIÓN DE INCIDENCIAS DE SEGURIDAD ELABORADO POR: REVISADO POR: APROBADO POR: DE GESTIÓN DE INCIDENCIAS DE SEGURIDAD ELABORADO POR: REVISADO POR: APROBADO POR: 19/10/2015 Audedatos Josema Gil Nº edición: 01 Nº revisión: 01 Página 2 de 14 Fecha Edición Revisión Cambios Realizados

Más detalles

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014 Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC Titulación certificada por EUROINNOVA BUSINESS SCHOOL Técnico Profesional en Sistema de Gestión de Seguridad de la Información

Más detalles

7. REALIZACIÓN DEL PRODUCTO O SERVICIO

7. REALIZACIÓN DEL PRODUCTO O SERVICIO Revisado por: CCPMC Aprobado por: Gerente General Revisión: 09 Página 1 de 12 7.1 Planificación de la Realización del Servicio (Arriendo de Inmuebles y Aprobación del Trámite de Importación y Exportación

Más detalles

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02 05/01/2013 Ingelan 934 302 989 Numero 2013/02 ISO/IEC 27001 Normativa de seguridad IT ISO/IEC 27001 (Information technology Information Security Management Systems Requirements) es una normativa estándar

Más detalles

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION RESPONSABILIDAD Y AUTORIDAD REVISADO POR: LEIDA MARIA RAMIREZ GIL SUBGERENTE GENERAL FECHA 30/10/2014 APROBADO POR: GERARDO

Más detalles

MANUAL DE BUEN USO DE LOS SISTEMAS DE INFORMACIÓN PARA EMPRESAS PROVEEDORAS -MSGUSIEX- Versión 1.1

MANUAL DE BUEN USO DE LOS SISTEMAS DE INFORMACIÓN PARA EMPRESAS PROVEEDORAS -MSGUSIEX- Versión 1.1 MANUAL DE BUEN USO DE LOS SISTEMAS DE INFORMACIÓN PARA EMPRESAS PROVEEDORAS -MSGUSIEX- Versión 1.1 MANUAL DE BUEN USO DE LOS SISTEMAS DE INFORMACIÓN PARA EMPRESAS PROVEEDORAS ÍNDICE 1. ENTORNO 3 2. OBJETIVO

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

Para los efectos de esta normativa se deberán considerar las siguientes definiciones:

Para los efectos de esta normativa se deberán considerar las siguientes definiciones: RECOPILACION ACTUALIZADA DE NORMAS Capítulo 20-7 Documento para Comentarios CAPÍTULO 20-7 PROCESAMIENTO EXTERNO DE ACTIVIDADES I. ÁMBITO DE APLICACIÓN El presente Capítulo trata de las contrataciones de

Más detalles

Encuestas para la autoevaluación del Sistema de Control Interno Institucional

Encuestas para la autoevaluación del Sistema de Control Interno Institucional Encuestas para la autoevaluación del Sistema de Control Interno Institucional 2014 Tabla de contenido Metodología para la Autoevaluación del Sistema de Control Interno Institucional 2 Encuesta para la

Más detalles

World BASC Organization Business Alliance for Secure Commerce (BASC) NORMA BASC TABLA DE CONTENIDO 2. REFERENCIAS NORMATIVAS... 6

World BASC Organization Business Alliance for Secure Commerce (BASC) NORMA BASC TABLA DE CONTENIDO 2. REFERENCIAS NORMATIVAS... 6 Página: Página 1 de 13 TABLA DE CONTENIDO 0. INTRODUCCIÓN... 3 0.1. Prólogo... 3 0.2. Justificación... 4 1. OBJETO ALCANCE APLICACIÓN Y EXCLUSIONES... 5 1.1. Objeto y Alcance... 5 1.2. Para Usar Esta Norma...

Más detalles

Privada ha de ser también el de educar y motivar a que los miembros de la cadena de suministro participen en BASC.

Privada ha de ser también el de educar y motivar a que los miembros de la cadena de suministro participen en BASC. Business Alliance for Secure Commerce (BASC) Estándares BASC Versión 3-2008 Adopción de Requisitos Mínimos de Seguridad C-TPAT Vigilancia y Seguridad Privada Las Empresas de Vigilancia y Seguridad Privada

Más detalles

SISTEMAS DE GESTIÓN DE CALIDAD PARA LAS OPERACIONES DE SEGURIDAD Y PREVENCIÓN NORMA CAB-IS-SS 10402:2006

SISTEMAS DE GESTIÓN DE CALIDAD PARA LAS OPERACIONES DE SEGURIDAD Y PREVENCIÓN NORMA CAB-IS-SS 10402:2006 INTERNATIONAL STANDARD SAFETY AND SECURITY CAB Spanish Version SISTEMAS DE GESTIÓN DE CALIDAD PARA LAS OPERACIONES DE SEGURIDAD Y PREVENCIÓN NORMA NO COPYING WITHOUT PERMISSION OF AMERICAN CERTIFICATION

Más detalles

EIAM 07.42. Monitoreo de programas de destrucción de arsenales

EIAM 07.42. Monitoreo de programas de destrucción de arsenales EIAM 07.42 Primera Edición 2001-10-01 Monitoreo de programas de destrucción de arsenales Jefe Servicio de Acciones sobre Minas de la Organización de las Naciones Unidas (SAMONU) Organización de las Naciones

Más detalles

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Trabajo a realizar Cotización de mantenimiento anual de certificación de seguridad informática para el área perimetral

Más detalles

Munita, Cruzat y Claro S.A.

Munita, Cruzat y Claro S.A. Munita, Cruzat y Claro S.A. Informe sobre los Controles Implantados (NAGA N 56 Tipo I) Servicio de Custodia de Valores de Terceros Septiembre de 2010 Tabla de Contenidos Sección I Informe del Auditor Independiente

Más detalles

NORMAS TÉCNICAS PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Versión para comentarios 30-06-2015

NORMAS TÉCNICAS PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Versión para comentarios 30-06-2015 El COMITÉ DE NORMAS DEL BANCO CENTRAL DE RESERVA DE EL SALVADOR, CONSIDERANDO: I. Que de conformidad al artículo 2, inciso segundo de la Ley de Supervisión y Regulación del Sistema Financiero, para el

Más detalles

INTRODUCCIÓN CONTENIDO

INTRODUCCIÓN CONTENIDO Página 1 de 9 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto Reglamentario 1377 de 2013 el cual recoge las medidas de índole técnica

Más detalles

MANUAL DEL SISTEMA INTEGRADO DE GESTIÓN DE LA SECRETARÍA DISTRITAL DE SALUD

MANUAL DEL SISTEMA INTEGRADO DE GESTIÓN DE LA SECRETARÍA DISTRITAL DE SALUD MANUAL DEL SISTEMA INTEGRADO DE DE LA SECRETARÍA DISTRITAL DE SALUD 2015 SISTEMA INTEGRADO DE MANUAL DEL SISTEMA INTEGRADO DE DE LA SECRETARÍA DISTRITAL DE SALUD 1 SISTEMA INTEGRADO DE CONTENIDO 1. INTRODUCCIÓN...

Más detalles

GOBIERNO CORPORATIVO DE AIG SEGUROS MEXICO, S.A. DE C.V. Código:L2SOS- Firma: Firma: Firma: Fecha de entrada en vigor: 1 de Julio de 2011

GOBIERNO CORPORATIVO DE AIG SEGUROS MEXICO, S.A. DE C.V. Código:L2SOS- Firma: Firma: Firma: Fecha de entrada en vigor: 1 de Julio de 2011 POLITICA: GOBIERNO CORPORATIVO DE AIG SEGUROS MEXICO, S.A. DE C.V. Código:L2SOS- Elaboró: Arturo Morales Puesto: Director Jurídico Firma: Revisó: Rafael Piña y Jorge Andrade Puesto: Oficial de cumplimiento

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

Mejora de la Seguridad de la Información para las Pymes Españolas

Mejora de la Seguridad de la Información para las Pymes Españolas Mejora de la Seguridad de la Información para las Pymes Españolas Noviembre 2010 1 Objetivos Los objetivos de esta jornada de presentación a las Empresas participantes en PYMESecurity son: Presentar la

Más detalles

SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Vicerrectorado de TIC, Calidad e Innovación Centro de Informática y Comunicaciones Título Entregable Nombre

Más detalles

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones:

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones: Lima, 02 de abril de 2009 CIRCULAR Nº G- 140-2009 --------------------------------------------------------- Ref.: Gestión de la seguridad de la información ---------------------------------------------------------

Más detalles

ISO 9000 ISO 9001 (2015) ISO 9001 (2015) Requisitos para los Sistemas de Gestión de la Calidad

ISO 9000 ISO 9001 (2015) ISO 9001 (2015) Requisitos para los Sistemas de Gestión de la Calidad «N o m b r e _ O r g a n i z a c i ó n _ C O M P L E T O» ISO 9001 (2015) ISO 9000 ISO 9001 (2015) Requisitos para los Sistemas de Gestión de la Calidad Interpretación libre de ISO/DIS 9001:2015 Tabla

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

iso27002.es - El Anexo de ISO 27001 en español

iso27002.es - El Anexo de ISO 27001 en español ISO 27002 Site Home» ISO 27002 ISO 27002 Powered by: ISO 27002 05. Política de Seguridad 06. Organización de la Seguridad de Información 07. Gestión de Activos 08. Seguridad ligada a los Recursos Humanos

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

DOCUMENTO DE SEGURIDAD EMPRESA DE EJEMPLO SL

DOCUMENTO DE SEGURIDAD EMPRESA DE EJEMPLO SL El siguiente modelo lo ofrece pymesseguras.es de manera gratuita, basado en la guía que nos ofrece la Agencia Española de Protección de Datos. Pymesseguras.es no se hace responsable del uso que pueda hacerse

Más detalles

Reglamento de Casas de Bolsa

Reglamento de Casas de Bolsa Reglamento de Casas de Bolsa Al 17 de mayo 2002 EL CONSEJO DE ADMINISTRACIÓN DE BOLSA DE VALORES NACIONAL, S.A. En uso de las facultades autoregulatorias establecidas en la Ley del Mercado de Valores y

Más detalles

Biblioteca de Infraestructura de Tecnologías de Información. Estándar mundial de factor en la Gestión de Servicios Informáticos

Biblioteca de Infraestructura de Tecnologías de Información. Estándar mundial de factor en la Gestión de Servicios Informáticos BIBLIOTECA DE INFRASTRUCTURA DE TECNOLOGÍAS DE INFORMACIÓN Cervantes López Delia Rivera Trujillo Lidia Rubí Vallecillo Gómez José Luis Qué es ITIL? Biblioteca de Infraestructura de Tecnologías de Información

Más detalles

PRIVACIDAD Y SEGURIDAD DE LOS DATOS

PRIVACIDAD Y SEGURIDAD DE LOS DATOS Español PRIVACIDAD Y SEGURIDAD DE LOS DATOS Este Documento Complementario será parte integral del Contrato. Los términos escritos con mayúscula inicial a los que se haga referencia en este documento tendrán

Más detalles

GUÍA de Seguridad de Datos 1

GUÍA de Seguridad de Datos 1 GUÍA de Seguridad de Datos 1 Indice GUÍA MODELO DEL DOCUMENTO DE SEGURIDAD INTRODUCCIÓN MODELO DE DOCUMENTO DE SEGURIDAD 1. ÁMBITO DE APLICACIÓN DEL DOCUMENTO 2. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS

Más detalles

GUÍA de Seguridad de Datos 1

GUÍA de Seguridad de Datos 1 GUÍA de Seguridad de Datos 1 Indice GUÍA MODELO DEL DOCUMENTO DE SEGURIDAD INTRODUCCIÓN MODELO DE DOCUMENTO DE SEGURIDAD 1. ÁMBITO DE APLICACIÓN DEL DOCUMENTO 2. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS

Más detalles

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B SISTEMA DE GESTIÓN DE LA 1 SEGURIDAD DE LA INFORMACIÓN PreparaTIC 6 junio 09 Ponente: Leonardo Ramírez Peña Versión B ÍNDICE!! Fundamentos de la Gestión de la Seguridad de la Información!! Análisis y Gestión

Más detalles

BOLETÍN OFICIAL DEL ESTADO

BOLETÍN OFICIAL DEL ESTADO Núm. 55 Miércoles 5 de marzo de 2014 Sec. III. Pág. 21241 III. OTRAS DISPOSICIONES MINISTERIO DE SANIDAD, SERVICIOS SOCIALES E IGUALDAD 2378 Orden SSI/321/2014, de 26 de febrero, por la que se aprueba

Más detalles

MODELO DE CLÁUSULA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y MEDIDAS DE SEGURIDAD

MODELO DE CLÁUSULA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y MEDIDAS DE SEGURIDAD MODELO DE CLÁUSULA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y MEDIDAS DE SEGURIDAD 1. Prestaciones y propiedad de los datos En el contexto de la prestación de servicios encargada por..y con la finalidad

Más detalles

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA A LAS ENTIDADES CAMBIARIAS: BANCO CENTRAL DE LA REPÚBLICA ARGENTINA 2004 - Año de la Antártida Argentina COMUNICACIÓN A 4192 Ref.: Circular CONAU 1-670 Requisitos Operativos Mínimos de Tecnología y Sistemas

Más detalles

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 1 Ámbito de Aplicación El Decreto Supremo N 83 establece las características mínimas obligatorias de seguridad

Más detalles

Organismo de Acreditación Ecuatoriano

Organismo de Acreditación Ecuatoriano Organismo de Acreditación Ecuatoriano CR GA06 Organismo de Acreditación Ecuatoriano R00 2012-12-18 Criterios Generales OCSGIA Pág. 1/16 CR GA06 R00 2012-12-18 Criterios Generales para la Acreditación ORGANISMOS

Más detalles

POLITICA DE SEGURIDAD DE LA INFORMACIÓN

POLITICA DE SEGURIDAD DE LA INFORMACIÓN POLITICA DE SEGURIDAD DE LA INFORMACIÓN En AVANSIS, la información es un activo fundamental para la prestación de sus servicios y la toma de decisiones eficientes, razón por la cual existe un compromiso

Más detalles

Las Normas ISO 9000. Puede ser un producto material, un producto informático, servicio, información, etc.

Las Normas ISO 9000. Puede ser un producto material, un producto informático, servicio, información, etc. Las Normas ISO 9000 La serie de Normas ISO 9000 son un conjunto de enunciados, los cuales especifican que elementos deben integrar el Sistema de Gestión de la Calidad de una Organización y como deben funcionar

Más detalles

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad)

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) Abril 2008 TABLA DE CONTENIDO INTRODUCCIÓN. 3 ARANDA 360 ENDPOINT SECURITY & LA NORMA ISO / IEC 27001. 4 www.arandasoft.com

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

Sistemas de gestión de la calidad Requisitos

Sistemas de gestión de la calidad Requisitos Sistemas de gestión de la calidad Requisitos 0 Introducción Generalidades La adopción de un sistema de gestión de la calidad debería ser una decisión estratégica de la organización. El diseño y la implementación

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UC

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UC POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UC Exposición de motivos La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos establece el marco de relación entre

Más detalles

La ventaja competitiva de certificarse en seguridad

La ventaja competitiva de certificarse en seguridad especial informática La ventaja competitiva de certificarse en seguridad Certificarse en una norma ISO supone para las empresas una apuesta de futuro que, además de una garantía de calidad en la gestión

Más detalles

ELABORACIÓN Y CONTROL DE LA DOCUMENTACIÓN Y REGISTROS

ELABORACIÓN Y CONTROL DE LA DOCUMENTACIÓN Y REGISTROS Página 1 de 15 PROCEDIMIENTO GENERAL DI-PG 4.2.1 ELABORACIÓN Y CONTROL DE LA DOCUMENTACIÓN TABLA DE CONTENIDOS 1. OBJETIVO 2. CAMPO DE APLICACIÓN 3. NORMAS Y REFERENCIAS 4. DEFINICIONES 5. ENTIDADES AFECTADAS

Más detalles

Capitulo 08 ISO - 14000

Capitulo 08 ISO - 14000 Capitulo 08 ISO - 14000 Es una serie de standard internacionales que especifican los requerimientos para preparar y valorar un sistema de gestión que asegure que su empresa mantiene la protección ambiental

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

4.1 ISO/IEC 27001:2013, Information Technology - Security techniques Information security management systems Requirements.

4.1 ISO/IEC 27001:2013, Information Technology - Security techniques Information security management systems Requirements. 4.1 ISO/IEC 27001:2013, Information Technology - Security techniques Information security management systems Requirements. Introducción. El estándar proporciona los requerimientos para establecer, controlar,

Más detalles

FRANKLIN ELECTRIC CO., INC. POLÍTICA DE RETENCIÓN DE REGISTROS. Revisión: octubre de 2009

FRANKLIN ELECTRIC CO., INC. POLÍTICA DE RETENCIÓN DE REGISTROS. Revisión: octubre de 2009 FRANKLIN ELECTRIC CO., INC. POLÍTICA DE RETENCIÓN DE REGISTROS Revisión: octubre de 2009 A. Objeto Franklin Electric, Co., Inc., y sus empresas subsidiarias y filiales (en conjunto, la Empresa ) reconocen

Más detalles

METODOLOGIAS DE AUDITORIA INFORMATICA

METODOLOGIAS DE AUDITORIA INFORMATICA METODOLOGIAS DE AUDITORIA INFORMATICA Auditoria Informatica.- Certifica la integridad de los datos informaticos que usan los auditores financieros para que puedan utilizar los sistemas de información para

Más detalles

Modelo de Control para la Administración de Riesgos de TI. MsC. Carlos Zamora Sotelo, CISA, CISM

Modelo de Control para la Administración de Riesgos de TI. MsC. Carlos Zamora Sotelo, CISA, CISM Modelo de Control para la Administración de Riesgos de TI MsC. Carlos Zamora Sotelo, CISA, CISM Agenda 1. Objetivo de la Sesión. 2. La Administración de Riesgos en la Estrategia de Negocios. 3. El papel

Más detalles

ACUERDO DE ACCESO A DATOS DE CARÁCTER PERSONAL POR CUENTA DE TERCEROS ENTRE XXXXX Y XXXXXXX. En Barcelona a X de XXXX de 2008 REUNIDOS

ACUERDO DE ACCESO A DATOS DE CARÁCTER PERSONAL POR CUENTA DE TERCEROS ENTRE XXXXX Y XXXXXXX. En Barcelona a X de XXXX de 2008 REUNIDOS ACUERDO DE ACCESO A DATOS DE CARÁCTER PERSONAL POR CUENTA DE TERCEROS ENTRE XXXXX Y XXXXXXX En Barcelona a X de XXXX de 2008 REUNIDOS DE UNA PARTE BARCELONA DE SERVEIS MUNICIPALS, S.A. (en adelante BSM)

Más detalles

SERVICIO DE ATENCIÓN Y RESOLUCIÓN DE INCIDENCIAS

SERVICIO DE ATENCIÓN Y RESOLUCIÓN DE INCIDENCIAS COLEGIO LEONARDO DA VINCI SERVICIO DE ATENCIÓN Y RESOLUCIÓN DE INCIDENCIAS ACUERDO DE NIVEL DE SERVICIO HOJA DE CONTROL Colegio Leonardo Da Vinci Arica Unidad CTIC Titulo Servicio de Atención y Resolución

Más detalles

Lista de documentación obligatoria requerida por ISO/IEC 27001 (Revisión 2013)

Lista de documentación obligatoria requerida por ISO/IEC 27001 (Revisión 2013) Lista de documentación obligatoria requerida por ISO/IEC 27001 (Revisión 2013) 1) Qué documentos y registros son necesarios? La siguiente lista detalla la cantidad mínima de documentos y registros requeridos

Más detalles

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene

Más detalles

SEGURIDAD Y SALUD EN EL TRABAJO SISTEMAS DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO REQUISITOS

SEGURIDAD Y SALUD EN EL TRABAJO SISTEMAS DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO REQUISITOS NORMA CUBANA NC 18001: 2004 SEGURIDAD Y SALUD EN EL TRABAJO SISTEMAS DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO REQUISITOS Título en Ingles ICS: 1. Edición mes año REPRODUCCIÓN PROHIBIDA Oficina Nacional

Más detalles

Qué es la ISO 27001?

Qué es la ISO 27001? Qué es la ISO 27001? La información tiene una importancia fundamental para el funcionamiento y quizá incluso sea decisiva para la supervivencia de la organización. El hecho de disponer de la certificación

Más detalles

Auditoría documental y seguridad de la información: Como generar un Sistema de Seguridad de la Información?

Auditoría documental y seguridad de la información: Como generar un Sistema de Seguridad de la Información? 1 Título diapositiva Auditoría documental y seguridad de la información: Como generar un Sistema de Seguridad de la Información? Alicia Barnard Amozorrutia Quito, Ecuador, abril 25, 2014 2 Contenido Auditoría

Más detalles

Departamento de Informática. DI-PO-12-2014 Política sobre el uso del antivirus

Departamento de Informática. DI-PO-12-2014 Política sobre el uso del antivirus Departamento de Informática DI-PO-12-2014 Política sobre el uso del antivirus Fecha de envío: Enero, 2014 Página: 2 de 9 1. Objetivo... 3 2. Alcance... 3 3. Definiciones... 3 4. Responsabilidades de las

Más detalles

LINEAMIENTOS PARA LA PROTECCIÓN DE DATOS PERSONALES DEL ESTADO DE AGUASCALIENTES

LINEAMIENTOS PARA LA PROTECCIÓN DE DATOS PERSONALES DEL ESTADO DE AGUASCALIENTES LINEAMIENTOS PARA LA PROTECCIÓN DE DATOS PERSONALES DEL ESTADO DE AGUASCALIENTES ÚLTIMA REFORMA PUBLICADA EN EL PERIÓDICO OFICIAL: 17 DE ENERO DE 2011. Lineamientos publicados en la Primera Sección del

Más detalles

POSTGRADO EN GESTIÓN Y AUDITORÍA DE SISTEMAS DE SEGURIDAD DE LA INFORMACIÓN ISO 27001

POSTGRADO EN GESTIÓN Y AUDITORÍA DE SISTEMAS DE SEGURIDAD DE LA INFORMACIÓN ISO 27001 Modalidad: Distancia Duración: 77 Horas Objetivos: La adecuada implantación de un Sistema de Gestión de Seguridad de la Información (SGSI) permite asegurar la continuidad del negocio, minimizar el riesgo

Más detalles

Introduction to Risk Assessment

Introduction to Risk Assessment Introduction to Risk Assessment Agenda Riesgos de Seguridad de la Información Gestión de Riesgos Modelo Pragmático de Riesgo Mitigación de Riesgos y sus componentes Activos Componentes de Riesgos Identificación

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

4.7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service management system requirements.

4.7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service management system requirements. 4.7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service management system requirements. Introducción. ISO 20000 es un estándar orientado al establecimiento de procesos y procedimientos

Más detalles

Fondo de las Naciones Unidas para la Infancia 27 de diciembre de 2011

Fondo de las Naciones Unidas para la Infancia 27 de diciembre de 2011 Fondo de las Naciones Unidas para la Infancia 27 de diciembre de 2011 Nota informativa sobre distintas medidas del UNICEF acerca de la transparencia y rendición de cuentas, incluida la divulgación pública

Más detalles

Finanzas responsables

Finanzas responsables finanzas responsables Finanzas responsables 1. Cumplimiento normativo y control 2. Prácticas anticorrupción 3. Otros riesgos vinculados a la actividad 090 finanzas responsables 091 Programas clave desarrollados

Más detalles

Política General de Control y Gestión de Riesgos

Política General de Control y Gestión de Riesgos Empresas Inarco Política General de Control y Gestión de Riesgos Auditoría Interna 2014 POLITICA GENERAL DE CONTROL Y GESTION DE RIESGOS EMPRESAS INARCO La Política General de Control y Gestión de Riesgos,

Más detalles

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo.

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo. ISO 27000 La información es un activo vital para la continuidad y desarrollo de cualquier organización pero la implantación de controles y procedimientos de seguridad se realiza frecuentemente sin un criterio

Más detalles

RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA

RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA Rodrigo Ferrer CISSP rodrigo.ferrer@sisteseg.com Bogotá Colombia www.sisteseg.com El objetivo primordial de la elaboración de este documento, se relaciona

Más detalles