Política de seguridad de la información

Política de seguridad de la información

1. Objetivo

Proporcionar orientación y apoyo en materia de seguridad de la información de conformidad con los requisitos de la empresa y las leyes y reglamentos pertinentes, contribuyendo así a la sostenibilidad financiera de la organización.

2. Documentos de referencia

  • Código de Conducta del Grupo Algar;
  • Política de Control de Acceso Lógico;
  • Procedimiento del Centro Logístico;
  • ISO 20000-1:2018;
  • ISO 27001:2022;
  • Ley 13.709/18 – Ley general de protección de datos personales (LGPD).

3. Definiciones

3.1. Ámbito de aplicación

Esta «Política de Seguridad» mantiene la integridad de la prestación de servicios en todas las unidades de Algar Tech, de acuerdo con las estrategias de la empresa, la legislación vigente y los requisitos contractuales. Las directrices aquí establecidas deben ser seguidas por todos los asociados, prestadores de servicios, proveedores, pasantes, contratistas, socios y clientes que utilicen información de Algar Tech.

Nota 01

Excepciones sólo cuando sean aprobadas por el órgano de gobierno.

3.2. Seguridad de la información

Son esfuerzos continuos para proteger los activos de información contra diversos tipos de amenazas para garantizar la continuidad del negocio, minimizar el riesgo para la organización, ayudando a Algar Tech a cumplir su misión;

Se consigue mediante la implementación de objetivos de control y controles adecuados para garantizar que se cumplen los objetivos empresariales y de seguridad de la organización.

3.3. SGSI

Sistema de gestión de la seguridad de la información.

4. Descripción

4.1. Responsabilidades

Algar Tech, a través de su presidencia y consejo de administración, afirma su compromiso con la seguridad de la información, las leyes y reglamentos aplicables al negocio, basándose en esta «Política de Seguridad de la Información».

4.2. Principales áreas del Sistema de Gestión de Seguridad de la Información

  • Presidencia;
  • Tecnología de la Información;
  • Infraestructura;
  • Recursos Humanos;
  • Operaciones.

4.3. Objetivo de seguridad

Garantizar la aplicabilidad de las normas, políticas y procedimientos de seguridad de la información, reflejados en el negocio de la organización.

4.4. Personas

Asociados de Algar Tech

a) Todos los asociados, jóvenes aprendices, becarios, proveedores de servicios, proveedores, contratistas, visitantes, socios, startups y clientes en el entorno de Algar Tech deben conocer el Código de Conducta del Grupo Algar y la formación de Concienciación en Seguridad de la Información y ser coherentes con ellos.

b) Todos los asociados deben firmar el «»Acuerdo de Confidencialidad»» en el momento de su admisión o siempre que lo solicite la empresa.

c) Se prohíbe a todos los asociados hacer un uso indebido de la información de la empresa y/o de los clientes, transmitirla a la competencia, utilizarla en beneficio propio y/o almacenar archivos y correos electrónicos de forma inadecuada.

d) Algar Tech podrá recibir y almacenar automáticamente informaciones sobre las actividades de cualquier persona que utilice sus recursos, incluyendo dirección IP, usuario, aplicaciones, pantalla/página y conversación realizada dentro o a través de la empresa.

e) Cualquier identificación de autenticación (usuario y contraseña) en la red corporativa o en las aplicaciones proporcionadas por Algar Tech es personal e intransferible y cada usuario será responsable de su almacenamiento y uso.

f) Al término de la relación laboral y/o contractual de los asociados y/o prestadores de servicios, Algar Tech inhabilitará todas las identificaciones de autenticación utilizadas durante la prestación de los servicios.

4.5. Proveedores y terceros

a) Toda creación, invención y desarrollo de ideas, procesos, sistemas, productos y servicios realizados durante la prestación de servicios en Algar Tech deberán ser transferidos a Algar Tech.

b) Está prohibido que cualquier proveedor de servicios utilice indebidamente información de la empresa y de los clientes, la transmita a competidores, la utilice en beneficio propio y/o almacene archivos y correos electrónicos de forma inapropiada.

c) Al recibir acceso a cualquier recurso de Algar Tech, el prestador de servicios estará sujeto a las políticas y directrices internas de la organización y a todos los criterios establecidos en las cláusulas de confidencialidad disponibles en el contrato de prestación de servicios firmado en el momento de la contratación.

d) Al finalizar la relación contractual, el responsable del contrato de los proveedores de servicios de Algar Tech deberá asegurarse de que los identificadores de autenticación utilizados durante el trabajo queden debidamente desactivados.

4.6. Activos

a) Todos los colaboradores, jóvenes aprendices, pasantes, prestadores de servicios, proveedores, contratistas, visitantes, socios, startups y clientes en el ambiente de Algar Tech son responsables por garantizar el buen funcionamiento y la integridad de cualquier recurso proporcionado por la empresa para el desarrollo de sus actividades y, cuando sea aplicable, deben firmar un término de compromiso de uso del recurso.

b) Cualquier producto o equipo de Algar Tech que necesite ser transportado deberá ser acomodado de forma segura, garantizando así su integridad física y lógica cuando sea aplicable.

c) No está permitido el uso de ordenadores personales en la red corporativa. Salvo excepciones previamente autorizadas por el departamento de seguridad de la información.

d) El acceso a través de dispositivos móviles (smartphones, teléfonos móviles, tablets, etc.) se permitirá a través de Algar Tech – Executive Wi-Fi, que sólo permite el uso de las aplicaciones necesarias para este tipo de dispositivos. En estos casos, el único responsable de garantizar el funcionamiento de estos activos es el miembro propietario del equipo.

e) Toda entrada, movimiento y salida de activos de las unidades de Algar Tech debe cumplir con los procedimientos internos de la empresa.

4.7. Procesos

a) La empresa debe cartografiar todos los procesos críticos para el negocio y realizar una evaluación de riesgos con controles y tratamientos. Éstos deben ser conocidos, aprobados y aceptados por el órgano de dirección.

b) El mapeo de los procesos críticos debe ser revisado siempre que ocurran cambios con impacto en el ambiente.

4.8. Riesgos

a) La empresa debe definir y aplicar un proceso de evaluación de riesgos de seguridad de la información para los procesos y tecnologías existentes y sus resultados deben ser comparables y reproducibles, constituyendo el Mapa de Riesgos Corporativo.

b) La evaluación de riesgos debe ser capaz de identificar las vulnerabilidades, amenazas, impactos y niveles de riesgo aceptables para los activos, personas, información, sistemas, aplicación y mapeo de los principales procesos de negocio de acuerdo con las estrategias de la empresa, la legislación vigente y los requisitos contractuales.

c) La evaluación de riesgos debe revisarse al menos una vez al año, o siempre que se produzcan cambios de impacto en el entorno.

4.9. Información

a) El acceso a la información sobre Algar Tech o sus clientes en su entorno empresarial e informático está restringido y sólo se pondrá a disposición de las personas formalmente autorizadas.

b) Todas las cláusulas de confidencialidad acordadas con los clientes en relación con su información deberán ser respetadas por los asociados de Algar Tech o terceros que puedan tener acceso a dicha información.

c) Se prohíbe expresamente a cualquier usuario que no disponga de autorización formal el uso, acceso a cualesquiera sistemas y aplicaciones o incluso el simple intento de acceso a los mismos.

d) Toda la información generada en Algar Tech o en su nombre, fruto del trabajo de asociados, proveedores o prestadores de servicios es derecho de Algar Tech y sólo Algar Tech puede determinar su destino y finalidad.

e) Toda creación, invención y desarrollo de ideas, procesos, sistemas, productos y servicios, creados en el ámbito del trabajo o de las responsabilidades y misión de la función o cargo del asociado en la empresa, deben ser transferidos a Algar Tech.

f) Queda prohibida la divulgación de cualquier información sobre la empresa o sus clientes a cualquier persona que no pertenezca al mismo grupo de trabajo, en medios públicos (incluyendo fotos/filmaciones en redes sociales) o internos, sin autorización previa o estando obligado por el Acuerdo de Responsabilidad y Confidencialidad, salvo excepciones previstas en el contrato.

g) La información generada dentro de la organización debe ser almacenada en un proceso de copia de seguridad con garantía de restauración en una ubicación segura validada por el equipo competente.

h) No está permitido el uso de memorias USB, discos duros externos o cualquier otro tipo de dispositivo extraíble para el transporte o almacenamiento de datos. Las excepciones deberán ser autorizadas formalmente por el departamento de seguridad de la información.

i) Al finalizar la relación contractual con el cliente o prestador de servicios, toda la información almacenada en los equipos de Algar Tech deberá ser eliminada o cedida a los mismos cuando así esté previsto en el contrato.

j) Al final de la relación laboral y/o contractual, los asociados y/o prestadores de servicios que puedan tener permiso para acceder a equipos o medios de almacenamiento deberán eliminar cualquier rastro físico y/o lógico de información generada o adquirida dentro de Algar Tech.

4.10. Sistemas y aplicaciones

a) Todo software instalado en máquinas de propiedad o al servicio de Algar Tech deberá contar con una licencia de uso previamente adquirida, debiendo el área usuaria presentar una solicitud al Service Desk para su instalación, autorización y uso.

b) No se permitirá la instalación de shareware, freeware o software equivalente que no esté incluido en la lista de soluciones aprobadas.

c) Todas las actualizaciones y correcciones de seguridad deberán ser desplegadas de acuerdo con las normas de cada aplicación y aprobadas por el equipo de seguridad e informática. d) Todos los equipos (servidores, ordenadores de sobremesa, portátiles, entre otros) que permitan la instalación de software antivirus deberán tenerlo instalado y actualizado en línea, no pudiendo el usuario desactivarlo o desinstalarlo.

e) Todo software antivirus debe garantizar el bloqueo de virus, gusanos, spyware o cualquier otra nueva tecnología de ataque.

f) Todos los correos electrónicos y accesos a Internet deben ser monitorizados y protegidos con reglas antivirus y firewall.

g) El correo electrónico corporativo de Algar Tech sólo debe ser utilizado para tratar asuntos relacionados con la empresa, y la información almacenada o transmitida es propiedad de la organización, correspondiendo al usuario asegurar su correcta clasificación y tratamiento de acuerdo con el Procedimiento – Clasificación y Etiquetado de la Información.

h) No está permitido el uso del correo electrónico corporativo para fines personales, registro en sitios de compras y otros formularios.

i) No se podrá compartir el acceso a los sistemas y aplicaciones de Algar Tech o de sus clientes, siendo el asociado titular del usuario el único responsable de mantener la confidencialidad de sus contraseñas de acceso, usuario de red, internet, archivos de trabajo y demás aplicaciones de Algar Tech.

j) Se prohíbe el uso de herramientas de mensajería instantánea que no hayan sido aprobadas por el equipo de seguridad y tecnología, salvo excepciones, cuando se compruebe su uso efectivo en las actividades desarrolladas por el asociado o cliente.

k) Está prohibida la transferencia de archivos por cualquier herramienta de Mensajería Instantánea y el intercambio de archivos, salvo excepciones autorizadas y/o herramientas aprobadas y autorizadas.

4.11. Violación de las Políticas y Directrices del SGSI

a) Las violaciones a la seguridad deben ser reportadas al área de Seguridad de la Información a través del Service Desk. Cualquier violación o desviación debe ser investigada para determinar las medidas necesarias para corregir la falla o reestructurar los procesos. Se consideran violaciones de seguridad

  • Uso ilegal de software;
  • Introducción (intencionada o no) de virus informáticos;
  • Compartir información empresarial sensible;
  • Puesta en común de datos personales;
  • Exposición indebida de datos relativos a contratos y clientes;
  • Violación de la confidencialidad de información confidencial y/o datos sensibles;
  • Divulgación de información sobre clientes y operaciones contratadas;
  • Intercambio de información Contenidos para adultos, discriminatorios, ofensivos, difamatorios, abusivos, pornográficos, obscenos, violentos y cualesquiera otros que puedan causar, incitar o promover actitudes que supongan una violación de la intimidad, la propiedad intelectual e industrial;
  • Otras infracciones previstas en el Código de Conducta del Grupo Algar, en la Política de Seguridad de la Información del Grupo Algar y en la legislación vigente.

b) Los principios de seguridad establecidos en esta política son de pleno cumplimiento por el presidente y el consejo de administración de Algar Tech y deben ser observados por todos en el desempeño de sus funciones.

c) El incumplimiento de las directrices de esta política o de otras políticas y directrices de la organización están sujetas a Planes de Acción y Aplicación de Gestión Disciplinaria.

4.12. Auditoría

a) Todos los asociados, así como terceros que utilicen el ambiente tecnológico de Algar Tech, están sujetos a auditorías de uso de red, telefonía y aplicaciones.

b) Procedimientos de auditoría y monitoreo serán realizados periódicamente por el área de seguridad de la información o por una empresa contratada, con el objetivo de observar el cumplimiento por parte de los usuarios de las directrices establecidas en esta política y con vistas a administrar el desempeño de la red.

c) En caso de que existan indicios de actividades que puedan comprometer la seguridad de la red, se permitirá al área de seguridad de la información auditar y monitorear las actividades de un usuario, así como inspeccionar sus archivos y registros de acceso, en interés de Algar Tech, y el hecho será reportado inmediatamente a la Alta Dirección.

Disposiciones generales

La presente Política de Seguridad de la Información está sujeta a modificaciones periódicas para garantizar su actualización de conformidad con la legislación aplicable.

1
Solución
2
Acerca de usted
3
Acerca de la empresa
Por favor, selecione uma das opções.
Tu nombre completo.
Tu correo electrónico corporativo.
Tu teléfono corporativo. Utiliza sólo números.
Tu teléfono móvil. Utiliza sólo números.
Por favor, preencha todos os campos do formulário.