Política de Seguridad

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Norma ISO 27001:2013

REQUERIMIENTOS DE SEGURIDAD

Los principales requerimientos de seguridad de la información propuestos por la Alta Dirección de E-MONEY son los siguientes:

  • Establecer controles para la protección de información de los procesos pertenecientes a la Gerencia de Administración y Finanzas que afecte la continuidad de las operaciones y la reputación de E-MONEY.
  • Establecer claramente los roles y responsabilidades en términos de Seguridad de la Información, dentro del ámbito de E-MONEY.
  • Promover y mantener un nivel de cultura en Seguridad de la Información, así como lograr concientización de todos los empleados de E-MONEY para minimizar la ocurrencia de incidentes de seguridad de la información.
  • Asegurar que los recursos de los sistemas de información de E-MONEY sólo sean utilizados por usuarios autorizados.
  • Proteger la información corporativa y la relacionada con la prestación de los servicios de E-MONEY, según los más altos niveles de control de confidencialidad, integridad y disponibilidad de la información:

 

  • Requisito de confidencialidad: Toda la información se protegerá contra la divulgación no autorizada. Los datos sensibles y confidenciales del negocio deben permanecer en secreto. La divulgación de los datos se limitará a personas y entidades debidamente autorizadas.
  • Requisito de integridad: Toda la información se protegerá contra la creación, modificación o destrucción inadecuada o no autorizada. Sólo las personas debidamente autorizadas podrán crear, ingresar y modificar la información.
  • Requisito de disponibilidad: Todos los usuarios autorizados de E-MONEY tendrán acceso a la información requerida para llevar a cabo sus funciones laborales. E-MONEY se compromete a reducir al mínimo y atenuar la posibilidad de una falla catastrófica mediante la distribución de estas pautas.

A fin de satisfacer los distintos requisitos trazados por la alta dirección de la organización, se establece un Sistema de Gestión de Seguridad de la Información (SGSI) debidamente documentado y basado en los riesgos identificados en la compañía. El cumplimiento de los objetivos del SGSI, deberá asegurar que:

  • Toda información sensible estará protegida del acceso no autorizado.
  • Mantener niveles apropiados de confidencialidad, integridad y disponibilidad de la información.
  • Asegurar la continuidad de las operaciones a través de un Plan de Continuidad del Negocio y Recuperación ante Desastres debidamente implementado.
  • Implementar los mecanismos de educación, capacitación y concientización en Seguridad de la Información, en todo el ámbito de la compañía.
  • Para soportar esta política general del Sistema de Gestión de Seguridad de la Información, se establecerán políticas de seguridad, normas y procedimientos detallados, los cuales serán publicados y comunicados a todos los empleados, terceros y socios de negocio de E-MONEY.

OBJETIVOS DE SEGURIDAD

Los objetivos de seguridad de la información definidos por E-Money, han sido establecidos, tomando en cuenta las consultas y análisis de los requerimientos identificados de las partes interesadas (internas y externas), los cuales corresponden a una expresión de la intención de nuestra organización para tratar los riesgos identificados y para cumplir con los requisitos de seguridad establecidos por la alta dirección. Estos son los siguientes:

  • Crear un ambiente de controles internos que inspiren confianza en los actores que componen la organización.
  • La protección de los activos de información esenciales para el funcionamiento de la organización.
  • Estructurar la gestión eficiente y eficaz de la seguridad de la información de acuerdo a las buenas prácticas establecidas por la norma.
  • Velar por el cumplimiento de las obligaciones legales, reglamentarias y contractuales de la organización.
  • La implementación de un sistema de seguridad que proporcione ventajas competitivas en relación a las demás empresas del rubro.
  • Proteger y potenciar la imagen corporativa de la organización hacia los clientes.
  • Identificar y minimizar los riesgos de la seguridad de la información interna de los activos relacionados con la seguridad física y lógica de la organización.

ALCANCE

La presente política aplica a todo el personal de E-Money y también al personal externo que preste o prestare servicios a la empresa, así como a todo activo de información que la organización posea en la actualidad o en el futuro, de manera que la no inclusión explícita en el presente documento, no constituye argumento para no proteger los activos de información. La política cubre toda la información, entre otros, la impresa o escrita en papel, almacenada electrónicamente, trasmitida por correo o usando medios electrónicos o hablada en una conversación.

RESPONSABILIDADES Y CUMPLIMIENTO

Con el propósito de asignar roles organizacionales, responsabilidades y autoridades, E-Money ha desarrollado las siguientes funciones y responsabilidades al interior de la organización, en lo que respecta al contexto de la seguridad de la Información:

  • Gerente General: Es el responsable de la existencia y cumplimiento de las medidas que mantengan un nivel de seguridad de la información acorde con el rol de la organización y los recursos disponibles.
  • Oficial de Seguridad: Es el principal responsable en la definición de los criterios de seguridad de la información en E-Money, para lo cual deberá analizar periódicamente el nivel de riesgo existente, proponiendo soluciones costo-efectivas. Una vez autorizada la implementación de las medidas, deberá coordinar con los distintos Gerentes su materialización oportuna y correcta.
  • Comité de Seguridad: Tiene la responsabilidad de implementar mecanismos y procedimientos específicos para el cumplimiento de las políticas, normas y procedimientos establecidos en la organización, dicha responsabilidades recae en cada uno de los roles involucrados en este comité, según sus funciones en la estructura de la organización.
  • Personal de la empresa: Tiene la responsabilidad de cumplir con lo formalizado en este documento y aplicarlo en su entorno laboral. Además, tiene la obligación de alertar de manera oportuna y adecuada, a su jefe directo, cualquier incidente que atente contra la seguridad de la información.

CUMPLIMIENTO

La presente Política General de Seguridad de la Información entrará en vigencia una vez oficializada por el Gerente General y el Responsable de Seguridad será responsable de ponerlas en conocimiento de todo el personal de la organización. La presente política está alineada con las directrices de las leyes y regulaciones existentes. Cualquier conflicto con estas regulaciones debe ser informado inmediatamente al Oficial de Seguridad de Seguridad.

Todo empleado que viole las Políticas, normas y procedimientos de Seguridad estará sujeto a una sanción disciplinaria, que se puede traducir hasta en el término del contrato. En el caso de los proveedores el incumplimiento de las políticas y normas de seguridad de la información, puede ser traducido en el término de contrato de prestación de servicios unilateral y anticipadamente por parte de E-Money.

DECLARACIÓN DE COMPROMISO DE LA ALTA DIRECCIÓN

El Gerente General de E-Money, asume el compromiso de proveer todos los medios para la implementación del Programa de Políticas y Normas aquí descrito, así como la responsabilidad de su cumplimiento. Es por ello, que la Alta Dirección demostrará su compromiso con el Sistema de Gestión de Seguridad de la Información mediante la:

  • Revisión y aprobación de las Políticas de Seguridad de la Información.
  • Participación activa para el desarrollo de una cultura de Seguridad de la Información en todo el ámbito de la compañía.
  • Divulgación de las políticas de seguridad a través de las diferentes estructuras organizacionales de E-MONEY.
  • Utilizar su autoridad para asegurar la asignación efectiva de recursos, en la medida del crecimiento y volumen del negocio, con el fin de implementar, mantener y mejorar el Sistema de Gestión de Seguridad de la Información, sus políticas, sus controles tecnológicos y los procedimientos de gestión asociados al Sistema.
La Alta Dirección bajo el presente documento, realiza la presentación y declaración de vigencia de las políticas y procedimientos de seguridad para todos los usuarios dentro del alcance del SGSI de E-Money, como así también para personal externo que deba utilizar dichos recursos tecnológicos, de igual forma mantener un proceso continuo de revisión y mejora continua en el ambiente de la seguridad de la información. E-Money se reserva el derecho de alterar o modificar partes de este documento, a fin de atender los requerimientos de su Sistema de Gestión de Seguridad de la Información (SGSI), así como también, los requisitos específicos cuando sea necesario.

 

CLAUDIO RETAMAL

Gerente General
E-Money Chile