Política de Seguridad
RAW APOTHECARY en cumplimiento de su reglamento y política de seguridad, hacen de su conocimiento que:
RAW APOTHECARY protege y salvaguarda sus datos personales para evitar el daño, pérdida, destrucción, robo, extravío, alteración, así como el tratamiento no autorizado de los mismos.
Introducción
La política de seguridad es un conjunto de lineamientos que establecen el marco de referencia sobre los que se sustentan las normas, procedimientos formales y los colaboradores de Raw Apothecary actúan en relación al manejo de los recursos tecnológicos y protección de la información, sin llegar a una descripción técnica del mecanismo de seguridad.
Objetivo General
Proteger la información y los recursos tecnológicos con los que cuenta Raw Apothecary de riesgos asociados a la pérdida o violación de la confidencialidad, integridad y disponibilidad de dicha información.
Objetivo Específico
Definir los puntos importantes y acciones necesarias para normar en la prevención y contingencias relacionadas a la seguridad de cuentas, contenedores de información y activos tecnológicos gestionados por todos los procesos, así como el personal y proveedores de la empresa, con el fin de garantizar su confidencialidad, integridad y disponibilidad. Esto teniendo en cuenta que los principios sobre los que se basa el desarrollo de las acciones o toma de decisiones estarán determinadas por las siguientes premisas:
- Minimizar el riesgo sobre accesos indebidos a las cuentas de correo.
- Cumplir con los principios de seguridad de la información, protección de datos personales y continuidad del negocio.
- Mantener la confianza de sus clientes, proveedores y colaboradores.
- Apoyar la innovación tecnológica.
- Proteger los activos tecnológicos.
- Fortalecer la cultura de seguridad de la información, protección de datos personales y continuidad del negocio en los colaboradores, becarios y terceros
- Garantizar la continuidad del negocio frente a incidentes.
Responsables
Es responsabilidad de la Alta Dirección o a quién delegue, administrar y custodiar la información electrónica, para lo cual debe dar normas y/o procedimiento que permitan administrar y controlar lo establecido en esta política.
Es responsabilidad de todos los colaboradores velar por el cumplimiento de la política, normas y/o procedimientos que le asigne la organización y el no divulgar a terceras personas cualquier información o documento relacionado relacionado con la seguridad informática. Siendo indispensable informar a la Alta Dirección o a quién se delegue, sobre cualquier evento que afecte a esta política.
Descripción de la Política
A continuación se detalla cada una de las políticas sobre propiedad de datos y seguridad de la información:
1. Política de contraseñas
- Toda contraseña correspondiente a cuentas de usuario final es personal e intransferible, por lo tanto, no debe compartirse por ningún motivo.
- Las contraseñas establecidas por cada uno de los colaboradores para los diferentes sistemas informáticos serán administradas y gestionadas bajo su única responsabilidad.
- Para generar contraseñas seguras para las cuentas de usuario final para cualquiera de las aplicaciones de software de terceros contratados por Raw Apothecary, desarrollos internos así como correo institucional, deberán cumplir los siguientes parámetros:
- Tener una longitud mínima de 8 caracteres
- Contener mayúsculas y minúsculas.
- Contener números y caracteres especiales (ej: “#*?-)
- En las aplicaciones de software que posean verificación 2FA (Two-factor authentication) debe ser configurada por el usuario final sin excepción alguna en el caso de correo institucional y plataformas con información sensible del negocio como pasarelas de pago, canales de venta como Mercado Libre, Amazon entre otros.
- Se prohíbe solicitar y/o entregar contraseñas vía telefónica o por escrito en medios como correo electrónico, chats o papeles, en casos fortuitos donde sea independiente enviar información debe ser notificado a la Alta Dirección.
- Las aplicaciones que sean de uso común para 2 o más colaboradores de la organización por ningún motivo deben tener autenticación por medio de google o facebook que incide en tener acceso a cuentas personales.
- Las credenciales de las aplicaciones que sean de uso común para 2 o más colaboradores deben compartirse a través de un Secure Software Manager o Herramienta colaborativa de uso interno.
- Las contraseñas correspondientes a cuentas especiales de administración de aplicaciones serán de uso y responsabilidad del área de tecnología.
- El usuario no deberá aceptar documentos ni archivos adjuntos que provengan de desconocidos o que tengan origen poco fiable, ni seguir vínculos a formularios donde se pidan claves o nombres de usuarios.
- El acceso externo a información de base de datos se realizará exclusivamente a través de APIs con el estándar OAuth 2.0 para facilitar la delegación de autenticación, permitiendo a las aplicaciones el acceso limitado a la información sin necesidad de proporcionar sus credenciales.
- En el caso de que se requiera obtener información del computador de escritorio o portátil, de un colaborador que se encuentre ausente de forma temporal o definitiva, únicamente podrá ser solicitado por el jefe inmediato, a través del formulario de obtención de información.
- Siempre que un colaborador sospeche que la confidencialidad de su contraseña esté comprometida, deberá cambiarla inmediatamente o deberá forzar el cambio de clave.
- El área de tecnología a indicación de la Alta Dirección, es el único ente que puede autorizar y designar el empleo de técnicas y/o herramientas que sirvan para encontrar debilidades de seguridad de acceso a los servicios informáticos de la organización (hacking ético). Por tal motivo sin la autorización debida de esta instancia, está prohibido que los colaboradores de Raw Apothecary bajo cualquier modalidad utilicen o prueben cualquier técnica y/o herramienta que viole o busque encontrar debilidades en la seguridad de accesos a servicios informáticos desde o hacia la organización.
- La Alta Dirección o a quien se delegue, está encargada sobre el control de accesos externos a los servicios informáticos, por lo tanto es la única que puede autorizar, instalar y configurar los accesos.
- En caso de pérdida, robo, extravío, acceso no autorizado o infracción de seguridad a las claves de acceso debe ser comunicado de forma inmediata al área de tecnología con el fin de tomar acciones correctivas oportunas.
- La unidad de tecnología es la encargada de la administración de Google Admin, para lo cual debe asegurar su operación continua, mantener actualizadas las cuentas, tomar medidas de seguridad y controlar el uso debido por parte de los usuarios.
- Raw Apothecary considera los correos electrónicos como información electrónica de su propiedad y que son considerados documentos oficiales para todo uso. Por tal motivo se prohíbe a todo el personal que labora en la organización bajo cualquier régimen o modalidad: El uso de cuentas de correo electrónico que no han sido otorgados, el empleo del correo para uso personal o de negocios ajenos a sus funciones, el uso de lenguaje obsceno y abusivo.
- El uso de correos institucionales con bandeja compartida debe realizarse a través de grupos creados en G Suite.
- Cualquier incidencia será puesta en conocimiento de la Alta dirección: Como el uso indebido y difusión de contenidos de carácter racista, xenófobo, pornográfico, sexista, apología del terrorismo o atentar contra los derechos humanos o derechos a la intimidad, al honor, a la propia imagen o contra la dignidad de las personas; difusión de mensajes sin identificar, difusión de mensajes comerciales o propagandísticos sin autorización expresa, propagación de cartas encadenadas o no autorizado de su cuenta de correo electrónico, o incidencias relacionadas con el funcionamiento de la cuenta.
- Toda información generada para beneficio de la organización de toda índole, es considerada propiedad de Raw Apothecary, por ende, debe ser almacenada en la herramienta colaborativa para la gestión del conocimiento y/o en google drive de la organización y por ningún motivo deben generarse copias o almacenarla en equipos personales.
- La información se considera de uso confidencial por lo que lo colaboradores se comprometen a guardar secreto y confidencialidad sobre cualquier hecho, noticia, dato o circunstancia tal como el know-how, la contabilidad, la actividad financiera y la estrategia empresarial de Raw Apothecary y por ningún motivo debe ser utilizada para fines personales o de negocios ajenos a sus funciones en la organización.
- En caso de que el colaborador deje la organización, Raw Apothecary está en la libertad de transferir el contenido de lo almacenado en Google Drive a otra cuenta que la Alta dirección determine.
- Destruir, alterar, inutilizar o cualquier otra forma de dañar los datos, programas o documentos electrónicos de Raw Apothecary es causa de sanción y acciones legales.
- Pese a que Raw Apothecary ha adoptado los niveles de seguridad de protección de los datos legalmente requeridos y procura instalar otros medios y medidas técnicas de protección adicionales, no obstante, los colaboradores deben ser conscientes de que: Las medidas de seguridad en Internet no son inexpugnables, las redes utilizadas en Internet no son totalmente seguras y cualquier comunicación enviada por este medio puede ser interceptada o modificada por personas no autorizadas, por lo cual la información debe ser compartida únicamente con las áreas internas involucradas, si se requiere compartir información con personal externo, debe ser sólo cuando amerite y de forma directa y en ningún caso el acceso deberá público.
- Raw Apothecary es propietaria única y exclusiva de todos los recursos informáticos adquiridos y desarrollados que le presten servicios a la organización, siempre y cuando no se trate de aplicaciones de software con uso de licencia legal.
- Tratándose de recursos informáticos alquilados por Raw Apothecary, para que le presten servicios se reserva todos los derechos derivados de su uso.
- Todo recurso informático adquirido o desarrollado para Raw Apothecary, debe ser asignado, administrado y controlado por el área de tecnología, a fin de garantizar su integridad.
- Toda asignación de recursos informáticos de Raw Apothecary, al personal que no tiene relación laboral de la organización, deberá estar debidamente autorizada por el Tech Lead del área.
- Los colaboradores de Raw Apothecary, bajo cualquier régimen o modalidad pueden utilizar los recursos informáticos existentes en la organización para uso personal de forma casual siempre y cuando no interfiera con su desempeño, ni vulnere la reputación, seguridad o servicios de la organización.
- Los colaboradores de Raw Apothecary, bajo cualquier régimen o modalidad está prohibido de emplear los recursos informáticos existentes en la organización para fines de negocio o de carácter personal que sean ajenos a las funciones en Raw Apothecary. Por tal motivo la Alta Dirección o a quién delegue, puede con justificación, revisar, monitorear o registrar cualquier recurso informático.
- Los colaboradores no deben obstaculizar el acceso de otros usuarios mediante el consumo masivo e injustificado de los recursos informáticos a través de los cuales Raw Apothecary garantiza sus operaciones, así como realizar acciones que dañen, interrumpan o generen errores en dichos recursos.
Fecha de actualización: 28/01/2022