Política de Seguridad de la Información

Política de Seguridad de la Información

1. Compromiso de Gerencia

Para TodoLegal S.A., la seguridad de la información y la calidad en el desarrollo de herramientas tecnológicas para certificaciones digitales y gestión de la identidad digital, son objetivos estratégicos. Por ello, nos comprometemos a establecer, implementar, mantener y mejorar continuamente nuestro Sistema de Gestión de Seguridad de la Información (SGSI) para cumplir con los más altos estándares internacionales y las mejores prácticas de la industria, así como leyes y normativas vigentes en Ecuador.

Declaramos nuestro compromiso con los siguientes objetivos:

1. Cumplimiento Normativo: Cumplir con todas las leyes, regulaciones y normas aplicables en materia de seguridad de la información, protección de datos y calidad.
2. Gestión de Riesgos: Identificar, evaluar y gestionar los riesgos asociados a la seguridad de la información en nuestros productos y servicios tecnológicos.
3. Conciencia y Capacitación: Promover una cultura de seguridad y calidad para nuestros prestadores de servicios a través de programas continuos de formación y concienciación en seguridad de la información, Protección de Datos Personales, y Desarrollo Seguro para todos los prestadores de servicios.
4. Gestión de Incidentes: Identificar y gestionar los incidentes de manera eficaz y a tiempo para mantener espacios de trabajo, productos y servicios seguros.
5. Mejora Continua: Realizar anualmente al menos una auditoría interna, verificar revisiones periódicas por la Dirección Estratégica y disponer la aplicación de mejoras.

Este compromiso es respaldado por la alta dirección y se refleja en todas nuestras políticas, procedimientos y actividades operativas. Todos los prestadores de servicios en TodoLegal son responsables de adherirse a estos principios y contribuir activamente al logro de nuestros objetivos de seguridad de la información y calidad. La alta dirección, así como el encargado en SGSI revisarán periódicamente esta política para asegurar su adecuación continua, la alineación con los objetivos estratégicos de la organización y la asignación de responsabilidades a los prestadores de servicios de la empresa, según corresponda.

Paúl Quiñonez

Gerente General – TodoLegal S.A

2. Objetivo

General:

Establecer un marco de trabajo integral para proteger la confidencialidad, integridad y disponibilidad de la información en posesión y bajo la administración de la organización, mitigando riesgos y garantizando el cumplimiento normativo.

Específicos:

1. Salvaguardar la información contra accesos no autorizados, divulgación y alteración indebida.
2. Fomentar una cultura de seguridad de la información entre el personal de la organización.
3. Asegurar la disponibilidad continua de los sistemas y activos de información críticos.
4. Cumplir con las regulaciones y estándares de seguridad relevantes.

3. Alcance

Esta política se aplica a todos los activos, sistemas, redes y prestadores de servicios de la organización, incluyendo proveedores y contratistas que manejen cualquier tipo de  información perteneciente a TodoLegal, sus prestadores de servicios, clientes, proveedores y demás.

4. Responsables

Encargado de Seguridad de la Información: Responsable de supervisar la implementación y cumplimiento de esta política.

Equipo de Tecnología: Responsable de implementar medidas de seguridad y mantener la infraestructura segura.

5. Definiciones

• Información Confidencial: Datos que requieren protección especial debido a su naturaleza sensible y a los riesgos asociados a su divulgación.
• Integridad: Propiedad de la información que garantiza su exactitud y consistencia.
• Disponibilidad: Garantía de que la información estará disponible y accesible cuando se necesite.

6. Políticas Generales

Normas para Usuarios Internos

Política de Contraseñas:

Ésta política tiene como objetivo estandarizar la creación y mantenimiento de usuarios y claves que deben ser configuradas en las aplicaciones de Todolegal y que están alineadas con las mejores prácticas de Seguridad de la Información y regulaciones aplicables. Entre esto, se destaca:

• No compartir contraseñas con colegas ni anotarlas en lugares visibles.
• Bloqueo de usuarios que fallen 3 veces la autenticación.
• Utilizar contraseñas fuertes y únicas para cada cuenta.
• Aplicar factores de doble autenticación.
• Estándar de usuarios y claves para terceros.
• Formato de cuentas de correo electrónico.
• Cambiar las contraseñas periódicamente.

Estándar de Usuarios y Claves.

Uso Aceptable de Recursos:

• Utilizar los recursos de tecnología de acuerdo con las políticas y procedimientos establecidos.
• No instalar software no autorizado en máquinas virtuales o servicios de TodoLegal, incluso queda prohibido realizar cambios en la configuración sin aprobación del Líder Técnico o  la Alta Gerencia.

Protección de Datos y Datos Personales:

• En base a la Ley Orgánica de Protección de Datos Personales se establecen lineamientos  sobre los cuidados que se deben seguir y mantener dentro de la empresa. Así mismo se establecen derechos a los usuarios, prestadores de servicio, y demás implicados, titulares de datos personales.

Acceso a Información Sensible:

• Acceder solo a la información necesaria para realizar tareas laborales o de prestación de servicios.

Uso de Dispositivos Personales:

• No conectar dispositivos personales a la red de la empresa sin autorización.
• Evitar el almacenamiento de información corporativa en dispositivos personales.

Gestión de Parches y Actualizaciones:

• Mantener sistemas y aplicaciones actualizados con los últimos parches de seguridad.
• Realizar pruebas exhaustivas antes de implementar parches en producción.

7. Normas para el Equipo de Tecnología

Configuración Segura:

• Configurar sistemas y aplicaciones siguiendo las mejores prácticas de seguridad.
• Deshabilitar servicios y funciones no necesarios para reducir la superficie de ataque.

Monitorización y Detección de Amenazas:

• Implementar herramientas de monitorización y detección de amenazas para identificar actividades sospechosas.

Gestión de Accesos:

• Administrar de manera eficaz los privilegios de usuario para evitar accesos no autorizados.

Respuesta a Incidentes:

• Establecer un plan de respuesta a incidentes que incluya la identificación, contención, erradicación y recuperación.

8. Normas para Usuarios Externos a la Compañía

Política de Acceso Externo:

• Los usuarios externos solo deben acceder a los recursos de la empresa a través de canales seguros y autorizados.
• No compartir credenciales con terceros ni permitir que terceros accedan a sus cuentas.

Protección de Datos del Cliente:

• Los usuarios externos deben tratar la información del cliente con confidencialidad y protección.

Uso de Dispositivos Externos:

• No conectar dispositivos personales a la red de la empresa sin autorización expresa.
• No descargar o transferir datos confidenciales a dispositivos externos sin permiso.

Cumplimiento Normativo:

• Los usuarios externos deben cumplir con todas las políticas y regulaciones de seguridad establecidas por la empresa. Así como leyes vigentes y sus respectivas normativas.

Finalización de Acceso:

• Cuando finalice la relación con la empresa, los usuarios externos deben asegurarse de que su acceso sea revocado y la información se maneje adecuadamente.

Conservación y Eliminación de Datos:

• En el caso de requerir la eliminación de datos, se deberá seguir con la matriz de tiempos de conservación planteadas para los datos de TodoLegal. Así mismo Toda información que requiera eliminación se solicitará autorización a la alta gerencia.
• Los periodos de conservación se seguirán según lo establecido en las matrices de tiempo de conservación establecidas por la Ley Orgánica de Protección de Datos Personales del Ecuador, la normativa aplicable en materia sectorial o por los contratos suscritos con cada uno de los responsables del tratamiento de datos personales

9. Políticas Relacionadas

Se podrá revisar el listado de las políticas específicas relacionadas con el Sistema de Gestión de Seguridad de la Información en la Lista Maestra de documentos controlados.

Los directivos, colaboradores, proveedores de servicios o terceros interesados, podrán acceder únicamente a los documentos a los que tuvieren autorización según su categoría de la información.

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
DIRECCIÓN ESTRATÉGICA	Código: PSI-TL-DES-001
	Versión: 2.0
	Clasificación de Información: Información de uso interno