Política de Seguridad de Información de Keos

La compañía reconoce la importancia de la seguridad de la información en el modelo de negocio y con el fin de mantener la ventaja competitiva, la permanencia y el valor del negocio, aprueban “Las políticas de Seguridad de la información” expuestas en el presente documento y que son relevantes para Clientes y Proveedores con los procedimientos y estándares que las soportan.

La dirección deberá proveer los mecanismos y apoyar los procesos que permitirán asegurar el éxito de la presente política de seguridad de la información al interior de la compañía.

En caso de incumplimiento de la presente política de seguridad, Keos establece las medidas sancionatorias correspondientes a la falta, de acuerdo a su criticidad y recurrencia. Éstas bien pueden ser medidas legales o contractuales con la parte involucrada aún después de la finalización de la relación contractual.

Este documento, así como toda política documentada será revisado y actualizado con una periodicidad mínima de una (1) vez al año o cuando ocurran cambios significativos en la infraestructura o en la normatividad.

Toda documentación relacionada con las Políticas de Seguridad de la Información es aprobada por el Comité de Seguridad y Cambios de Keos y publicada en las páginas web de la compañía.

Disposiciones de seguridad relevantes para Clientes y Proveedores de Keos:

1. Los colaboradores de Keos disponen de cuentas de acceso únicas y no es permitido que manejen cuentas de acceso genéricas.
2. El cumplimiento de las políticas de seguridad es obligatorio para todo el personal de la compañía, por tal motivo Keos se asegura que cada uno de los actores conoce, entiende y acepta las mismas.
3. Todos los usuarios tienen los permisos estrictamente necesarios para la ejecución de sus labores, las mismas están definidas en el perfil del cargo, cualquier otro acceso fuera de sus funciones laborales no está permitido.
4. Es de carácter obligatorio para todo el personal, la notificación inmediata de algún problema o violación de la seguridad, del cual fuere testigo; al jefe inmediato o superior o al Oficial de Seguridad de Keos ([email protected]).
5. Los colaboradores de Keos no podrán transferir a terceros información considerada como confidencial sin la autorización del jefe inmediato o superior.
6. El colaborador de Keos será responsable del uso que le dé a su cuenta de usuario, por lo que no podrá ser transferida por ningún motivo.
7. El colaborador no deberá solicitar o compartir por medios de mensajería instantánea el número de cuenta principal (PAN).
8. Por ningún motivo se almacenará en aplicaciones ni correos electrónicos o documentos físicos o digitales los datos sensibles del tarjeta habiente.
9. Los colaboradores de Keos, deben mantener las pantallas limpias, no deben tener documentos de la compañía de forma accesible.
10. Los colaboradores de Keos, deben bloquear la sesión de sus computadores en caso de ausentarse temporalmente de sus puestos.
11. Los colaboradores de Keos, deben mantener el escritorio limpio, libre de documentos de la compañía. De requerir la manipulación de documentos, estos deberán ser guardados bajo llave si no se están utilizando.
12. El colaborador no podrá solicitar o compartir información sensible (números de cuentas, números de identificación, número de teléfono, direcciones de correo, ubicaciones u otra información catalogada como confidencial o interna) de colaboradores, clientes o proveedores mediante herramientas de mensajería instantánea sin la debida autorización del propietario de la información.
13. Las contraseñas de los usuarios tanto internos como externos deben ser únicas e intransferibles.
14. Antes de hacer un cambio en las credenciales de los usuarios, el administrador debe realizar el procedimiento correspondiente para confirmar la identidad del solicitante.
15. Si se sospecha que la contraseña de la cuenta fue comprometida, se debe realizar el cambio de contraseña y notificar del evento al equipo de Monitoreo y Soporte para la investigación del incidente.
16. No se permite la reutilización de contraseñas, es decir la plataforma validará todas las claves utilizadas en la cuenta de por vida y el momento que la plataforma solicite el cambio de clave, debe crearse una nueva diferente a la utilizada en anteriores ocasiones.
17. Los colaboradores y usuarios externos que hagan uso de los equipos de cómputo facilitados por la compañía tienen la obligación de resguardar, cuidar y proteger el equipo utilizado.
18. Todo colaborador tendrá una cuenta de correo electrónico personal e intransferible.
19. Clasificación de la Información en Keos: Toda la información de la empresa tiene un nivel apropiado de acuerdo con su confidencialidad, para lo cual se deben considerar los siguientes criterios:
    • Confidencial: Acceso permitido solo a la alta dirección.
    • Restringido: Acceso a directores/jefes de área y empleados clave.
    • Interno: Acceso solo a miembros de la empresa, en cualquier nivel.
    • Público: Acceso para personas dentro y fuera de la empresa.
20. Acceso a información confidencial, restringida e interna: todo colaborador de Keos, acepta y firma el acuerdo de confidencialidad interno de la compañía.
21. Keos dispone de lineamientos para proceder con la eliminación de la información tanto en formato digital como física para asegurar su destrucción de manera segura una vez haya cumplido con el periodo de retención o con la previa autorización del dueño de la información. En caso de cualquier duda sobre los procedimientos autorizados favor ponerse en contacto con su jefe inmediato para que se comparta el procedimiento vigente.
22. Almacenamiento de datos sensibles/confidenciales: los datos de nuestros clientes y proveedores son un activo crítico para la empresa, se establecen los siguientes lineamientos para el almacenamiento de datos sensibles de los clientes o proveedores por ejemplo datos de tarjetas de débito/crédito.
    • Almacenar de forma encriptada el nombre del titular de la tarjeta, el número de tarjeta (PAN), la fecha de vencimiento y el código de servicio.
    • Para guardar el número de tarjeta (PAN), este deberá estar enmascarado y encriptado. Es decir, se mostrará en la aplicación únicamente los 4 últimos dígitos.
    • No registrar en archivos logs los datos sensibles del tarjetahabiente: nombre del titular de la tarjeta, el número de tarjeta (PAN), la fecha de vencimiento y el código de servicio.
    • El tiempo de almacenamiento en base de datos del número de tarjeta (PAN) hará referencia a la política de retención de datos, luego se realizará la eliminación segura de la información.
    • No almacenar los datos confidenciales de autenticación.
    • No guardar en bases de datos el contenido total ni parcial de la información contenida en la banda magnética o clip del tarjetahabiente.
    • No guardar en archivos log el total ni parcial de los datos contenidos en la banda magnética o clip del tarjetahabiente.
    • No guardar el número de seguridad (CVV2 / CAV2 / CVC2 / CID).
23. Transmisión de datos por medios electrónicos de información.
    • La información determinada y clasificada como confidencial debe ser cifrada para su transmisión y almacenamiento.
    • En caso de envío de información confidencial por medio de correo electrónico fuera de la compañía, se debe asegurar que el correo vaya firmado y utilice un esquema de cifrado.
    • Los documentos identificados como confidenciales deberán estar firmados digitalmente utilizando la herramienta Digisigner.
    • En caso de envió de información confidencial del cliente y no sea posible él envió por correo, por ningún motivo deben utilizarse plataformas iguales o similares a Wetransfer.
    • En caso de envió de información confidencial al cliente y no sea posible cifrar la información, esta debe enviarse en formato ZIP protegido por una contraseña fuerte de al menos 16 caracteres (alfanuméricos y caracteres especiales) y la clave debe enviarse en un correo electrónico diferente únicamente al solicitante.
24. Keos utiliza esquemas seguros de criptografía para proteger el envío de información confidencial de clientes y proveedores.