POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
- PRIMERA VERSIÓN AGOSTO DE 2018
INTRODUCCIÓN
Objetivo
La presente política de seguridad de la información (en adelante, la “Política”) tiene como objetivo establecer las medidas de carácter organizacional, técnico, físico y legales necesarias para la protección de todos y cada uno de los componentes de información y de aquellos activos relacionados con su creación, acceso no autorizado, procesamiento, almacenamiento, uso, transmisión, eliminación o destrucción dentro de ADBID LATINOAMERICA S.A.S. (en adelante, “Adbid”).
Alcance
La presente Política establece los requisitos mínimos de Seguridad de la Información que se deben cumplir al interior de Adbid, siendo parte integral de las relaciones con proveedores, clientes, contratistas, empleados y demás personas que de alguna manera u otra ingresen a las instalaciones de Adbid o tengan acceso a información de Adbid.
Principios rectores
Como responsable del buen manejo de la información, Adbid se compromete a guiar y aplicar sus actuaciones con relación a la Seguridad de la Información, bajo los principios que a continuación se indican:
i) Principio de integridad: Adbid asegurará que la información y sus métodos de proceso son exactos y completos;
ii) Principio de disponibilidad: Adbid asegurará que los usuarios autorizados tengan acceso a la información y a sus activos asociados cuando lo requieran.
iii) Principio de seguridad: Adbid manejará la información con las medidas técnicas, humanas y administrativas razonables según su capacidad con el fin de otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
iv) Principio de confidencialidad: Adbid se compromete a garantizar que todas las personas que intervengan en el uso de información que no tengan la naturaleza de públicos estarán obligados a garantizar la reserva de la información, inclusive después de finalizada la relación;
v) Principio de control de acceso: Adbid se compromete a darle acceso a la información únicamente a aquellas personas autorizadas;
vi) Principio de no repudio: Adbid se compromete a garantizar la capacidad de probar la participación de usuarios en el acceso a la información y a sus activos asociados.
Glosario
Las definiciones establecidas en la presente sección serán utilizadas como referencia para la correcta y apropiada interpretación del presente Manual Interno y de la Política de Protección y Tratamiento de Datos Personales de Adbid. En ese sentido, se entenderá por:
i) Activo de Información: Cualquier combinación de activos físicos y lógicos, incluyendo pero sin limitarse a información de Adbid, sistemas de cómputo y procesamiento de datos, enlaces de comunicaciones, métodos de acceso, correo electrónico, acceso a internet, acceso remoto, dispositivos móviles y/o cualquier otro sipo de software y hardware que participe en el ciclo de vida de la información;
ii) Seguridad de la Información: Son el conjunto de medidas preventivas y de gobierno orientadas a la protección de la confidencialidad, integridad y disponibilidad;
iii) Información Confidencial: Se refiere a la información física o digital que sea utilizada por un grupo de empleados de Adbid en la ejecución de sus labores y que no puede ser conocida por otros funcionarios, empleados, contratistas, proveedores, clientes o terceros sin autorización expresa del propietario de la información.
USO DE LOS ACTIVOS DE INFORMACIÓN
Todos los empleados, contratistas, consultores y terceros que utilicen Activos de información de propiedad de Adbid o de propiedad de clientes de Adbid, son responsables de darle cumplimiento y acoger de manera integra la presente Política.
Uso de los sistemas
El sistema utilizado por Adbid (Software, Hardware y periféricos) así como la información contenida en los mismos es de propiedad de Adbid y su uso se encuentra restringido únicamente para los propósitos de cumplir en debida forma con el objeto social de la empresa y sus negocios, reservándose por tanto Adbid la facultad de monitorear el sistema en cualquier momento.
Cualquier uso, modificación, alteración o acceso no autorizado al sistema dará lugar a acciones disciplinarias o legales, según corresponda. Ed uso del sistema por parte de los empleados, contratistas consultores implica la aceptación de la Política.
Uso de los correos electrónicos institucionales
Uso del Internet
Cualquier comunicación por correo electrónico entre Adbid y sus clientes o consultores deberá realizarse a través del correo institucional proporcionado por Adbid. En ese sentido, está prohibido el uso de cuentas personales para comunicarse con clientes o consultores y para transmitir cualquier tipo de información relacionada con el negocio.
Adbid respeta los principios de libertad de expresión y privacidad de información de sus empleados y por tanto no restringe en ninguna forma la privacidad de los mismos y de la información que almacenen, envíen o reciban al correo electrónico institucional. Sin embargo, Adbid se reserva la facultad de inspeccionar y monitorear el correo electrónico institucional que se asigne con el fin de cumplir con los estándares, los principios rectores y los términos y condiciones establecidos en la presente Política.
Los correos electrónicos institucionales estarán activos durante la vinculación del empleado o colaborador con Adbid, excepto en aquellos casos donde sea necesaria la cancelación y/o suspensión de los mismos.
Adbid tiene un disclaimer en cada uno de los mensajes que sean enviados por medio de un correo electrónico institucional.
El buzón del correo electrónico institucional es personal e intransferible y por tanto le corresponde al empleado o colaborador la Seguridad de la Información que en él reposa. El empleado o colaborador es el único responsable por el buen uso de su correo electrónico institucional y en ese sentido se compromete a:
i) Respetar la confidencialidad de la información contenida en los correos electrónicos de otros empleados o colaboradores;
ii) Utilizar el correo electrónico institucional para el desarrollo y ejecución de las actividades propias de su labor al interior de Adbid, cumpliendo siempre con el deber de confidencialidad en la información que almacene, utilice o transmita;
iii) Utilizar el correo electrónico institucional para los fines de la organización;
iv) Actuar con respeto por el buen nombre de Adbid y de las personas, por lo que no hará uso del correo electrónico institucional con fines de intimidación, acoso, difamación, calumnia u hostilidades de cualquier tipo;
v) Abstenerse de enviar mensajes con contenido no deseado (spam) o con información falsa (hoax) que pueda resultar ofensivo o dañino para otros empleados o colaboradores así como a clientes;
vi) Abstenerse de enviar mensajes que sean contrarios a la ley y a las buenas costumbres;
vii) Realizar un mantenimiento periodice de su correo electrónico institucional;
viii) Respetar la privacidad de los correos electrónicos institucionales de otros empleados o colaboradores;
ix) Respetar las barreras en la información que existan al interior de Adbid creadas para evitar el intercambio de comunicaciones que puedan generar o derivarse en un conflicto de interés (Chinese Wall);
En Adbid no hay ninguna limitación al uso del Internet. Sin embargo, el empleado o colaborador se abstendrá en todo momento de:
i) Descargar programas que realicen conexiones de manera automática sitios que tengan contenido pornográfico, así como se abstendrá de hacer uso de los recursos para la distribución o reproducción de ese tipo de material;
Recursos compartidos
Para la debida ejecución de las labores y actividades propias del negocio, Adbid y sus empleados y colaboradores utilizan carpetas compartidas entre sus equipos de trabajo para lograr eficiencia en el desarrollo de sus actividades.
Las carpetas solo son compartidas entre los miembros de los equipos de trabajo y por tanto tienen el acceso restringido a empleados o colaboradores que si bien hacen parte de la organización, no son parte del equipo de trabajo específico que desarrolla labores para determinado cliente o para el desarrollo de determinadas actividades.
Recursos en la nube
Para lograr una mayor interacción y eficiencia en las actividades de la organización, Adbid utiliza tecnologías de computación en la nube (Google Drive).
BARRERAS EN LA INFORMACIÓN (CHINESE WALL)
Bajo el entendido que al interior de la organización existen diferentes equipos que asesoran a clientes diferentes que en cierta medida tiene intereses iguales o similares en el mercado y para evitar la generación de conflictos de interés, Adbid ha decidido implementar medidas para evitar la transmisión de información entre distintos equipos de la organización.
En ese sentido, cada integrante de un equipo de trabajo al interior de Adbid tiene únicamente acceso a la información relacionada con sus cuentas mediante el uso de su correo electrónico institucional, por lo que tiene acceso prohibido a recursos manejados por equipos diferentes al que él haga parte.
Potenciales conflictos de interés
Habrá un potencial conflicto de interés al interior de Adbid cuando exista uno de los siguientes eventos:
i) Interacción entre equipos de trabajo: La interacción entre equipos de trabajo que tienen clientes y manejan cuentas que tienen intereses iguales o similares en el mercado no es permitida y por tanto le corresponde a los Digital Accounts Directors de cada equipo de trabajo evitar el flujo de información privilegiada entre los miembros de sus equipos y demás áreas;
ii) Cambios en los equipos de trabajo: Si por cualquier circunstancia un empleado o colaborador miembro de un equipo de trabajo se pasa a otro equipo de trabajo donde se maneja un cliente y una cuenta con intereses iguales o similares en el mercado a los que tiene el cliente y cuenta manejado por dicho empleado o colaborador en su anterior equipo de trabajo, éste no podrá utilizar la información privilegiada que eventualmente haya recibido en sus anteriores actividades para sacar provecho;
iii) Interacción entre altos ejecutivos y equipos de trabajo: En la interacción entre altos ejecutivos de la organización y equipos de trabajo, los altos ejecutivos se abstendrán de influenciar y/o de revelar información privilegiada que pueda ir en contravía de los intereses de cada cliente y de sus cuentas. Por lo anterior, los altos ejecutivos no discutirán sus estrategias con otros empleados o colaboradores de la organización con quien pueda existir un potencial conflicto de interés.
Cruce de las barreras en la información
Habrá cruce de las barreras en la información al interior de Adbid cuando ocurran los siguientes eventos:
i) Cruzando el muro: Este evento de cruce de barreras en la información se produce cuando un empleado o colaborador que no pertenece a determinado equipo de trabajo necesita, por algún motivo, tener acceso a la información privilegiada de otro equipo de trabajo;
ii) Por encima del muro: Este evento de cruce de barreras en la información se produce cuando un alto ejecutivo, que se encuentra por encima de la barrera en la información tiene acceso a información privilegiada;
Procedimiento para cruzar las barreras en la información
Si un empleado o colaborador miembro de un equipo de trabajo y por cuestiones únicamente relacionadas con los negocios de Adbid, necesita compartir información privilegiada de su equipo de trabajo, sus clientes y sus cuentas o acceder a información privilegiada de otro equipo de trabajo, sus clientes y sus cuentas, para esto, además de considerar de manera objetiva si los beneficios de cruzar el muro son mayores que las consecuencias de cruzarlo, deberá seguir el siguiente procedimiento:
8
i) Enviar una solicitud al CSO de Adbid, en la cual deberá especificar: a) las razones por las cuales se debe cruzar el muro; b) los empleados o colaboradores que curzarán el muro y; c) la información privilegiada que se va a analizar y su destinación específica;
ii) Si se trata de información que, a juicio del CSO, es privilegiada y puede afectar los intereses de sus clientes, este le informará al cliente al que se le revelará su información y le solicitará su autorización, explicándole las razones de dicha información y el uso que es le dará;
iii) Una vez se cuente con la autorización del cliente, en los casos en los que se necesite, el CSO le informará al solicitante que desea cruzar el muro, la aprobación o no de su solicitud. De ser aprobada, el solicitante recibirá únicamente la información solicitada con las restricciones que tanto el cliente como el CSO consideren necesarias y se limitará a aquellas actividades explícitamente descritas en la solicitud.
Seguridad del Entorno
Todos los empleados y colaboradores deben tener una identificación personal única para utilizar los recursos de la organización. Solo en circunstancias excepcionales se autorizará la creación de un usuario compartido, esto en los casos dónde se necesite la creación de un equipo de trabajo para determinada labor y sea necesaria la creación de dicho usuario compartido para evitar el cruce de barreras en la información.
Control de Acceso
Los empleados y colaboradores, en el ejercicio de sus actividades mantendrán sus lugares de trabajo limpios en todo momento.
Si un empleado o colaborador se ausenta de su lugar de trabajo, éste deberá bloquear su equipo para reducir el riesgo de acceso no autorizado a la información. Sin embargo, los computadores se bloquearán automáticamente después de cinco (5) minutos de inactividad.