Dock Ltd. y sus filiales, en adelante sólo "Dock", debido a su compromiso con la protección de la información que posee y de la que es responsable, tiene como objetivo establecer directrices para el tratamiento de los activos de información y niveles aceptables de fiabilidad.
Está destinado a todos sus empleados, aprendices y Terceros, que trabajen bajo contrato, y que en sus atribuciones y/o ejecución del contrato, hagan uso de información comercial o administrativa.
Toda la información está protegida de acuerdo con las reglas definidas en esta política. La adopción de procedimientos que garanticen la Seguridad de la Información es una prioridad constante en las áreas de Dock, con el fin de reducir fallas y daños que puedan comprometer su imagen o causar perjuicios a terceros.
Esta política asegura que las regulaciones y circulares aplicables del Banco Central sean monitoreadas y cumplidas por Dock y que los procesos involucrados en el manejo de datos de tarjetas cuenten con los controles definidos por el PCI-DSS (Payment Card Industry – Data Security Standard).
Los principios de la Seguridad de la Información cubren básicamente los siguientes aspectos:
Confidencialidad: Asegurar que el acceso a la información sea obtenido únicamente por personas autorizadas.
Integridad: Garantizar que la información se mantenga en su estado original, a fin de protegerla, en el proceso, transporte y almacenamiento, contra alteraciones indebidas, intencionales o accidentales.
Disponibilidad: Garantizar que los empleados autorizados obtengan acceso a la información y los activos correspondientes cuando sea necesario.
Autenticidad: Valida la autorización del usuario (a través de las credenciales y el proceso de autenticación) para acceder, transmitir y recibir determinada información, confirmando la identidad de los empleados antes de liberar el acceso a los sistemas y recursos, asegurando que no suplanten a personas no autorizadas.
No repudio: O irrenunciabilidad. Asegura que una persona o entidad no pueda negar la autoría de la información proporcionada, como en el caso del uso de certificados digitales para transacciones en línea y firma de documentos electrónicos.
Dock cuenta con programas de concienciación y formación con el objetivo de elevar el nivel de formación de todos sus empleados en ciberataques y directrices de Seguridad de la Información.
Toda la información es clasificada y controlada de tal forma que se aplican los principios de integridad, confidencialidad, disponibilidad, autenticidad y no repudio, asegurando la trazabilidad según su grado de secreto.
Todo acceso al ambiente de Dock es controlado, monitoreado, restringido, revisado periódicamente y revocado oportunamente al término del contrato de trabajo del empleado o Tercero.
Las áreas e instalaciones de Dock se clasifican en niveles de seguridad para fines de control de acceso físico. El ceremonial de la clave criptográfica respeta los requisitos de seguridad definidos en la versión más actual de PCI-DSS.
En Dock, el uso de servicios en la nube es una estrategia importante para ganar disponibilidad, confiabilidad y escala en sus servicios.
Dock desarrolla e implementa controles criptográficos, fuertes estándares de encriptación en tránsito y en reposo, manejo de claves y ceremoniales, de acuerdo a las mejores prácticas en marcos de seguridad, legislación vigente y estándares internos.
Dock cuenta con lineamientos de seguridad para el desarrollo y mantenimiento de aplicaciones y sistemas, con el fin de dirigir la creación y ejecución de estos procesos de manera segura, garantizando un mayor nivel de confiabilidad de los servicios.
Dock trabaja para proporcionar el más alto nivel de seguridad y disponibilidad para sus productos. Toda la información y sistemas necesarios para el soporte y continuidad de los servicios de Dock son sometidos a los procesos de backup y Plan de Continuidad de Negocios para el restablecimiento y recuperación permanente de las operaciones y actividades durante un evento de interrupción del servicio.
Dock realiza periódicamente pruebas de intrusión internas y externas, asegurando que sus entornos cumplan con las necesidades de Seguridad de la Información.
En Dock, las redes y subredes se segmentan para garantizar el control de acceso restringido, la protección y el aislamiento de entornos críticos, de acuerdo con las mejores prácticas de PCI-DSS para garantizar una comunicación segura.
El servicio de correo electrónico, mensajería, así como otros medios de comunicación puestos a su disposición, deberán ser utilizados exclusivamente para las finalidades, soporte, servicios y objetivos comerciales específicos de Dock.
Dock realiza periódicamente escaneos en sus entornos para identificar posibles debilidades y vulnerabilidades que puedan comprometer los sistemas. Además, cuenta con el análisis de requerimientos de seguridad desde la concepción (security by design) de nuevos productos.
Dock cuenta con mecanismos de monitoreo y auditoría de estaciones de trabajo, servidores, correo electrónico, conexiones a internet y dispositivos móviles. Además de mecanismos y prácticas de protección, prevención, detección y corrección para garantizar la seguridad de la información de Dock.
Para evitar la fuga de datos, Dock utiliza soluciones especializadas para monitorear alertas sobre sospechas de movimientos atípicos, incluidas las transferencias de información por correo electrónico.
Dock tiene soluciones Antivirus y Antispyware instaladas en todos sus servidores y estaciones de trabajo de los empleados.
Todos los procesos que involucran el ciclo de vida de los sistemas corporativos, incluyendo el hardware y software Dock, siguen las mejores prácticas y recomendaciones en Seguridad de la Información.
Dock cuenta con estrategias de monitoreo, observación y respuesta ante incidentes de Seguridad de la Información, cubriendo todos los productos críticos, además de observar siempre la legislación vigente aplicable a la operación.
Dock realiza pruebas de escritorio para probar la efectividad de los planes de respuesta a ciberataques para escenarios relevantes. Además, se realizan mejoras continuas de acuerdo a los resultados observados.
La privacidad de los clientes, empleados y socios es un tema prioritario para Dock. Para más detalles sobre cómo se procesan, recopilan, usan y divulgan los datos personales, acceda al Portal de Privacidad de la Dock.
Dock Ltd. y sus filiales/Dock: Incluyen todas las empresas y CNPJs del grupo Dock Tech, Dock Ip, Bpp, Cacao, Dock Colombia y el resto de Latinoamérica.
PCI DSS: El acrónimo de Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (Payment Card Industry Data Security Standard) se desarrolló para fomentar y mejorar la seguridad de los datos de los titulares de tarjetas y promover la adopción generalizada de medidas de seguridad de datos coherentes en todo el mundo.
Accesos Lógicos: Un conjunto de controles de hardware y software diseñados para proteger la información y brindar acceso solo a los empleados que tienen permiso.
Terceros: Empresas proveedoras, prestadoras de servicios, socios comerciales o terceros en sentido estricto (Recurso humano, persona jurídica simple que no forma parte de la estructura organizativa interna de Dock, destinada por un tiempo determinado a realizar la prestación del servicio).