Ilustración - Política de seguridad de la información

Política de seguridad de la información

1. Objetivo

Dock Ltd. y sus filiales, en adelante sólo "Dock", debido a su compromiso con la protección de la información que posee y de la que es responsable, tiene como objetivo establecer directrices para el tratamiento de los activos de información y niveles aceptables de fiabilidad.

2. Alcance

Está destinado a todos sus empleados, aprendices y Terceros, que trabajen bajo contrato, y que en sus atribuciones y/o ejecución del contrato, hagan uso de información comercial o administrativa.

3. Directrices

Toda la información está protegida de acuerdo con las reglas definidas en esta política. La adopción de procedimientos que garanticen la Seguridad de la Información es una prioridad constante en las áreas de Dock, con el fin de reducir fallas y daños que puedan comprometer su imagen o causar perjuicios a terceros.
Esta política asegura que las regulaciones y circulares aplicables del Banco Central sean monitoreadas y cumplidas por Dock y que los procesos involucrados en el manejo de datos de tarjetas cuenten con los controles definidos por el PCI-DSS (Payment Card Industry – Data Security Standard).

3.1. Principios de Seguridad de la Información

Los principios de la Seguridad de la Información cubren básicamente los siguientes aspectos:

Confidencialidad: Asegurar que el acceso a la información sea obtenido únicamente por personas autorizadas.

Integridad: Garantizar que la información se mantenga en su estado original, a fin de protegerla, en el proceso, transporte y almacenamiento, contra alteraciones indebidas, intencionales o accidentales.

Disponibilidad: Garantizar que los empleados autorizados obtengan acceso a la información y los activos correspondientes cuando sea necesario.

Autenticidad: Valida la autorización del usuario (a través de las credenciales y el proceso de autenticación) para acceder, transmitir y recibir determinada información, confirmando la identidad de los empleados antes de liberar el acceso a los sistemas y recursos, asegurando que no suplanten a personas no autorizadas.

No repudio: O irrenunciabilidad. Asegura que una persona o entidad no pueda negar la autoría de la información proporcionada, como en el caso del uso de certificados digitales para transacciones en línea y firma de documentos electrónicos.

3.2. Programa de Concienciación

Dock cuenta con programas de concienciación y formación con el objetivo de elevar el nivel de formación de todos sus empleados en ciberataques y directrices de Seguridad de la Información.

3.3. Clasificación, Tratamiento y Trazabilidad de la Información

Toda la información es clasificada y controlada de tal forma que se aplican los principios de integridad, confidencialidad, disponibilidad, autenticidad y no repudio, asegurando la trazabilidad según su grado de secreto.

3.4. Control de Acceso y Autenticación

Todo acceso al ambiente de Dock es controlado, monitoreado, restringido, revisado periódicamente y revocado oportunamente al término del contrato de trabajo del empleado o Tercero.

3.5. Seguridad Física y Ambiental

Las áreas e instalaciones de Dock se clasifican en niveles de seguridad para fines de control de acceso físico. El ceremonial de la clave criptográfica respeta los requisitos de seguridad definidos en la versión más actual de PCI-DSS.

3.6. Seguridad en la Nube

En Dock, el uso de servicios en la nube es una estrategia importante para ganar disponibilidad, confiabilidad y escala en sus servicios.

3.7. Controles Criptográficos

Dock desarrolla e implementa controles criptográficos, fuertes estándares de encriptación en tránsito y en reposo, manejo de claves y ceremoniales, de acuerdo a las mejores prácticas en marcos de seguridad, legislación vigente y estándares internos.

3.8. Desarrollo Seguro

Dock cuenta con lineamientos de seguridad para el desarrollo y mantenimiento de aplicaciones y sistemas, con el fin de dirigir la creación y ejecución de estos procesos de manera segura, garantizando un mayor nivel de confiabilidad de los servicios.

3.9. Backup y Continuidad de Negocios

Dock trabaja para proporcionar el más alto nivel de seguridad y disponibilidad para sus productos. Toda la información y sistemas necesarios para el soporte y continuidad de los servicios de Dock son sometidos a los procesos de backup y Plan de Continuidad de Negocios para el restablecimiento y recuperación permanente de las operaciones y actividades durante un evento de interrupción del servicio.

3.10. Pruebas de Seguridad

Dock realiza periódicamente pruebas de intrusión internas y externas, asegurando que sus entornos cumplan con las necesidades de Seguridad de la Información.

3.11. Red Corporativa y Segmentación de Redes

En Dock, las redes y subredes se segmentan para garantizar el control de acceso restringido, la protección y el aislamiento de entornos críticos, de acuerdo con las mejores prácticas de PCI-DSS para garantizar una comunicación segura.

3.12. Correo Electrónico, Mensajería y Transmisión Segura

El servicio de correo electrónico, mensajería, así como otros medios de comunicación puestos a su disposición, deberán ser utilizados exclusivamente para las finalidades, soporte, servicios y objetivos comerciales específicos de Dock.

3.13. Gestión de Vulnerabilidades

Dock realiza periódicamente escaneos en sus entornos para identificar posibles debilidades y vulnerabilidades que puedan comprometer los sistemas. Además, cuenta con el análisis de requerimientos de seguridad desde la concepción (security by design) de nuevos productos.

3.14. Monitoreo Ambiental

Dock cuenta con mecanismos de monitoreo y auditoría de estaciones de trabajo, servidores, correo electrónico, conexiones a internet y dispositivos móviles. Además de mecanismos y prácticas de protección, prevención, detección y corrección para garantizar la seguridad de la información de Dock.

3.15. Sistemas de Detección y Prevención de Intrusos

Para evitar la fuga de datos, Dock utiliza soluciones especializadas para monitorear alertas sobre sospechas de movimientos atípicos, incluidas las transferencias de información por correo electrónico.

3.16. Sistemas Antivirus y Antispyware

Dock tiene soluciones Antivirus y Antispyware instaladas en todos sus servidores y estaciones de trabajo de los empleados.

3.17. Hardware y Software

Todos los procesos que involucran el ciclo de vida de los sistemas corporativos, incluyendo el hardware y software Dock, siguen las mejores prácticas y recomendaciones en Seguridad de la Información.

3.18. Plan de Respuesta a Incidentes de Seguridad de la Información

Dock cuenta con estrategias de monitoreo, observación y respuesta ante incidentes de Seguridad de la Información, cubriendo todos los productos críticos, además de observar siempre la legislación vigente aplicable a la operación.

3.19. Escenarios de Incidentes

Dock realiza pruebas de escritorio para probar la efectividad de los planes de respuesta a ciberataques para escenarios relevantes. Además, se realizan mejoras continuas de acuerdo a los resultados observados.

3.20. Privacidad

La privacidad de los clientes, empleados y socios es un tema prioritario para Dock. Para más detalles sobre cómo se procesan, recopilan, usan y divulgan los datos personales, acceda al Portal de Privacidad de la Dock.

4. Definiciones

Dock Ltd. y sus filiales/Dock: Incluyen todas las empresas y CNPJs del grupo Dock Tech, Dock Ip, Bpp, Cacao, Dock Colombia y el resto de Latinoamérica.

PCI DSS: El acrónimo de Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (Payment Card Industry Data Security Standard) se desarrolló para fomentar y mejorar la seguridad de los datos de los titulares de tarjetas y promover la adopción generalizada de medidas de seguridad de datos coherentes en todo el mundo.

Accesos Lógicos: Un conjunto de controles de hardware y software diseñados para proteger la información y brindar acceso solo a los empleados que tienen permiso.

Terceros: Empresas proveedoras, prestadoras de servicios, socios comerciales o terceros en sentido estricto (Recurso humano, persona jurídica simple que no forma parte de la estructura organizativa interna de Dock, destinada por un tiempo determinado a realizar la prestación del servicio).

Entre en contacto