Política de Seguridad de la información.

1 Historia de Cambios al Documento

2 Propósito

Definir las políticas y lineamientos que rigen la seguridad de la información.

3 Alcance

Se limita su alcance a los activos tangibles e intangibles de la empresa, personal, procesos, servicios e infraestructura gestionados por ImagenSoft que dan soporte al proceso de proveedor de software de control volumétrico.

4 Definición de seguridad de la información de la empresa

En ImagenSoft el término de Seguridad de la Información se define como el conjunto de medidas, buenas prácticas y controles, sean estos definidos por la propia organización o por la autoridad competente, enfocados en garantizar la confidencialidad, la integridad y la disponibilidad de la información y los datos relevantes para la organización, independientemente del formato que tengan.

5 Política de Seguridad de la Información

En ImagenSoft se cumple con los principios de integridad, confidencialidad y disponibilidad de la información concerniente a los colaboradores, clientes, proveedores, socios y entidades gubernamentales, necesaria para desempeñar la relación jurídica vigente y de prospección comercial, la cual se encuentra en la infraestructura tecnológica, documentación organizacional y personal autorizado bajo nuestro control y responsabilidad, gestionando constantemente medidas tecnológicas, administrativas y físicas que atiendan el riesgo de vulneración considerando primordialmente cumplimiento legal y normativo aplicable. Toda la infraestructura que procesa transfiere y almacena información para ImagenSoft cuenta con los más altos niveles de seguridad con el objetivo de proveer confidencialidad a los datos que sean proporcionados.

6 Marco de referencia de seguridad de la información utilizado por la empresa

  • Estándar ISO 27001:2013
  • Matriz de Controles para la Revisión de Seguridad para Hidrocarburos
  • Recomendaciones emitidas por el INAI (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales) para la protección de Datos Personales
  • Cybersecurity Framework
  • ITIL (IT Infrastructure Library)
  • Open Web Application Security Project (OWASP)

7 Normatividad y legislación vigente aplicable a la empresa respecto a la seguridad de la información

  • Ley Federal de Protección de Datos Personales en Posesión de Particulares
  • Ley Federal del Trabajo
  • Matriz de Controles para la Revisión de Seguridad para Hidrocarburos
  • Código Fiscal de la Federación Ultima Reforma Artículo 28 para 2020 publicado en el DOF el lunes 9 de diciembre de 2019.
  • Resolución Miscelánea Fiscal Segunda Sección Poder Ejecutivo para 2020, publicado en el DOF el sábado 28 de diciembre 2019 Capítulo 2.6 de los controles volumétricos, de los certificados y de los dictámenes de laboratorio aplicables a hidrocarburos y petrolíferos.

8 Roles y responsabilidades de la seguridad de la información

9 Medidas disciplinarias en caso de incumplimientos a la política

Previo a la aplicación de las sanciones, la organización investigará los hechos y escuchará a las personas involucradas, para determinar la existencia de una violación a las obligaciones establecidas, gravedad de la situación, impacto a la organización, partes interesadas u obligaciones de cumplimiento afectadas, de forma tal que se lleven a cabo las actividades prudentes previstas por la normatividad aplicable.· Posteriormente y considerando la gravedad de la falta, la clasificación del puesto, sus incidencias determinará las sanciones correspondientes. Garantizando en todo momento al colaborador su derecho a que se le escuche en defensa.

9.1.1 PERSONAL INTERNO

La Empresa podrá disciplinar a sus Empleados apercibiéndoles, amonestándolos, suspendiéndolos temporalmente sin goce de sueldo, o rescindiéndoles el contrato de trabajo sin responsabilidad para la Empresa según sea la gravedad de la falta y bajo el marco regulatorio y legal vinculante.

El Representante Legal o quien este faculte expresamente serán las únicas personas autorizadas para aplicar las medidas disciplinarias vigentes.

9.1.2 PERSONAL EXTERNO

La Empresa podrá disciplinar a sus Terceros o personal prestadores de servicios apercibiéndoles, suspendiendo temporalmente o indefinidamente la relación comercial presente, haciendo válidas las penalizaciones por incumplimientos de acuerdos establecidos entre las partes interesadas o rescindiéndoles el contrato sin responsabilidad para la Empresa según sea la gravedad de la falta y en términos de Ley.

El Representante Legal o quien este faculte expresamente serán las únicas personas autorizadas para aplicar las medidas disciplinarias vigentes.

10 Lineamientos para asegurar la Confidencialidad, Integridad y Disponibilidad de la información ubicada en la infraestructura del proveedor de servicios en la nube

En las situaciones en que se requiera contratar servicios de tratamiento o resguardo de activos de información, tales como hosting, servicios en la nube, mecanismos de respaldo y recuperación de información, plataforma tecnológica, centros de datos y procesamiento, almacenaje de información física o digital, entre otros, se deberá verificar que el proveedor cuenta con mecanismos y controles de seguridad adecuados a las obligaciones de cumplimiento aplicables a ImagenSoft.

La Alta Dirección en conjunto con el personal relevante para el caso serán los encargados de evaluar la evidencia mostrada por el proveedor de servicios respecto a los controles implementados sobre Seguridad de la Información por parte del tercero, con el objeto de que pueda identificarse claramente que el proveedor de servicios cuenta con controles de Seguridad que privilegian Confidencialidad, Integridad y Disponibilidad durante las etapas de prestación de servicios, donde la efectividad de los controles implementados por el prestador de servicio es satisfactoria y afín al apetito de riesgo para lo requerido por ImagenSoft.

Deberá generarse evidencia del cumplimiento de los puntos anteriormente citados. Únicamente tras validarse la información proporcionada es que se podrá formalizar la relación jurídica con el nivel de aseguramiento legal necesario.

11 Aspectos contractuales de seguridad de la información con proveedores

Cuando se requiera elaborar un contrato particular con proveedores que tenga relación con servicios de tratamiento, manipulación, transmisión o almacenamiento de activos de información, ya sea en formato físico o digital, las medidas administrativas acordadas entre las partes interesadas deberán aportar las evidencias que den sustento al marco de Seguridad de la Información que el proveedor asegura mantener implementado, en la medida de lo posible y de llegar a un acuerdo entre las partes, adicionalmente se integrarán a los documentos que establecen la prestación de servicios y relación comercial, cláusulas de seguridad que permitan garantizar el cumplimiento de la confidencialidad, integridad y disponibilidad de la información, tales como acuerdos de niveles de servicios (SLA), derechos de auditar por parte de ImagenSoft los procesos que se llevan a cabo por el prestador de servicios, procedimientos aplicados frente a incidentes de seguridad, cláusulas de confidencialidad y no divulgación de información, como la extensión de dichos deberes a empresas subcontratadas.

Una vez formalizado el acuerdo de suministro de insumos o servicios, ImagenSoft establecerá mecanismos para verificar el cumplimiento de acuerdos de niveles de servicio (SLA) anteriormente formalizados y aquellos que, en virtud de cumplimiento de los compromisos adquiridos por ImagenSoft, habrán de formalizarse posterior a los acuerdos iniciales.

Dirección General designará a los responsables de incorporar en su control de monitoreo la disponibilidad de los servicios tecnológicos, plataformas de infraestructura y los sistemas de información que sean entregados por el proveedor, con la finalidad de medir los niveles del servicio y gestionar de manera oportuna cualquier incidente que se relacionen con Seguridad de la Información. En situaciones donde proveedores requieran hacer instalaciones de activos de información de carácter tecnológico, tales como servidores, equipos de red, equipos de soporte, entre otros relacionados con la operación del proveedor de software de control volumétrico, será requisito base implementar configuraciones que cumplan con el estándar de seguridad establecido por ImagenSoft, el acceso por parte de los proveedores a los activos de información es controlado y supervisado por personal administrativo y/o técnico de ImagenSoft, según sea el caso. En las áreas protegidas o de alto riesgo, se deberán establecer procedimientos que tengan por objeto gestionar la forma en que se realizarán los trabajos por parte del prestador de servicios, quien deberá apegarse a las condiciones de operación al interior de ImagenSoft, considerando la implementación de controles detectivos, preventivos y/o correctivos que permitan dar respuesta a cualquier evento.

En caso de desviación de los compromisos adquiridos o de algún SLA durante la entrega de servicios e insumos a ImagenSoft, se deberán acordar formalmente por medios autorizados los compromisos definidos para corregir, mejorar o solventar la entrega o desviaciones de cumplimiento por parte del proveedor en un tiempo aceptable, el cual no afecte de manera significativa los compromisos de ImagenSoft.

En caso de reincidencia o incumplimiento a los compromisos definidos, se procederá al término formal del servicio o provisión de insumos sin perjuicio de ImagenSoft.

12 Periodos programados y extraordinarios para revisión del documento

Se implementan periodos Programados bajo las siguientes consideraciones;

  • Conforme a la periodicidad establecida en la Matriz de Controles para la Revisión de Seguridad para Hidrocarburos vigente (por lo menos cada 6 meses)
  • Como resultado de las Revisiones Independientes de la Seguridad de la Información.
  • Debido a modificaciones de las disposiciones legales aplicables y previas a su entrada en vigor.
  • Revisiones de cumplimiento realizadas por las autoridades competentes.
  • Como resultado de la revisión parcial o total de la estructura documental sobre Seguridad de la Información realizada por Personal Interno

La documentación también será revisada de manera extraordinaria en caso de algún evento no programado que requiera respuesta a la brevedad posible por parte de la organización, por ejemplo;

  • Una auditoria del SAT.
  • Cambios en el entorno legal y operativo del proceso de controles volumétricos.
  • Modificaciones a las obligaciones de cumplimiento bajo las cuales debe regirse la operación de la organización.
  • Como respuesta a algún incidente que pudiese causar afectación a los requerimientos o SLAs requeridos por el SAT.
  • Cuando la estrategia de Continuidad se vea impactada y el proveedor de software de control volumétrico deba modificar sus operaciones para favorecer la Resiliencia de la organización.

13 Compromiso y participación activa de la Alta Dirección con la seguridad de la información

La Alta Dirección reconoce su responsabilidad en el compromiso de proteger la información como estrategia de negocio, al entender que la protección a la confidencialidad, integridad y disponibilidad de la información es esencial para los activos tangibles e intangibles bajo control de la organización, por esa razón uno de sus objetivos primordiales es designar los recursos técnicos, humanos, financieros y estratégicos para garantizar la misión, visión, obligaciones y/o normatividad vigente inherente a sus obligaciones de cumplimiento, privilegiando factores enfocados a seguridad de la información en respuesta al apetito de riesgo al interior de la organización.

La Alta Dirección apoya la seguridad dentro de la organización mediante una orientación clara, compromiso demostrado y una asignación de las responsabilidades de seguridad informática y su reconocimiento dentro de la operación de ImagenSoft:

  • Gestiona las actividades para que los objetivos de Seguridad de la Información estén identificados, cumplen los requisitos de la organización y están integrados en los procesos principales.
  • Apoyar activamente la implementación y gestión de las medidas de seguridad de la información.
  • Asegurar que los controles implementados estén incluidos en los procesos de negocio.
  • Gestionar los recursos necesarios para la administración y cumplimiento de los controles de seguridad de la información.
  • Asegurar que sean obtenidos los resultados esperados en la gestión de la seguridad.
  • Promover la mejora continua dentro de la organización.
  • Apoyar las funciones y responsabilidades relevantes.
  • Promover la concientización y adquisición de conocimientos por parte de todos los colaboradores.

Respecto a las funciones estratégicas y de gestión adicionales, la Alta Dirección podrá asignarlas formalmente a colaboradores de ImagenSoft.

14 Firma de autorización del documento

15 Evidencias

Para acreditar que la política de seguridad de la información está publicada y disponible deberá entregar cualquiera de los siguientes elementos: Capturas de pantalla de disponibilidad en intranet, o publicación en áreas comunes, o en medio de difusión internos para proveedores o correos electrónicos de comunicación de la política.
Las evidencias que corresponden al resultado de este documento se encuentran en el folder: [C01-Política de Seguridad de la Información/ Evidencias].

Política de clasificación de la información

1 Historia del documento

2 Propósito

Definir las políticas que rigen la clasificación de la información.

3 Alcance

Las políticas de Clasificación de la Información abarcan la información física y lógica, de toda la organización. Inicia con la clasificación de la información a la cual se tiene acceso autorizado y termina con el archivo de la misma.

4 Definición de la clasificación de la información de la empresa

La Clasificación de la Información, es definida por la empresa como una catalogación de la información debido a la importancia de su contenido, esto sin importar si la información es tangible o intangible. Dependiendo de dicha clasificación, se dará un trato distinto a cada uno de los activos en cuanto a su resguardo y nivel de acceso

5 Normatividad y legislación vigente aplicable a la empresa para la clasificación de la información

  • Ley Federal de Protección de Datos Personales en Posesión de Particulares
  • Ley Federal del Trabajo
  • Matriz de Controles para la Revisión de Seguridad para Hidrocarburos
  • Código Fiscal de la Federación Ultima Reforma Artículo 28 para 2020 publicado en el DOF el lunes 9 de diciembre de 2019.
  • Resolución Miscelánea Fiscal Segunda Sección Poder Ejecutivo para 2020, publicado en el DOF el sábado 28 de diciembre 2019 Capítulo 2.6 de los controles volumétricos, de los certificados y de los dictámenes de laboratorio aplicables a hidrocarburos y petrolíferos.

6 Política

La Gerencia de Infraestructura de ImagenSoft para afirmar la seguridad y protección de los activos de información, definen e implementa una serie de controles de acuerdo a su necesidad comercial, considerando los siguientes aspectos para su correcta clasificación:

  • Toda la información física o lógica de la organización es clasificada en los siguientes niveles de acuerdo a su grado de sensibilidad: Confidencial, Privada y Pública.
  • La información de la organización que no se encuentre clasificada o etiquetada se considera confidencial.
  • La información clasificada puede ser reclasificada según el criterio de su propietario o por requerimientos legales.
  • La información se debe clasificar de acuerdo a los niveles de protección de acuerdo al riesgo, prioridad y grado de protección del activo.
  • La información deberá etiquetarse con su nivel de clasificación una vez autorizada.
  • El documento de Inventario de Activos deberá de contener las etiquetas correspondientes de la información clasificada.

Se considera información cualquier dato que sea utilizado para la actividad comercial y operativa de ImagenSoft cualquiera que sea su forma y medio de conservación o comunicación:

  • Documentación oficial.
  • Registros.
  • Formatos.
  • Procedimientos
  • Instructivos o Manuales
  • Políticas
  • Información en los sistemas.
  • Soportes magnéticos móviles o fijos.
  • Equipos de telecomunicaciones móviles o fijas.
  • Formularios
  • Informes o reportes de los sistemas de información
  • Verbal o escrita

6.1 Niveles de clasificación

  • Para garantizar los principios básicos de la seguridad de la información (confidencialidad, integridad y disponibilidad), ImagenSoft define los siguientes criterios de clasificación:
    a. Información Confidencial: Se considera confidencial, aquella información que por su acceso no autorizado represente algún riesgo económico, comercial o legal para ImagenSoft.
    En esta clasificación se contemplan los siguientes grupos de Datos Personales;
    • Datos personales sensibles de la Ley, es decir, aquéllos que afecten a la esfera más íntima de su titular. Por ejemplo, se consideran sensibles los que puedan revelar aspectos como origen racial o étnico, estado de salud pasado, presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual, hábitos sexuales y cualquier otro cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave a la integridad del titular.
    • Información adicional de tarjeta bancaria que considera el número de la tarjeta de crédito y/o débito mencionado anteriormente en combinación con cualquier otro dato relacionado o contenido en la misma, por ejemplo, fecha de vencimiento, códigos de seguridad, datos de banda magnética o número de identificación personal (PIN).
    • Los datos de autenticación con información referente a contraseñas.

  • b. Información Privada: Se considera privada, aquella información que su acceso es restringido por su propietario para los empleados de la organización, donde se ve comprometida la integridad y disponibilidad de procesos internos de ImagenSoft.
    En esta clasificación se contemplan los siguientes grupos de Datos Personales;
    • Datos Personales de identificación, contacto, datos laborales y académicos de una persona física identificada o identificable, tal como: nombre, teléfono, edad, sexo, RFC, CURP, estado civil, dirección de correo electrónico, lugar y fecha de nacimiento, nacionalidad, puesto de trabajo, lugar de trabajo, experiencia laboral, datos de contacto laborales, idioma o lengua, escolaridad, trayectoria educativa, títulos, certificados, cédula profesional, entre otros.
    • Los datos que permiten conocer la ubicación física de la persona, tales como la dirección física e información relativa al tránsito de las personas dentro y fuera del país.
    • Aquéllos que permitan inferir el patrimonio de una persona, que incluye entre otros, los saldos bancarios, estados y/o número de cuenta, cuentas de inversión, bienes muebles e inmuebles, información fiscal, historial crediticio, ingresos, egresos, buró de crédito, seguros, afores y fianzas. Incluye el número de tarjeta bancaria de crédito y/o débito.
    • Datos de autenticación con información referente a los usuarios, información biométrica (huellas dactilares, iris, voz, entre otros), firma autógrafa y electrónica y cualquier otro que permita autenticar a una persona.
    • Datos jurídicos tales como antecedentes penales, amparos, demandas, contratos, litigios y cualquier otro tipo de información relativa a una persona que se encuentre sujeta a un procedimiento administrativo seguido en forma de juicio o jurisdiccional en materia laboral, civil, penal o administrativa.

  • c. Información Pública: Se considera pública toda información que ha sido declarada de conocimiento público por su propietario. Su acceso, uso, disponibilidad, no representa algún riesgo para ImagenSoft.
    Los datos personales provistos por suscriptores de servicios contratados con ImagenSoft no son tratados como información pública.
  • 6.2 Directrices de clasificación

    Se consideran los siguientes aspectos generales para la clasificación:

    • Cada área debe asegurar la clasificación de los activos de información que tengan a su custodia.
    • Todos los archivos, base de datos, e-mail, registros sensibles de la operación, cualquier obtención física o lógica almacenadas o en tránsito que contengan diferentes niveles de clasificación se protegen según el nivel más alto.
    • Los colaboradores no deben tener información confidencial de la organización almacenada en sus en dispositivos móviles o equipos de escritorio.
    • La información digital de ImagenSoft que se encuentra almacenada en dispositivos de propiedad tercerizada debe ser resguardada y eliminada antes de la devolución.

    7 Roles y responsabilidades para la clasificación de la información

    8 Medidas disciplinarias en caso de incumplimientos a la política.

    Previo a la aplicación de las sanciones, la organización investigará los hechos y escuchará a las personas involucradas, para determinar la existencia de una violación a las obligaciones establecidas, gravedad de la situación, impacto a la organización, partes interesadas u obligaciones de cumplimiento afectadas, de forma tal que se lleven a cabo las actividades prudentes previstas por la normatividad aplicable.· Posteriormente y considerando la gravedad de la falta, la clasificación del puesto, sus incidencias determinará las sanciones correspondientes. Garantizando en todo momento al colaborador su derecho a que se le escuche en defensa.

    8.1.1 PERSONAL INTERNO

    La Empresa podrá disciplinar a sus Empleados apercibiéndoles, amonestándolos, suspendiéndolos temporalmente sin goce de sueldo, o rescindiéndoles el contrato de trabajo sin responsabilidad para la Empresa según sea la gravedad de la falta y bajo el marco regulatorio y legal vinculante.

    El Representante Legal o quien este faculte expresamente serán las únicas personas autorizadas para aplicar las medidas disciplinarias vigentes.

    8.1.2 PERSONAL EXTERNO

    La Empresa podrá disciplinar a sus Terceros o personal prestadores de servicios apercibiéndoles, suspendiendo temporalmente o indefinidamente la relación comercial presente, haciendo válidas las penalizaciones por incumplimientos de acuerdos establecidos entre las partes interesadas o rescindiéndoles el contrato sin responsabilidad para la Empresa según sea la gravedad de la falta y en términos de Ley.

    El Representante Legal o quien este faculte expresamente serán las únicas personas autorizadas para aplicar las medidas disciplinarias vigentes.

    9 Aspectos de clasificación de la información para proveedores

    Atendiendo a la cadena de suministro, con el objetivo de mantener el cumplimiento de los acuerdos de niveles de servicio (SLA) comprometidos con clientes y autoridades relevantes, la organización establece medidas de seguridad de la información con el objeto de preservar la confidencialidad, integridad y disponibilidad de la información, por lo que en la contratación de servicios proporcionados por personal externo a ImagenSoft se implementaran medidas físicas, técnicas y/o administrativas que atiendan las siguientes temáticas:

  • Protección de Datos Personales
  • Seguridad de la Información
  • Reconocimiento por parte del personal externo respecto al adecuado tratamiento de los activos y la Información generada, almacenada, transmitida y procesada en infraestructura del tercero prestador de servicios, misma que es propiedad de ImagenSoft en todo momento.
  • 9.1 Directrices de clasificación de información para terceros

    La clasificación para los activos de información, descrita en este documento es de observancia general para todo personal interno y externo, proveedores y/o terceros involucrados con las operaciones de proveedor de software de control volumétrico.

    9.2 Cláusulas de clasificación de información

    Los proveedores y terceros que, por cualquier circunstancia deban tener acceso a alguno de los activos de información propiedad de ImagenSoft deberán en todo momento observar y respetar el grado de clasificación marcada para el activo tangible e intangible.
    Asimismo, en caso de que el proveedor o tercero sea el generador de un nuevo activo de información, deberá etiquetarlo previo a su versión final, de acuerdo con la clasificación descrita en esta política. La clasificación del nuevo activo deberá ser revisada y aprobada por personal autorizado en ImagenSoft.

    9.3 Manuales de clasificación de información para proveedores

    ImagenSoft entera oportunamente a sus proveedores el esquema de tratamiento de información aceptable, controles de seguridad asociados y mecanismos definidos por la organización que privilegien seguridad y propiedad de la información, propiedad intelectual y debido tratamiento de datos personales, de conformidad con lo establecido en los controles implementados orientados en establecer las responsabilidades del personal externo.

    10 Periodos programados y extraordinarios para revisión del documento

    Se implementan periodos Programados bajo las siguientes consideraciones;

    • Conforme a la periodicidad establecida en la Matriz de Controles para la Revisión de Seguridad para Hidrocarburos vigente.
    • Como resultado de las Revisiones Independientes de la Seguridad de la Información.
    • Debido a modificaciones de las disposiciones legales aplicables y previas a su entrada en vigor.
    • Revisiones de cumplimiento realizadas por las autoridades competentes.
    • Como resultado de la revisión de la revisión de la estructura documental sobre Seguridad de la Información realizada por Personal Interno

    La documentación también será revisada de manera extraordinaria en caso de algún evento no programado que requiera respuesta a la brevedad posible por parte de la organización, por ejemplo;

    • Una auditoria del SAT.
    • Cambios en el entorno legal y operativo del por proveedor de software de control volumétrico.
    • Modificaciones a las obligaciones de cumplimiento bajo las cuales debe regirse la operación de la organización.
    • Como respuesta a algún incidente que pudiese causar afectación a los requerimientos o SLAs requeridos por el SAT.
    • Cuando la estrategia de Continuidad se vea impactada y el por proveedor de software de control volumétrico deba modificar sus operaciones para favorecer la Resiliencia de la organización.

    11 Firma de autorización del documento

    12 Evidencias

    La política de clasificación de la información esta publicada y disponible en intranet, en áreas comunes o publicación en medio de difusión internos.
    Las evidencias que corresponden al resultado de este documento se encuentran en el folder: [C08-Política de Clasificación de la Información/Evidencias].