Seguridad de la información
HDI SEGUROS, S.A. DE C.V.
SEGURIDAD DE LA INFORMACIÓN APLICABLE A PROVEEDORES DE HDI SEGUROS
Código: POL-SG-04
Versión: 29/07/2024
1.- PROPÓSITO
Dar a conocer los lineamientos aplicables para mitigar los posibles riesgos asociados con el acceso, uso y tratamiento de la información, sistemas de información y/o recursos de HDI SEGUROS, que deben ser observados por parte de los proveedores contratados y subcontratados con la finalidad de salvaguardar la confidencialidad, integridad y disponibilidad de la información.
2.- ALCANCE
Aplica a los proveedores contratados por HDI SEGUROS y los subcontratados por los mismos.
3.- DEFINICIONES
| Término | Definición |
|---|---|
| Confidencialidad | Principio de seguridad de la información, la información debe estar al alcance solo para individuos, entidades y procesos autorizados. |
| Disponibilidad | Principio de seguridad de la información, la información será utilizada por las personas autorizadas cuando estas lo requieran. Es la propiedad de ser accesible y utilizable a la demanda de una entidad autorizada. |
| Integridad | Principio de seguridad de la información, la información solo puede ser modificada o eliminada de maneras autorizadas. Es la propiedad de exactitud y completitud del activo considerando todas las posibles causas de modificación y fallos de software y hardware. |
| Incidente de seguridad | Suceso en un activo y/o control que compromete las operaciones del negocio y pone en riesgo la seguridad de la información (brecha en las políticas de seguridad de la información, falla de un control de seguridad de la información o una situación desconocida). |
| LFPDPPP | Ley Federal de Protección de Datos Personales en Posesión de los Particulares. |
| Malware | Software de carácter malicioso con el objetivo de provocar daño o infiltrarse en los sistemas de información. |
| Riesgo | Medida o grado utilizado para determinar cuándo una entidad se ve amenazada por una circunstancia o evento potencial en función de: (i) los impactos adversos que surgirían si se produjera la circunstancia o evento; y (ii) la probabilidad de ocurrencia. |
| Software antimalware | Tipo de software desarrollado para detectar, prevenir y eliminar software malicioso que pueda representar una posible amenaza. |
4.- LINEAMIENTOS
4.1 El responsable del contrato de HDI SEGUROS, debe asegurar el conocimiento de esta política por parte del proveedor y sus colaboradores; así como también, las cláusulas de confidencialidad y aviso de privacidad, establecidos dentro del contrato.
4.2 El proveedor deberá asegurar la protección de datos personales de acuerdo con lo establecido en la LFPDPPP y demás normativa aplicable, para contribuir a las prácticas que tiene implementado HDI SEGUROS en función de su certificación.
4.3 Los proveedores que colaboren con HDI SEGUROS deben garantizar en todo momento que la información entregada, sea resguardada de tal forma que disminuya la probabilidad de eventos de pérdida o fuga de la información.
4.4 Los proveedores que colaboren con HDI SEGUROS deberán garantizar y comprobar que cuentan con procedimientos y/o protocolos establecidos para la prevención de fuga o divulgación no autorizada de información.
4.5 Es responsabilidad del proveedor, informar a HDI SEGUROS sobre la actualización de altas y bajas de su personal; así como también, de brindarles la formación y capacitación tanto en las actividades a realizar como en materia de seguridad de la información.
4.6 El proveedor deberá comprometerse a que sus colaboradores que tengan asignados usuarios con acceso a la información, sistemas y recursos de HDI SEGUROS, utilicen los principios de autenticación básicos de los controles de acceso e identificación.
4.7 Cuando se subcontraten servicios por parte del proveedor de HDI SEGUROS, éste deberá garantizar que la empresa subcontratada cumpla con las políticas de seguridad de la información de HDI SEGUROS.
4.8Los proveedores de HDI SEGUROS deberán permitir la realización de auditorías de seguridad, colaborando con el equipo auditor y facilitando todas las evidencias requeridas.
4.9 La terminación de la relación contractual con HDI SEGUROS no implica la inaplicabilidad o nulidad de los acuerdos de confidencialidad ni de propiedad intelectual vigentes durante la duración del contrato.
4.10 Toda la información a la que tenga acceso el proveedor será catalogada de acuerdo con las categorías de clasificación establecidas por HDI SEGUROS.
4.11 Los proveedores deben comprometerse a utilizar los recursos corporativos a los que tenga acceso, de acuerdo con las políticas de seguridad de HDI SEGUROS.
4.12 En caso de detectar que algún proveedor, o su personal, utilizan de forma indebida recursos o información de HDI SEGUROS, éste será informado a fin de que realice las acciones correspondientes. HDI SEGUROS podrá ejecutar acciones que amparen la protección de sus activos.
4.13 En caso de surgir una controversia por divulgación accidental o intencionada de información de HDI SEGUROS que sea de carácter confidencial o interna, será responsabilidad de la parte que divulgó dicha información.
4.14 El proveedor deberá asegurar, al término del servicio contratado, que todos los datos proporcionados sean destruidos de manera segura, entregando una certificación por escrito que confirme la destrucción, la cual deberá incluir los detalles sobre los métodos utilizados y la fecha en que se realice el procedimiento. HDI SEGUROS sugiere (más no limita) los siguientes métodos de destrucción:
Borrado de Datos Digitales: Utilizar métodos de borrado seguro como la sobreescritura de datos (mínimo tres pasadas) o la desmagnetización (degaussing).
Destrucción Física de Soportes: Los dispositivos de almacenamiento como discos duros, cintas de respaldo y dispositivos USB deben ser destruidos físicamente mediante trituración, incineración o cualquier otro método que garantice la imposibilidad de recuperación de datos.
Documentos en Papel: Los documentos impresos deben ser triturados usando trituradoras de seguridad de nivel adecuado.
4.15 El proveedor que maneje información confidencial de HDI Seguros deberá asegurar, al término del servicio contratado, la devolución de información de acuerdo con las siguientes especificaciones:
4.15.1 Compilar y preparar toda la información proporcionada, asegurando que esté completa y en un formato accesible para la organización.
4.15.2 La devolución de la información se deberá realizar a través de medios seguros sugeridos (más no limitativos) tales como: Transferencia encriptada por medio de canales seguros (por ejemplo, SFTP, TLS/SSL) y la entrega física de medios de almacenamiento seguros (por ejemplo, discos duros encriptados, VPN, correo electrónico cifrado).
4.15.3 Una vez confirmada la devolución de la información, el proveedor deberá eliminar toda copia de la información de sus sistemas y proporcionar un certificado de destrucción a la organización.
4.16 Queda prohibido el uso de programas informáticos sin la licencia correspondiente de los sistemas de información de HDI SEGUROS. Así como también, el uso, reproducción, cesión, transformación o comunicación pública de cualquier tipo de obra o invención protegida por la propiedad intelectual sin la debida autorización de HDI SEGUROS.
4.17 Los equipos de cómputo utilizados por personal del proveedor deberán cumplir con los siguientes elementos:
4.17.1 Garantizar y comprobar a través de evidencia que los equipos utilizados en el servicio proporcionado a la compañía cuentan con software de protección actualizado: firewall, antimalware, etc.
4.17.2 El software de antimalware deberá configurarse para realizar análisis automáticos periódicos (al menos una vez por semana) y análisis en tiempo real de todos los archivos y programas.
4.17.3 Todos los sistemas operativos y aplicaciones utilizadas en los equipos deberán mantenerse actualizados con los más recientes parches de seguridad y actualizaciones de software.
4.17.4 Proporcionar evidencia de la actualización de parches de seguridad y software en los equipos utilizados en el servicio proporcionado.
4.17.5 Establecer procedimientos para aplicar las actualizaciones de manera oportuna y preferiblemente de forma automática.
4.17.6 Utilizar contraseñas robustas y únicas, cambiadas regularmente y siguiendo las mejores prácticas de seguridad.
4.17.7 Implementar la autenticación multifactor (MFA), en los equipos utilizados en el servicio proporcionado.
4.17.8 Establecer procedimientos de monitoreo continuo para detectar y responder a incidentes de seguridad relacionados con malware. En caso de detección de malware, se debe aislar él (o los) equipo(s) afectado y notificar inmediatamente a HDI sobre el incidente, siguiendo los procedimientos de respuesta a incidentes acordados.
4.18 Cualquier tipo de intercambio de información entre HDI SEGUROS y sus proveedores se entenderá que ha sido establecido dentro del marco del contrato y ambas partes deberán cumplir con los acuerdos que se hayan formalizado dentro del mismo.
4.19 El proveedor deberá garantizar que los recursos de HDI SEGUROS a los que tenga acceso, sean utilizados exclusivamente para las finalidades y obligaciones contratados.
4.20 Al término del servicio contratado, todo acceso físico y/o lógico a las instalaciones, servicios y/o sistemas pertenecientes a HDI SEGUROS, deberá inhabilitarse (incluyendo los accesos remotos). El responsable del contrato deberá corroborar la inhabilitación de los accesos.
4.21 Los proveedores deberán comunicar de manera inmediata cualquier incidente o debilidad de seguridad de la información a través del correo seguridad.delainformacion@hdi.com.mx con los datos necesarios para establecer contacto a la brevedad por parte de HDI SEGUROS.
4.22 En caso de incumplimiento de cualquiera de estas obligaciones, HDI SEGUROS se reserva el derecho de adoptar las medidas sancionadoras que se consideren pertinentes en relación con la empresa contratada, y que pueden llegar a la resolución de los contratos que tenga vigentes con dicha empresa.