Conozcámonos
Facebook X-twitter Linkedin
Conozcámonos
Facebook X-twitter Linkedin

Pautas de seguridad de la información para Proveedores

Política de Seguridad 

Política general de Seguridad de la Información

La Dirección de Acevedo, como política general de la empresa, garantiza la adecuada gestión de la Seguridad de la Información procesada y/o albergada por los sistemas y servicios contemplados en el alcance. Para desarrollar esta política, la Dirección de Acevedo se compromete a: 

  • Llevar a cabo un análisis de riesgos periódico que permita mantener una adecuada visión de los riesgos de Seguridad de la Información a los que están expuestos los activos y desarrollar las medidas necesarias para limitar y reducir dichos riesgos, definiendo las medidas de seguridad a establecer. 
  • Desarrollar una completa normativa de seguridad que regule las condiciones en las que la empresa, dentro del alcance establecido, debe desarrollar su actividad para respetar los requerimientos de seguridad establecidos. 
  • Destinar los recursos y medios necesarios para desarrollar todas las medidas de seguridad que se determinen, manteniendo un adecuado balance entre coste y beneficio. 
  • Establecer un plan de formación y concienciación en materia de Seguridad de la Información que ayude a todo el personal implicado a conocer y cumplir las medidas de seguridad establecidas y a participar de forma proactiva en la gestión de la Seguridad de la Información. 
  • Desarrollar todas las medidas necesarias para garantizar la adecuada gestión de los incidentes de seguridad que puedan producirse, y que permitan la resolución tanto de las incidencias menores como de las situaciones que puedan poner en riesgo la continuidad de las actividades contempladas. 
  • Establecer periódicamente un conjunto de objetivos e indicadores en materia de Seguridad de la Información que permitan el adecuado seguimiento de la evolución de la seguridad dentro de la empresa. 
  • Establecer una metodología de revisión, auditoría y mejora continua del sistema, siguiendo un ciclo PDCA que garantice el mantenimiento continuo de los niveles de seguridad deseados. Acevedo establece los procedimientos y formas de actuación necesarias para garantizar el correcto desarrollo de esta política, que se plasman en un sistema de seguridad, documentado y conocido por todo el personal de Acevedo, y que cumple los requisitos establecidos en la norma. 
  1. Principios Generales 

Tal y como se ha establecido en el ámbito de aplicación, todo el personal externo que desarrolle labores para Acevedo deberá cumplir con la Política de Seguridad recogida en el presente documento. En caso de incumplimiento de cualquiera de estas obligaciones, Acevedo se reserva el derecho de veto sobre el personal externo que haya cometido la infracción, así como la adopción de las medidas sancionadoras que se consideren pertinentes en relación a la empresa contratada, y que pueden llegar a la resolución de los contratos que tenga vigentes con dicha empresa. Todo el personal que acceda a los sistemas de información de Acevedo deberá seguir las siguientes normas de actuación: 

  • Proteger la información confidencial perteneciente o cedida por terceros a Acevedo de toda revelación no autorizada, modificación, destrucción o uso incorrecto, ya sea accidental o no. 
  • Proteger todos los sistemas de información y redes de telecomunicaciones contra accesos o usos no autorizados, interrupciones de operaciones, destrucción, mal uso o robo. 
  • Para obtener el acceso a los sistemas de información propios o bajo supervisión de Acevedo será necesario disponer de un acceso autorizado. 
  • Será necesario conocer, aceptar y cumplir la presente Política antes de poder acceder a los sistemas de información de Acevedo. 
  • De forma adicional, todo el personal con responsabilidades específicas dentro del ámbito de actuación indicado deberá asegurarse de que se cumplen las siguientes medidas: 
  • Con carácter general, todo diseño, desarrollo, implementación y operación deberá incorporar mecanismos de identificación, autenticación, control de acceso, auditoría e integridad, que se especificarán para cada caso concreto. 
  • Se deberán incorporar identificaciones seguras y únicas para la autenticación de usuarios. 
  • Para un correcto funcionamiento en materia de seguridad deberán compartirse las labores de seguridad entre usuarios, administradores y los encargados directos de la propia seguridad. 
  • Deberán tomarse todas las precauciones posibles para proteger físicamente los sistemas y prevenirlos frente al robo, destrucción o interrupción. 
  • Deberá existir un plan de recuperación del sistema para el caso en que se dé robo, destrucción o interrupción del servicio. 
  • Deberá asegurarse la confidencialidad de la información almacenada, tanto en formato electrónico como no electrónico. 
  • Todos los intervinientes en el plan de continuidad de negocio deberán conocer y saber aplicar cuando sea necesario dicho plan. 
  • El personal del área de operación deberá tener conocimiento de los procedimientos de recuperación de datos de carácter personal, securización de los soportes de datos de carácter personal y del procedimiento de registro entrada/salida de dichos soportes. 

El Responsable de Seguridad centraliza los esfuerzos globales de protección de los activos de Acevedo, a fin de asegurar el correcto funcionamiento de las tecnologías de la información que soportan los procesos de la organización. De forma genérica, los activos incluyen toda forma de información, además de las personas y la tecnología que soportan los procesos de información. 

El Responsable de Seguridad dispondrá de un inventario actualizado sobre las contratas que contará con los siguientes datos: nombre y responsable de la contrata, teléfono y correo electrónico de contacto, responsable de la contrata en Acevedo, actividades desarrolladas por la contrata, fecha de inicio de los trabajos y fecha de finalización. 

Por cada contrata, también deberá informarse de los usuarios y equipos corporativos utilizados. El responsable de la contrata en Acevedo deberá informar al área de Seguridad Lógica cuando haya alteraciones de cualquiera de estos datos. 

2. Confidencialidad de la Información 

La confidencialidad de la información se define como la garantía de que la información no es divulgada de forma inadecuada a entidades o procesos. 

Con el fin de preservarla: 

  • El personal externo que tenga acceso a información de Acevedo deberá considerar que dicha información, por defecto, tiene el carácter de confidencial. Sólo se podrá considerar como información no confidencial aquella información de Acevedo a la que haya tenido acceso a través de los medios de difusión pública de información. 
  • Los usuarios protegerán la información confidencial a la que tienen acceso, contra revelaciones no autorizadas o accidentales, modificación, destrucción o mal uso, cualquiera que sea el soporte en que se encuentre contenida esa información. 
  • Se guardará por tiempo indefinido la máxima reserva y no se emitirá al exterior información confidencial en cualquier tipo de soporte, salvo que esté debidamente autorizado. 
  • Se utilizará el menor número de informes en formato papel que contengan información confidencial y se mantendrán los mismos en lugar seguro y fuera del alcance de terceros. 
  • Con relación a la utilización de agendas de contactos dispuestas por Acevedo el personal externo únicamente introducirá determinados datos personales que sean indispensables como nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono… 
  • Ningún colaborador externo en proyectos o trabajos puntuales deberá poseer, para usos no propios de su responsabilidad, ningún material o información propia o confiada a Acevedo tanto ahora como en el futuro. 
  • En el caso de que, por motivos directamente relacionados con el puesto de trabajo, el empleado de la empresa proveedora de servicios entre en posesión de información confidencial contenida en cualquier tipo de soporte, deberá entenderse que dicha posesión es estrictamente temporal, con obligación de secreto y sin que ello le confiera derecho alguno de posesión, titularidad o copia sobre dicha información. 
  • Asimismo, el empleado de la empresa proveedora deberá devolver el o los soportes mencionados inmediatamente después de la finalización de las tareas que han originado el uso temporal de los mismos y, en cualquier caso, a la finalización de la relación de su empresa con Acevedo La utilización continuada de la información en cualquier formato o soporte distinta a la pactada y sin conocimiento de Acevedo no supondrá, en ningún caso, una modificación de este punto. 
  • Todas estas obligaciones continuarán vigentes tras la finalización de las actividades que el personal externo desarrolle para Acevedo. 
  • El incumplimiento de estas obligaciones puede constituir un delito de revelación de secretos, previsto en el artículo 197 del Código Penal, que puede dar derecho a exigir compensaciones. 
  • Para garantizar la seguridad de los Datos de Carácter Personal albergados en ficheros automatizados, el personal que pertenece a empresas proveedoras de servicios deberá observar las siguientes normas de actuación, además de las consideraciones ya mencionadas: 
  • El personal sólo podrá crear ficheros temporales que contengan datos de carácter personal cuando sea necesario para el desempeño de su trabajo. Estos ficheros temporales nunca serán ubicados en unidades locales de disco de los puestos (ordenadores personales) del personal y deben ser destruidos cuando hayan dejado de ser útiles para la finalidad para la que se crearon. 
  • La salida de soportes informáticos que contengan datos de carácter personal, fuera de los locales en los que esté ubicada dicha información, únicamente podrá ser autorizada por el responsable de dicha información o fichero. 
  • El propietario de la información se encargará de verificar la definición y correcta aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos. 
  • Los soportes informáticos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y almacenarse en un lugar de acceso restringido al personal autorizado.

3. Control de acceso físico a instalaciones de Acevedo

Se establecen las siguientes normas: 

  • Se limitará el acceso al personal de soporte externo a las áreas especialmente protegidas. Este acceso, como el de cualquier otra persona ajena que requiera acceder a áreas protegidas, se asignará únicamente cuando sea necesario y se encuentre autorizado, y siempre bajo la vigilancia de personal autorizado. 
  • Se acompañará a los visitantes en todo momento y registrará la fecha y hora de su entrada y salida. 

4. Uso apropiado de los recursos 

Los recursos que Acevedo pone a disposición del personal externo, independientemente del tipo que sean (informáticos, datos, software, redes, sistemas de comunicación, etc.), están disponibles exclusivamente para cumplimentar las obligaciones y propósito de la operativa para la que fueron diseñados e implantados. Todo el personal usuario de dichos recursos debe saber que no tiene el derecho de confidencialidad en su uso. Queda terminantemente prohibido: 

  • El uso de estos recursos para actividades no relacionadas con el propósito del servicio, o bien la extralimitación en su uso. 
  • La búsqueda o explotación de vulnerabilidades en cualquier aplicación o equipos. 
  • Los equipos y/o aplicaciones que no estén especificados como parte del software o de los estándares de los recursos informáticos propios de Acevedo o bajo supervisión de Acevedo. 
  • Introducir en los sistemas de información o la red corporativa contenidos obscenos, amenazadores, inmorales u ofensivos. 
  • Introducir voluntariamente cualquier tipo de malware (programas, macros, applets, controles ActiveX, etc.), dispositivo lógico, dispositivo físico o cualquier otro tipo de secuencia de órdenes que causen o sean susceptibles de causar cualquier tipo de alteración o daño en los recursos informáticos. El proveedor tendrá la obligación de utilizar los programas antivirus y sus actualizaciones para prevenir la entrada en los sistemas de cualquier elemento destinado a destruir o corromper los datos informáticos. 
  • Intentar obtener otros derechos o accesos distintos a aquellos que les hayan sido asignados. 
  • Intentar acceder a áreas restringidas de los Sistemas de Información sin la debida autorización. 
  • Intentar distorsionar o falsear los registros “log” de los sistemas de información. 
  • Intentar descifrar las claves, sistemas o algoritmos de cifrado y cualquier otro elemento de seguridad que intervenga en los procesos telemáticos. 
  • Poseer, desarrollar o ejecutar programas que pudieran interferir sobre el trabajo de otros usuarios, o dañar o alterar los recursos informáticos. 
  • Intentar destruir, alterar, inutilizar o cualquier otra forma de dañar los datos, programas o documentos electrónicos. Estos actos podrían constituir un delito de daños, según la legislación vigente. 
  • Albergar datos de carácter personal en las unidades locales de disco de los puestos (ordenadores personales) de usuario. 
  • Cualquier fichero introducido en la red corporativa o en el puesto de trabajo del usuario a través de soportes automatizados, Internet, correo electrónico o cualquier otro medio, deberá cumplir los requisitos establecidos en estas normas y, en especial, las referidas a propiedad intelectual, protección de datos de carácter personal y control de virus. 
  • Conectar ordenadores no corporativos a la red de comunicaciones de Acevedo, excepto a la habilitada para ello disponible para visitas, proveedores, etc. que necesiten de una conexión con acceso a Internet. 

5. Protección frente a malware 

Los recursos que el proveedor utiliza para la prestación del servicio a Acevedo deberán seguir las siguientes indicaciones: 

  • Se mantendrán los sistemas al día con las últimas actualizaciones de seguridad disponibles. 
  • El software antivirus se deberá instalar y usar en todos los servidores, en su caso, y en todos los ordenadores personales para reducir el riesgo operacional asociado con los virus u otro software malicioso. 
  • El software antivirus deberá estar siempre habilitado. Se establecerá una actualización automática de los ficheros de definición de virus tanto en los ordenadores personales como servidores, en su caso, así como de bloqueo frente a la detección de virus informáticos. 
  • Todo el software debe estar correctamente licenciado por lo que se prohíbe expresamente el uso de software pirata, crackers, etc. 
  • En caso de que sea detectado cualquier malware en uno de los equipos conectados a la red de Acevedo, dicho equipo será desconectado de dicha red sin que sea necesario aviso previo. El Responsable de Seguridad notificará con los medios disponibles el problema encontrado por lo que será responsabilidad de la contrata la eliminación del malware detectado. La conexión de nuevo a la red corporativa debe ser autorizada por el Responsable de Seguridad, el cual solicitará toda la información necesaria sobre el equipo con el fin de asegurar la limpieza del mismo. 

6. Intercambio de información 

Se establecen las siguientes normas: 

  • Los usuarios no deben ocultar o manipular su identidad bajo ninguna circunstancia. 
  • En los casos en que Acevedo asigne un usuario genérico, será responsabilidad del proveedor mantener una relación actualizada de las personas que utilizan dicho usuario genérico en cada momento. 
  • La distribución de información ya sea en formato digital o papel se realizará mediante los dispositivos facilitados por Acevedo para tal cometido y con la finalidad exclusiva de facilitar las funciones del puesto. Acevedo se reserva, en función del riesgo identificado, la implementación de medidas de control, registro y auditoría sobre estos dispositivos de difusión. 
  • En relación con el intercambio de información, se considerarán no autorizadas las siguientes actividades: 
  • Transmisión o recepción de material protegido por copyright infringiendo la Ley de Protección Intelectual. 
  • Transmisión o recepción de toda clase de material pornográfico, mensajes o bromas de una naturaleza sexual explícita, declaraciones discriminatorias raciales y cualquier otra clase de declaración o mensaje clasificable como ofensivo o ilegal. 
  • Transferencia de ficheros a terceras partes no autorizadas de material de Acevedo o material que es de alguna u otra manera confidencial. 
  • Transmisión o recepción de ficheros que infrinjan la Ley de Protección de Datos de Carácter Personal o directrices de Acevedo. 
  • Transmisión o recepción de aplicaciones no relacionadas con el negocio. 
  • Participación en actividades de Internet como grupos de noticias, juegos, apuestas u otras que no estén directamente relacionadas con el negocio. 
  • Todas las actividades que puedan dañar la buena reputación de Acevedo están prohibidas en Internet y en cualquier otro lugar. Esto se refiere también a actividades realizadas para el propio beneficio económico del usuario o de terceras partes, y a actividades de naturaleza política. 
  • Toda salida de información que contenga datos de carácter personal (tanto en soportes informáticos como en papel o por correo electrónico) sólo podrá ser realizada por personal autorizado y con el debido permiso. 
  • Si el tratamiento de datos de carácter personal se llevase a cabo fuera de los locales donde está ubicado el fichero, dicho tratamiento deberá ser autorizado expresamente por el responsable del fichero y, en todo caso, deberá garantizarse el nivel de seguridad correspondiente al tipo de fichero tratado. 
  • La transmisión de datos de carácter personal de nivel alto a través de redes de telecomunicaciones se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros. 

7. Uso del correo electrónico 

La cuenta de correo electrónico tiene la consideración de herramienta que el contratista debe aportar para el desempeño de los trabajos contratados. 

Se establece el siguiente criterio general: 

  • Cada usuario de los sistemas informáticos de Acevedo dispondrá de una cuenta de correo electrónico específica y única, asignada exclusivamente a dicho usuario. 
  • Los usuarios externos no dispondrán de una dirección de correo de Acevedo. 
  • En el momento de su registro, el usuario externo debe aportar una dirección de correo del dominio de su propia empresa (preferible) o bien una dirección de correo personal. 

Este criterio general es compatible con el hecho de que dichos usuarios externos pueden acceder a los buzones de correo genéricos que sean preciso para desarrollar su operativa de trabajo. El envío de correos desde estos buzones genéricos no identifica al emisor. 

De forma excepcional, en consideración a las circunstancias que se justifiquen, y siempre previa autorización expresa, un usuario externo podría disponer de una dirección de correo de Acevedo. En tal caso, el responsable del servicio de Acevedo debe cursar la correspondiente solicitud que deberá ser evaluada por el Responsable de Seguridad. 

La utilización del correo electrónico por parte de los usuarios externos estará sujeta a las siguientes normas: 

  • Se considera al correo electrónico una herramienta más de trabajo provista al usuario con el fin de ser utilizada conforme al uso para el cual está destinada. Esta consideración facultará a Acevedo a implementar sistemas de control destinados a velar por la protección y el buen uso de este recurso. Esta facultad, no obstante, se ejercerá salvaguardando la dignidad del usuario y su derecho a la intimidad. 
  • El sistema de correo electrónico de Acevedo no deberá ser usado para enviar mensajes fraudulentos, obscenos, amenazadores u otro tipo de comunicados similares. 
  • Los usuarios no deberán crear, enviar o reenviar mensajes publicitarios o piramidales (mensajes que se extienden a múltiples usuarios). 
  • No está permitida la transmisión vía correo electrónico de información que contenga datos de carácter personal, salvo que la comunicación electrónica esté cifrada y el envío esté expresamente permitido. 
  • No está permitida la transmisión vía correo electrónico de información confidencial de Acevedo salvo que la comunicación electrónica esté bien cifrada y el envío esté expresamente permitido. 

8. Conectividad a Internet 

La utilización de internet por parte de los usuarios externos estará sujeta a las siguientes normas: 

  • Internet es una herramienta de trabajo. Todas las actividades en Internet deberán estar en relación con tareas y actividades de trabajo. Los usuarios no deben visitar sitios que no sirvan como soporte al servicio prestado a Acevedo. 
  • Todo el tráfico desde y hacia Internet será inspeccionado en búsqueda de amenazas. En caso de que algún equipo se encuentre accediendo a sitios clasificados como maliciosos (pornografía, juego, etc.) o ajenos al negocio podrá ser desconectado de la red sin que sea necesario aviso previo. 
  • Acevedo se reserva el derecho de, en lo permitido por el marco legal, y sin aviso previo, limitar el acceso total o parcial a Internet a partir de la red informática y terminales de Acevedo. 
  • El acceso a Internet desde la red corporativa se restringe por medio de dispositivos de control incorporados en la misma. La utilización de otros medios de conexión deberá ser previamente validada y estará sujeta a las anteriores consideraciones sobre el uso de Internet. 
  • Los usuarios no deberán usar el nombre, símbolo, logotipo de Acevedo o símbolos similares al de Acevedo en ningún elemento de Internet (correo electrónico, páginas web, etc.) no justificado por actividades estrictamente laborales. 
  • Únicamente se permitirá la transferencia de datos de o a Internet en conexión con las actividades del servicio prestado a Acevedo. La transferencia de ficheros no relativa a estas actividades (por ejemplo, la descarga de juegos de ordenador, ficheros de sonido y contenidos multimedia). 

 9. Responsabilidades del usuario 

Todo usuario externo, por el mero hecho de serlo, asume determinadas responsabilidades: 

  • Cada usuario será responsable de su identificador y todo lo que de él se derive, por lo que es imprescindible que este sea únicamente conocido por el propio usuario; no deberá revelarlo al resto de usuarios bajo ningún concepto. 
  • El usuario será responsable de todas las acciones registradas en los sistemas informáticos de Acevedo con su identificador. 
  • Los usuarios deberán seguir las directivas definidas en relación con la gestión de las contraseñas. 
  • Los usuarios deberán asegurar que los equipos quedan protegidos cuando estén desatendidos. 
  • Se establecerán las siguientes políticas de escritorio limpio para proteger documentos en papel y dispositivos de almacenamiento removibles con el fin de reducir los riesgos de acceso no autorizado, pérdida y daño de la información, tanto durante el horario normal de trabajo como fuera del mismo: 
  • Almacenar bajo llave, cuando corresponda, los documentos en papel y los medios informáticos, en mobiliario seguro cuando no están siendo utilizados, especialmente fuera del horario de trabajo. 
  • No dejar desatendidos los equipos asignados a funciones críticas y bloquear su acceso cuando sea estrictamente necesario. 
  • Asegurar la confidencialidad de los documentos tanto en los puntos de recepción y envío de información como en los equipos de duplicado (fotocopiadora y escáner). 
  • La reproducción o envío de información con este tipo de dispositivos queda bajo la responsabilidad del usuario. 
  • Los listados con datos de carácter personal o información confidencial deberán almacenarse en lugar seguro al que únicamente tengan acceso personal autorizado. 
  • Los listados con datos de carácter personal o información confidencial deberán eliminarse de manera segura una vez no sean necesarios. 
  • En caso de identificarse incidentes o debilidades relacionadas con la seguridad de la información, se prohíbe a los usuarios la realización de pruebas para detectar y/o utilizar esta supuesta debilidad o incidente de seguridad. 

 10. Equipos de usuario 

Sobre el equipamiento informático asociado al puesto del usuario se establecen los siguientes principios: 

  • Todos los puestos de usuario con conectividad a recursos informáticos de Acevedo estarán controlados por Acevedo. 
  • Ningún usuario intentará por ningún medio transgredir el sistema de seguridad y las autorizaciones, ni dispondrá de herramientas que puedan realizarlo. 
  • Se prohíbe la captura de tráficos de red por parte de los usuarios, salvo que se estén llevando a cabo tareas de auditoría expresamente autorizadas. 
  • Cuando se desatienda un puesto durante un periodo corto de tiempo el usuario deberá activar su bloqueo. Cuando se termina la jornada de trabajo se debe apagar el equipo. 

 11. Identificadores de usuario y contraseñas 

El personal de empresas proveedoras de servicios que accede a los sistemas de información de Acevedo dentro de su ámbito de trabajo, es responsable de asegurar que los datos, las aplicaciones y los recursos informáticos sean usados únicamente para el desarrollo de la operativa propia para la que fueron creados e implantados. Este personal está obligado a utilizar los recursos de Acevedo y los datos contenidos en ellos sin incurrir en actividades que puedan ser consideradas ilícitas o ilegales. Para obtener el acceso a los sistemas de información este personal debe disponer de un acceso autorizado (identificador de usuario y contraseña) sobre el que, como usuarios de sistemas de información, deben observar los siguientes principios de actuación y buenas prácticas: 

  • Cuando el usuario recibe su identificador de acceso a los sistemas de Acevedo se considera que acepta formalmente la Política de Seguridad vigente. 
  • Los usuarios deben mantener sus credenciales de acceso confidenciales. 
  • Todos los usuarios con acceso a un sistema de información dispondrán de una única autorización de acceso compuesta de identificador de usuario y contraseña. 
  • Los intentos de login sin éxito son limitados en número. 
  • Todos los intentos de login son registrados, tanto tengan éxito o no. 
  • Los usuarios son responsables de toda actividad relacionada con el uso de su acceso autorizado. 
  • Los usuarios no deben utilizar ningún acceso autorizado de otro usuario, aunque dispongan de la autorización del propietario. 
  • Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones. 
  • Los usuarios no deben incluir contraseñas en los procesos automatizados de inicio de sesión, por ejemplo, aquellas almacenadas en una tecla de función o macro. 
  • Las contraseñas estarán constituidas por combinación de caracteres alfabéticos y numéricos. 
  • Los usuarios no deben revelar bajo ningún concepto su identificador y/o contraseña a otra persona ni mantenerla por escrito a la vista ni al alcance de terceros. 
  • Los usuarios no deben utilizar las mismas contraseñas para uso personal y profesional. 
  • Los accesos autorizados temporales se configurarán para un corto período de tiempo. Una vez expirado dicho período, se desactivarán de los sistemas. 
  • En relación a los datos de carácter personal, exclusivamente el personal autorizado para ello en el Documento de Clasificación de la Información podrá conceder, alterar o anular el acceso autorizado sobre los datos y recursos, conforme a los criterios establecidos por el responsable del fichero. 
  • Si un usuario tiene sospechas de que su acceso autorizado (identificador de usuario y contraseña) está siendo utilizado por otra persona, debe proceder de inmediato al cambio de su contraseña y contactar con Acevedo para notificar la incidencia. 
  • El cambio de la contraseña se realizará en el sistema de gestión de accesos de Acevedo. 

12. Software 

Sobre el software se establecen los siguientes principios: 

  • Todo el personal que accede a los sistemas de información de Acevedo debe utilizar únicamente las versiones de software indicadas y siguiendo sus normas de utilización. 
  • Todo el personal tiene prohibido instalar copias ilegales de cualquier programa, incluidos los estandarizados. 
  • Se prohíbe el uso de software no validado. 
  • Se prohíbe el uso de software sin su respectiva licencia. 
  • Se prohíbe el uso de software crackeado o pirateado. 

13. Conexión a la red 

Sobre la conexión a la red se establecen los siguientes principios: 

  • El acceso de usuarios remotos estará sujeto al cumplimiento de procedimientos de autenticación previa validación del acceso. 
  • Acevedo se reserva el derecho de, sin aviso previo, bloquear, suspender, alterar o monitorizar los servicios soportados en su red informática y puestos a disposición de las entidades externas. 
  • Nadie deberá conectarse a la red corporativa a través de otros medios que no sean los definidos. 
  • Acevedo se reserva el derecho a desconectar de la red corporativa y sin aviso previo a cualquier equipo utilizado por un proveedor cuando se detecten actividades que contravengan los principios y normas expresados en el presente documento. 

14. Gestión de accesos 

Existe un proceso formal para el registro, concesión, alteración y revocación de accesos a los usuarios, aplicable a todos los sistemas de Información de Acevedo. 

Se establecen los siguientes principios: 

  • Se debe asegurar la comunicación de las reglas y responsabilidades en el uso de los sistemas de información del Acevedo a los usuarios al atribuirles cualquier acceso a los sistemas. 
  • Para cada sistema existe un conjunto de perfiles y privilegios que se atribuyen a los usuarios de acuerdo con sus necesidades. 
  • Los privilegios de acceso a los sistemas se atribuyen a los usuarios considerando las necesidades efectivas para el desempeño de sus funciones, no debiendo ser atribuidos ni por exceso ni por defecto. 
  • Los privilegios de acceso a los sistemas garantizan una correcta segregación de funciones. En los casos en los que no es posible garantizar la segregación de funciones, están implementados los controles compensatorios adecuados. 
  • Cualquier solicitud de atribución o modificación de privilegios de acceso a los sistemas de Acevedo se refleja en la herramienta de gestión de identidades y accesos y posteriormente debe ser aprobada. 
  • Los accesos y respectivos privilegios solo se implementan en los sistemas después de obtener todas las aprobaciones necesarias. 
  • Se mantiene un registro formal de todos los usuarios autorizados y respectivos privilegios de acceso a los sistemas de Acevedo. 
  • Las modificaciones en las necesidades de acceso a los sistemas deben llevar aparejados los ajustes a los derechos de acceso. 
  • Los privilegios de acceso a los sistemas atribuidos a los usuarios son revocados de forma automática cuando termina su relación profesional con Acevedo. 
  • Se realiza una revisión periódica con el fin de eliminar o bloquear cuentas redundantes o innecesarias. 
  • Los usuarios deben tener asociados, identificadores individuales (user ID), protegidos por contraseña. 
  • El uso de identificadores genéricos (cuentas genéricas o de grupo) se debe permitir solo en casos excepcionales debidamente justificados, aprobados y registrados. 
  • Las cuentas genéricas tienen asociado un usuario individual responsable de ella. 
  • La nomenclatura utilizada en la generación de los identificadores obedece a reglas definidas por Acevedo. 
  • El identificador de usuario permite reconocer su identidad, pero nunca sus niveles de privilegios. 
  • El identificador debe ser personal, de uso exclusivo y único para todos los sistemas (cuando sea técnicamente viable). 
  • Los identificadores de los usuarios que ya no tienen vínculo con Acevedo no pueden ser atribuidos a otros usuarios. 
  • Para las excepciones debe quedar registrado y mantenido un histórico de las personas asociadas a un user ID. 
  • Acevedo se reserva el derecho de, sin aviso previo, bloquear, suspender, modificar y monitorizar a los usuarios de sus sistemas y los respectivos privilegios de acceso. 
  • El responsable de la contrata debe notificar al responsable de Acevedo de la misma, todos los cambios habidos en cuanto a las personas, identidades y equipos que estén conectados a la red corporativa. Además, el responsable de Acevedo tiene la obligación de comunicar esta información al Responsable de Seguridad, el cual mantendrá un inventario actualizado de las conexiones realizadas a la red corporativa por las contratas. 

15. Propiedad intelectual 

En relación con la Propiedad Intelectual se aplicarán los siguientes principios: 

  • Las entidades externas que acceden a Internet a partir de la red informática y terminales del Acevedo son responsables de respetar los derechos de propiedad intelectual aplicables a los contenidos accedidos. 
  • Se garantizará el cumplimiento de las restricciones legales al uso del material protegido por normas de propiedad intelectual. 
  • Los usuarios externos únicamente podrán utilizar material autorizado por su empresa o por Acevedo para el desarrollo de sus funciones. 
  • Queda estrictamente prohibido el uso de programas informáticos sin la correspondiente licencia. 
  • Asimismo, queda prohibido el uso, reproducción, cesión, transformación o comunicación pública de cualquier tipo de obra o invención protegida por la propiedad intelectual sin la debida autorización. 
  • Acevedo únicamente autorizará el uso de material producido por el mismo, o material autorizado o suministrado al mismo por su titular, conforme los términos y condiciones acordadas y lo dispuesto por la normativa vigente. 

16. Incidencias 

En el caso de detectarse alguna incidencia relacionada con los sistemas de información se seguirán las siguientes normas: 

  • Se deberá notificar al Responsable de Seguridad cualquier incidencia que se detecte y que afecte o pueda afectar a la seguridad de los datos de carácter personal: pérdida de listados y/o disquetes, sospechas de uso indebido del acceso autorizado por otras personas, recuperación de datos, etc. 

17. Requisitos de seguridad para la externalización 

La empresa proveedora debe documentar y aplicar la sistemática adecuada para asegurar los siguientes requisitos: 

  • El personal afectado debe conocer y aplicar la Política de Seguridad. 
  • Deben cumplirse los requisitos reglamentarios y normativos aplicables (LOPD GDD, LSSI…). 
  • Acevedo facilitará al proveedor un documento con las directrices a seguir para la conexión a su red corporativa y la instalación de los puestos de trabajo. 
  • La lista de usuarios autorizados y el registro de accesos estarán disponibles para su verificación por parte del responsable del servicio. 
  • El acceso ocasional a las instalaciones de personas no autorizadas deberá quedar registrado. Estas personas estarán debidamente identificadas y acompañadas en todo momento por personal autorizado. 
  • El responsable del servicio por parte de Acevedo podrá verificar estas condiciones personalmente o delegar en otra persona de Acevedo o en otra empresa especializada. Deberá facilitarse el acceso para los aspectos relacionados con auditorías internas o externas cuando Acevedo lo estime conveniente. 
  • El sistema debe tener en cuenta el procedimiento de devolución/destrucción de los datos y activos una vez finalizado el servicio. 

Acevedo se reserva el derecho de exigir: 

  • La implementación de cualquier mecanismo que Acevedo considere necesario para garantizar la seguridad de acceso a sus datos y activos. Así mismo podrá exigir las penalizaciones y/o las garantías apropiadas en función de los riesgos de incumplimiento o deterioro de los activos del servicio. 
  • La presencia y colaboración, de todas las empresas colaboradoras y proveedoras y su mejor ayuda en la restauración –bajo la coordinación directa de Acevedo – de la actividad normal de sus operaciones de negocio, después de que éstas hayan sido interrumpidas por una emergencia o desastre. 
  • La tenencia de políticas y planes de continuidad de negocio o contingencias que permitan asegurar la continuidad de las actividades de estas compañías en el caso de que se vieran afectadas por una catástrofe o situación de desastre. De igual forma, Acevedo se reserva el derecho de auditar la existencia y grado de implantación de los mencionados planes. 

18. Seguimiento y control 

Con el fin de velar por el correcto uso de los mencionados recursos, a través de los mecanismos formales y técnicos que se considere oportunos, Acevedo comprobará, ya sea de forma periódica o cuando por razones específicas de seguridad o del servicio resulte conveniente, la correcta utilización de dichos recursos por todos los usuarios. 

En caso de apreciar que alguien utiliza incorrectamente aplicaciones y/o datos, principalmente, así como cualquier otro recurso informático, se le comunicará tal circunstancia y se le facilitará, en su caso, la formación necesaria para el correcto uso de los recursos. 

En caso de apreciarse mala fe en la incorrecta utilización de las aplicaciones y/o datos, principalmente, así como cualquier otro recurso informático, Acevedo ejercerá las acciones que legalmente le amparen para la protección de sus derechos. 

19. Actualización de la Política de Seguridad 

Debido a la propia evolución de la tecnología, las amenazas de seguridad y a las nuevas aportaciones legales en la materia, Acevedo se reserva el derecho a modificar esta Política cuando sea necesario. 

Los cambios realizados en esta Política serán divulgados a todas las empresas proveedoras de servicios a las que les aplique utilizando los medios que se consideren pertinentes. Es responsabilidad de cada empresa proveedora garantizar la lectura y conocimiento de la Política de Seguridad más reciente de Acevedo por parte de su personal. 

Blog

Conozcámonos
Facebook X-twitter Linkedin
Logo Petroamazonas

Quito, Ecuador

  • Sector: Energy (petroleum, state)
  • Employees: ~7.000
  • No. of countries / subsidiary: Ecuador
Resumen de privacidad
Acevedo

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.

Cookies estrictamente necesarias

Las cookies estrictamente necesarias tiene que activarse siempre para que podamos guardar tus preferencias de ajustes de cookies.

Analítica

Esta web utiliza Google Analytics para recopilar información anónima tal como el número de visitantes del sitio, o las páginas más populares.

Dejar esta cookie activa nos permite mejorar nuestra web.

Acevedo -  GDPR Cookie Compliance