POLÍTICA PROTECCIÓN
DE DATOS
Política y seguridad de la información.
Santiago de Chile, 02 de Febrero 2021
CONTROL DE FLOTA es la marca comercial de la Empresa VISTA INGENIERIA SPA para su línea de negocios de Geolocalización, la cual es una sociedad comercial chilena, que presta a sus usuarios y clientes el servicio de gestión y control de flota mediante tecnología GPS y equipos AVL para un adecuada gestión de sus activos.
Como tal, CONTROL DE FLOTA reconoce la importancia y el valor de la información con respecto al funcionamiento eficiente y efectivo de su giro. La información no es sólo crítica para el éxito de CONTROL DE FLOTA, sino estratégica para su planificación sostenible a largo plazo.
Por esta razón, se establece la siguiente política que regula el manejo de la información en CONTROL DE FLOTA, orientada a definir las medidas que resguarden la confidencialidad, integridad y disponibilidad de la información propia de CONTROL DE FLOTA, el acceso a la información en conformidad con la Constitución, las leyes, y demás normas jurídicas chilenas, así como asegurar la continuidad de los servicios que le son propios.
Es por ello que CONTROL DE FLOTA asume la responsabilidad de implantar, mantener y mejorar continuamente un Sistema de Gestión de la Seguridad de la Información (SGSI) que permita lograr niveles adecuados de seguridad para todos los activos de información institucional considerados relevantes, de manera tal de garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por CONTROL DE FLOTA de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.
De esta manera, es imprescindible contar con un marco general en el cual encuadrar todos los subprocesos asociados a la Gestión de la Seguridad, comenzando por definir sus objetivos, el alcance o amplitud, los roles y responsabilidades y el marco general para elaboración y revisión de las políticas de seguridad específicas para la información de CONTROL DE FLOTA
Esta política general, las políticas específicas y procedimientos de seguridad asociados utilizarán como marco de referencia los requerimientos del Decreto Supremo N° 83/2004, del Ministerio Secretaría General de la Presidencia (Seguridad y Confiabilidad de documentos electrónicos) y las buenas prácticas definidas en la norma ISO 27001, la que adicionalmente deberá constituir el marco rector de todas las iniciativas de seguridad adoptadas por CONTROL DE FLOTA
II. OBJETIVOS
La presente Política de Seguridad y control de Riesgos de la Información cubre los siguientes objetivos:
1. Establecer las expectativas de CONTROL DE FLOTA con respecto al correcto uso que los trabajadores hagan de los recursos y activos de información de CONTROL DE FLOTA, así como de las medidas que se deben adoptar para la protección de los mismos.
2. Establecer para todos los trabajadores de CONTROL DE FLOTA la necesidad de la seguridad de la información y promover la comprensión de sus responsabilidades individuales.
3. Determinar las medidas esenciales de seguridad de la información que CONTROL DE FLOTA debe adoptar, para protegerse apropiadamente contra amenazas que podrían afectar en alguna medida la confidencialidad, integridad y disponibilidad de la información, ocasionando alguna de las siguientes consecuencias:
(i) Pérdida o mal uso de los activos de información (datos, equipos, documentación impresa, etc.).
(ii) Pérdida de imagen en el mercado chileno de empresas que brindan el servicio de firma electrónica.
(iii) Interrupción total o parcial de los procesos que soportan el negocio.
(iv) Proporcionar a todos los trabajadores de CONTROL DE FLOTA una herramienta que facilite la toma de decisiones apropiada, en situaciones relacionadas con la preservación de la seguridad de la información.
Para cumplir con estos objetivos, el SGSI se basa en la identificación de los activos de información involucrados en los procesos de negocios y en los procesos de soporte de CONTROL DE FLOTA, lo cual implica llevar a cabo las siguientes actividades esenciales:
1. Identificar, para todos los procesos, los activos de información involucrados, catalogados como información física, información digital, personas e infraestructura, clasificándolos según lo establezca la legislación chilena y el ISO 27001.
2. Para cada activo de información, identificar un responsable que vele por su disponibilidad, confidencialidad e integridad.
3. Analizar el riesgo al cual están expuestos, con la ayuda de la metodología CAIGG y el encargado de riesgos.
4. Difundir en forma planificada entre todos los trabajadores de CONTROL DE FLOTA el objetivo corporativo de preservación de la información, sus características y las responsabilidades individuales para lograrlo, inserto esto en los planes de capacitación anual de CONTROL DE FLOTA como actividades permanentes y en el proceso de inducción del nuevo personal.
III. ALCANCE
Esta política se aplica a todos los trabajadores de CONTROL DE FLOTA y sus proveedores de servicios o personal externo que preste o prestare servicios, remunerados o no, a CONTROL DE FLOTA, tengan o no acceso privilegiado a la información.
También es aplicable a todo activo de información que CONTROL DE FLOTA posea en la actualidad o en el futuro, de manera que la no inclusión explícita en el presente documento no constituye argumento para no proteger estos activos de información.
La política cubre toda la información, entre otros, la impresa o escrita en papel, almacenada electrónicamente, trasmitida por correo o usando medios electrónicos, mostrada en videos o hablada en una conversación.
La gestión de la seguridad de la información se realizará mediante un proceso sistemático, documentado y conocido por todos los trabajadores de CONTROL DE FLOTA basándose en metodologías de mejoramiento continuo, el cual deberá ser aplicado a todos los procesos o unidades de negocio de CONTROL DE FLOTA
IV. DEFINICIONES
1. Información: Interpretación que se da a un conjunto de datos, pudiendo residir esta en medios electromagnéticos, físicos o en el conocimiento de las personas. En el caso de la presente política, se entenderá como información a toda forma proveniente de datos relacionados con los procesos de negocio de CONTROL DE FLOTA, así como antecedentes proporcionados tanto por sus usuarios, siempre que sea dentro del contexto del ejercicio de sus funciones y del cumplimiento de sus obligaciones.
2. Información Pública: toda aquella información no catalogada como secreta o reservada, en concordancia con el ordenamiento jurídico vigente.
3. Información reservada: son aquellos documentos cuyo conocimiento está circunscrito al ámbito de la respectiva área de CONTROL DE FLOTA a que sean remitidos, cuando la naturaleza misma de la información requiera ser tratada de manera reservada.
4. Información secreta: son aquellos documentos cuyo conocimiento está circunscrito a las jefaturas o personas a las que vayan dirigidos y a quienes deban intervenir en su estudio y resolución, cuyas características les confiere tal carácter.
5. Seguridad de la Información: es el nivel de confianza que CONTROL DE FLOTA desea tener de su capacidad para preservar la confidencialidad, integridad y disponibilidad de la información. Tiene como objetivo proteger el recurso información de una amplia gama de amenazas, con el fin de asegurar la continuidad del negocio, minimizar el daño y, cumplir su misión y objetivos estratégicos.
6. Confidencialidad: asegurar que la información es accesible sólo para las personas autorizadas para ello.
7. Integridad: salvaguardar la exactitud y totalidad de la información en su procesamiento, transmisión y almacenamiento.
8. Disponibilidad: asegurar que los usuarios autorizados tengan acceso a la información y los activos asociados cuando estos sean requeridos.
9. Buen uso: constituye “buen uso”, o “Uso Aceptable” de los activos de información de CONTROL DE FLOTA, el cumplimiento de las expectativas que se tiene con respecto al cuidado que sus trabajadores deben tener con los activos que CONTROL DE FLOTA les entregue para el desempeño de sus funciones, en cumplimiento de las normas establecidas en esta política.
10. Trabajadores o Personal: es toda persona a la cual se le concede autorización para acceder a la información y a los sistemas de CONTROL DE FLOTA. Los trabajadores pueden ser internos o externos a CONTROL DE FLOTA.
11. Supervisor: toda persona encargada de un grupo de personas, área, división, programa o departamento en CONTROL DE FLOTA.
12. Tercero: empresas prestadoras de servicios, las empresas contratistas, sub- contratistas y cualquiera que, por cuenta propia o de terceros, desarrolle trabajos para o por cuenta de CONTROL DE FLOTA.
13. Responsable de la Información: trabajador o usuario a cargo de la información y de los procesos que la manipulan sean estos manuales, mecánicos o electrónicos.
14. Encargado de Seguridad: autoridad máxima de CONTROL DE FLOTA designada para la definición, diseño, implementación y supervisión de las medidas de seguridad de la información.
15. Comité de Seguridad: equipo conformado por supervisores que representan a las áreas de CONTROL DE FLOTA, responsable de la toma de decisiones en temas de la seguridad de la información.
16. Activo de Información: Todos aquellos elementos relevantes en la producción, emisión, almacenamiento, comunicación, visualización y recuperación de información de valor para CONTROL DE FLOTA. Se pueden distinguir tres tipos de activos:
(i) La información propiamente tal, en sus múltiples formatos (papel o digital, texto, imagen, audio, video, etc.).
(ii) Los equipos/sistemas que la soportan.
(iii) Las personas que la utilizan
V. RESPONSABILIDADES Y CUMPLIMIENTO
V.I. RESPONSABILIDADES
1. Encargado de Seguridad: es el principal responsable en la definición de los criterios de seguridad de la información en CONTROL DE FLOTA, para lo cual deberá analizar periódicamente el nivel de riesgo existente, proponiendo soluciones. Una vez autorizada la implementación de las medidas, deberá coordinar con quienes corresponda su materialización oportuna y correcta. Responde ante la Gerencia General por la existencia y cumplimiento de las medidas, manteniendo un nivel adecuado en materia de seguridad de la información y debe mantener vigente esta política acorde a las prácticas operacionales de CONTROL DE FLOTA, por lo que es responsable de generar las modificaciones necesarias para que esté siempre actualizado y procurar su publicación.
2. Comité de Seguridad: tiene por responsabilidad asesorar a la Gerencia General de CONTROL DE FLOTA, en temas de seguridad de la información, en coordinación con el Encargado de Seguridad.
3. Trabajador o Personal de CONTROL DE FLOTA: tiene la responsabilidad de cumplir con lo formalizado en este documento y aplicarlo en su entorno laboral. Además, tiene la obligación de alertar de manera oportuna y adecuada, según lo determine la política de manejo de incidentes, cualquier incidente que atente contra la seguridad de la información en CONTROL DE FLOTA.
V.II. CUMPLIMIENTO
La presente Política General de Seguridad de la Información entra en vigencia una vez aprobada por la Gerencia General de CONTROL DE FLOTA y serán las jefaturas de las distintas áreas de CONTROL DE FLOTA las responsables de ponerlas en conocimiento de su personal subordinado.
Todos los trabajadores que se contrate con posterioridad a la fecha de publicación, se le deberá entregar una copia del presente documento y hacer firmar una declaración de toma de conocimiento y aceptación de la misma.
La presente política se encuentra en cumplimiento de la legislación chilena. Cualquier conflicto con la legislación o regulaciones técnicas en esta materia, deberá ser informado inmediatamente al responsable de este documento.
VI. POLÍTICA DE SEGURIDAD Y CONTROL DE RIESGOS DE LA INFORMACIÓN
VI.I. DE LA INFORMACIÓN INTERNA
1. La información es un activo vital y todos sus accesos, usos y procesamiento, deberán ser consistentes con las políticas y estándares emitidos por CONTROL DE FLOTA en cada ámbito del giro.
2. La información debe ser protegida de una manera consistente con su importancia, valor y criticidad, siguiendo las reglas establecidas en las políticas específicas de seguridad de la información, sus procedimientos asociados y en las recomendaciones dadas por el responsable designado de dicha información. Para ello, la Gerencia de CONTROL DE FLOTA deberá proveer los recursos que permitan implementar los controles necesarios para otorgar el nivel de protección correspondiente al valor de los activos.
3. Toda la información creada, almacenada o procesada por CONTROL DE FLOTA debe ser considerada como “Reservada”, “Secreta” o “Confidencial”, a menos que se determine otro nivel de clasificación. Periódicamente se deberá revisar la clasificación, con el propósito de mantenerla o modificarla según se estime apropiado.
4. CONTROL DE FLOTA proveerá los mecanismos para que la información sea accedida y utilizada por los trabajadores que, de acuerdo a sus funciones así lo requiera. Sin embargo, se reserva el derecho de revocar al personal el privilegio de acceso a la información y tecnologías que la soportan, si la situación y las condiciones lo ameriten.
VI.II. DE LA INFORMACIÓN DE LOS USUARIOS EXTERNOS
1. Si CONTROL DE FLOTA almacena y mantiene información de usuarios que sean datos personales y/o sensibles de acuerdo con la legislación vigente. CONTROL DE FLOTA se compromete a asegurar que esta información no será divulgada sin previa autorización y estará protegida de igual manera que la información interna.
2. Si se requiere compartir información de los usuarios de CONTROL DE FLOTA con instituciones externas o proveedores de servicios con motivo de externalizar servicios, a éstas se le exigirá la firma de un contrato de confidencialidad y no divulgación previa a la entrega de la información.
VI.III. DE LAS AUDITORÍAS
1. Con el fin de velar por el correcto uso de los activos de información de su propiedad, CONTROL DE FLOTA se reserva el derecho de auditar en todo momento y sin previo aviso, el cumplimiento de las políticas vigentes y que dicen relación con el acceso y uso que los usuarios hacen de los activos de información.
2. CONTROL DE FLOTA se reserva el derecho de tomar medidas disciplinarias en contra de los trabajadores que no den cumplimiento a lo dispuesto en la presente política, las políticas específicas que se deriven y en su documentación de referencia, acciones que podrán ser solicitadas por el Jefe de Recursos Humanos o el Encargado de Seguridad de CONTROL DE FLOTA.
VI.IV. DEL COMPROMISO DE LA GERENCIA GENERAL DE CONTROL DE FLOTA
1. La Gerencia de CONTROL DE FLOTA velará por la existencia de un plan formal de difusión para esta política y las políticas específicas que la sustenten.
2. La Gerencia de CONTROL DE FLOTA, mediante la estructura que se defina en la política específica “Aspectos Organizativos de la Seguridad de la Información”, procurará que todos los trabajadores reciban un entrenamiento suficiente en materia de seguridad, consistente con sus necesidades y su rol dentro de CONTROL DE FLOTA.
3. La Gerencia de CONTROL DE FLOTA propiciará la existencia de mecanismos o procedimientos formales que permitan asegurar la continuidad del negocio ante situaciones que impidan el acceso a la información imprescindible para el funcionamiento de CONTROL DE FLOTA.
VI.V. DEBERES DE LOS TRABAJADORES
1. Tanto la información como las herramientas y las tecnologías de información deben ser usadas sólo para propósitos relacionados con el servicio y autorizados por las jefaturas, debiéndose aplicar criterios de buen uso en su utilización.
2. Las claves de acceso a la información como las herramientas y a las tecnologías de información son individuales, intransferibles y de responsabilidad única de su propietario.
3. Los trabajadores están en la obligación de alertar, de manera oportuna y adecuada, cualquier incidente que atente contra lo establecido en esta política según procedimientos establecido en el manejo de incidentes.
4. Está absolutamente prohibido al personal de CONTROL DE FLOTA divulgar cualquier información que esté catalogada como “Reservada” o “Secreta”.
5. CONTROL DE FLOTA entrega todas las garantías de reserva a los trabajadores que denuncien infracciones a lo establecido en esta Política por parte de otros trabajadores en la empresa y, en general, frente a la denuncia de cualquier ilícito del que tengan conocimiento se cometa o se ha cometido en CONTROL DE FLOTA. El Encargado de Seguridad elaborará una Política y procedimiento para regular estas circunstancias, las que serán aprobadas por el Comité de Seguridad y la Gerencia de CONTROL DE FLOTA.
VI.VI. ORGANIZACIÓN Y MANTENCIÓN DE LAS POLÍTICAS
Con el objetivo de garantizar el cumplimiento de la Política General de Seguridad de la Información y las políticas específicas que se definan posteriormente, CONTROL DE FLOTA ha establecido una estructura organizacional de seguridad que contempla la definición de funciones específicas en el ámbito de seguridad, las cuales serán ejecutadas por el Comité de Seguridad y el Encargado de Seguridad.
Las características de esta instancia organizacional y roles se detallan en el documento Política Específica – Aspectos Organizativos de la Seguridad de la Información.
VI.VII. DIFUSIÓN DE LA POLÍTICA
La presente política se integrará en la cultura organizacional, a través de la existencia de un plan formal de difusión, capacitación y sensibilización en torno a la seguridad de la información. Se auditará permanentemente, a lo menos mensualmente, los canales de comunicación interna de CONTROL DE FLOTA para el cumplimiento de estos requerimientos.
El Encargado de Seguridad de CONTROL DE FLOTA será el responsable de la existencia permanente y el cumplimiento de un plan formal de difusión, capacitación y sensibilización de la seguridad de la información.
Asimismo, el Encargado de Seguridad de la información es el responsable de la ejecución del plan y el cumplimiento de sus objetivos, así como la existencia de un plan comunicacional que lo complemente.
VI.VIII. DEL TRATAMIENTO DE DATOS PERSONALES Y PRIVACIDAD
Toda la información personal que se proporcione a CONTROL DE FLOTA debe incorporarse y regirse por la Política de Privacidad de CONTROL DE FLOTA.
CONTROL DE FLOTA tratará los datos necesarios para el cumplimiento de sus servicios siendo objeto de dicho tratamiento las siguientes categorías de datos personales:
• Información que usuarios proporcionan directamente al registrarte o utilizar los servicios de CONTROL DE FLOTA como usuario:
– Nombres
– Apellidos
– RUT
– Contraseña
– Teléfono móvil
– Dirección
– Ciudad
– País
• Información que usuarios proporcionan directamente para facturación de nuestros servicios:
– Nombre
– Rut
– Giro
– Teléfono
– Dirección
– Ciudad
– País
Sin perjuicio de lo anterior, los datos personales que tratamos en CONTROL DE FLOTA pueden proceder de varias fuentes que son las siguientes:
1. Han sido proporcionados por la empresa que ha contratado los productos o servicios de CONTROL DE FLOTA
2. Han sido facilitados por los usuarios que se han registrado en los productos o servicios de CONTROL DE FLOTA
El tratamiento de los datos de los usuarios de CONTROL DE FLOTA debe requerir el consentimiento expreso del interesado, obtenido a través del registro de usuarios que, para poder autenticarse en la plataforma de sus productos o servicios, deberá aprobar en la casilla de aceptación la Política de Privacidad, lo que implicará que el usuario ha sido informado y ha otorgado expresamente su consentimiento para el tratamiento de sus datos en base a ello. La no aceptación del mismo impedirá el acceso a los productos so servicios de CONTROL DE FLOTA
Los datos personales proporcionados se conservarán mientras sean necesarios para la finalidad para la que fueron recabados, mientras no solicite la supresión por parte del interesado o hasta que dejen de utilizarse porque el usuario o su empresa ya no utilicen los productos o servicios de CONTROL DE FLOTA. En este caso, la información se elimina, procedimiento que no está automatizado ni planificado por defecto.
CONTROL DE FLOTA reconoce los siguientes derechos a sus usuarios, los que pueden ser ejercidos en los términos dispuestos en la Política de Privacidad:
1. Para saber si sus datos están siendo tratados o no.
2. Acceder a los datos personales objeto del tratamiento.
3. Solicitar la rectificación de los datos si son inexactos.
4. Solicitar la supresión de los datos si ya no son necesarios para los fines para los que fueron recabados o si retira el consentimiento otorgado.
5. Solicitar la limitación del tratamiento de los datos, en algunos casos, en cuyo caso únicamente se conservarán de acuerdo con la normativa vigente.
6. Revocar el consentimiento para cualquier tratamiento para el que haya prestado su consentimiento, en cualquier momento.
7. Teniendo en cuenta la naturaleza de los datos recopilados por CONTROL DE FLOTA, no existe la posibilidad de su portabilidad.
Entre las medidas de seguridad se encuentran:
1. Seudonimización y encriptación de datos personales para impedir o evitar irreversiblemente la identificación de los afectados.
2. La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanente de los sistemas y servicios de tratamiento.
3. La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
4. Un proceso de verificación, evaluación y valoración periódicas de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
VII. FORMATO Y VIGILANCIA DE LAS POLÍTICAS
VII.I. VIGILANCIA DE LA POLÍTICA
1. La vigilancia de la presente política será realizada por el Encargado de Seguridad de la Información y sus cambios aprobados por el Comité de Seguridad de la Información y la Gerencia de CONTROL DE FLOTA.
2. Las políticas específicas asociadas a la presente política general y sus procedimientos deberán ser aprobadas por el Comité de Seguridad y firmadas por la Gerencia de CONTROL DE FLOTA.
3. El presente documento debe ser revisado a lo menos una vez al año y actualizado cada vez que se realicen cambios relevantes en CONTROL DE FLOTA que afecten la adecuada protección de la información, considerando como tales entre otros, cambios en la misión, objetivos estratégicos, productos estratégicos, infraestructura, personal y/o procedimientos relacionados con la protección de la información.
VII.II. DOCUMENTACIÓN DE REFERENCIA
El presente documento constituye una política de alto nivel, destinada a normar los aspectos más relevantes de la gestión de seguridad de la información, con una vigencia de largo plazo, por lo cual la Gerencia promulgará documentos adicionales que explicitan en mayor detalle las medidas de seguridad de alto nivel dispuestas en el presente documento.
Dichos documentos deberían estar asociados a los dominios definidos en la ISO/IEC 27001, los cuales son:
1. Organización de la Seguridad de la Información.
2. Gestión de Activos.
3. Seguridad de los Recursos Humanos.
4. Seguridad Física y del Ambiente.
5. Gestión de las Operaciones y de las Comunicaciones.
6. Control de Acceso.
7. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información.
8. Gestión de Incidentes de la Seguridad de la Información.
9. Gestión de Continuidad de Negocios.
10. Cumplimiento.
En la medida que estos documentos sean elaborados y aprobados, se tendrán por incorporados como Anexos a la presente Política de Seguridad y control de riesgos de la Información.
