Política de seguridad de la información

31 de julio de 2025

politica_de-seguridad-de-la-informacion

Versión 1.0 – Marzo 2025

OBJETIVO

Establecer los principios y requisitos mínimos para proteger la información de EFRENIS SOFTWARE y sus CLIENTES (digital, impresa o hablada) frente a amenazas internas o externas, asegurando su confidencialidad, integridad y disponibilidad en todo el ciclo de vida.

ALCANCE

Aplica a toda la organización: empleados, contratistas, proveedores, socios tecnológicos y sistemas propios o en la nube que procesen información de ACME, sin importar su ubicación geográfica.

BASE NORMATIVA

• Ley 172-13 sobre Ciberseguridad (R.D.)
• ISO/IEC 27001
• Reglamento PCI-DSS v4.0 (para datos de pago)
• Política de la empresa de Continuidad y Riesgo

CONCEPTOS

• Información clasificada: pública, interna, confidencial, secreta.
• Activo crítico: cualquier información cuya pérdida o divulgación afecte operaciones, reputación o cumplimiento legal.
• Usuario: cualquier persona con credenciales de acceso a cualquiera de los sistemas involucrados en el proceso informático.

RESPONSABILIDADES

• DIRECCIÓN TÉCNICA DE EFRENIS SOFTWARE: Garantiza las políticas y métricas.
• SOPORTE TÉCNICO: Vigilancia continua y pruebas de seguridad, así como sugerencias en la potenciación de la seguridad de la información.
• SOPORTE TERASHOP: Vigilancia y monitoreo de los accesos y posibles ataques al centro de datos.
• TODOS LOS USUARIOS: Aplicar las medidas de seguridad y reportar cualquier incidente que esté relacionado al acceso a los datos.

CLASIFICACIÓN

• VERDE: Nivel público. Ej: Folletos, lista de precios, etc. Protección mínima: Sin restricción.
• AMARILLO: Nivel interno: Ej: Manuales internos, organigrama, diagramas de estructuras, etc. Protección mínima: Acceso autenticado.
• NARANJA: Contratos, información de contactos, etc. Protección mínima: Cifrado de la información y acceso basado en roles.
• ROJO: Claves privadas, información personal de contactos y otros, códigos fuentes o bases de datos. Protección mínima: Cifrado de la información, acceso solo

VPN corporativa y justificado.

ACTIVACIÓN

Accesos

• Principio de privilegio mínimo.
• Credenciales únicas; prohibido compartir cuentas.
• Revocación automática al cesar relación laboral.
• Acceso remoto solo vía VPN corporativa.

Gestión de contraseñas y secretos

• Políticas de contraseñas seguras con fecha de vencimiento.
• Gestión de información secreta.
• Política de “cero conocimiento” para contraseñas de clientes.

Endpoints

• EDR (CrowdStrike) con detección y respuesta automatizada.
• Disco duro cifrado (BitLocker / FileVault).
• Bloqueo automático de sesiones por inactividad o vencimiento de token.

Red

• Acceso restringido por VPN
• Firewall NG + IPS + DLP habilitados.
• Monitoreo 24×7 con SIEM; alertas críticas en <15 min y notificación por whatsapp.

Gestión de vulnerabilidades

• Escaneo automatizado.
• Parches críticos del sistema operativo de manera continua.
• Pen-testing externo anual y tras grandes cambios.

Gestión de incidentes

• Procedimiento IR-01-2024: detección, clasificación (P1-P4), contención, erradicación, recuperación y lecciones aprendidas.
• Notificación al Cliente en menos de 30 min; a la DGII y al INDOTEL en menos de 72 h si afecta datos personales.

Subcontratación y proveedores

• NDA previo al contrato.
• DPA en el contrato junto con cláusula de ciberseguridad.
• Acceso solo a la información mínima necesaria.

Auditoría y cumplimiento

• Auditoría interna semestral y externa anual (ISO 27001).
• Índice de cumplimiento objetivo mayor o igual a 98 %.
• Hallazgos críticos: plan de acción y cierre en menos de 30 días.

Revisión y Aprobación

• Revisión obligatoria anual o ante incidentes graves o cambios regulatorios.
• Aprobada por la Dirección Técnica y Administrativa de EFRENIS SOFTWARE.

Comparte esta noticia
Facebook
Twitter
LinkedIn
WhatsApp

Otros artículos relacionados