Política de Seguridad de la Información Bmotik

1. Objetivo El objetivo principal de esta política es garantizar la protección, integridad y disponibilidad de la información confidencial y los servicios que nuestra empresa SaaS proporciona a nuestros clientes. Buscamos prevenir el acceso no autorizado, el uso indebido, la divulgación, la alteración y la destrucción de la información.

2. Alcance Esta política se aplica a todos los empleados, contratistas, consultores y terceros que tengan acceso a los sistemas y redes de la empresa. Esto incluye cualquier persona que procese, almacene o transmita información en nombre de la empresa.

3. Responsabilidades Todos los empleados son responsables de proteger la información a la que tienen acceso. Cualquier violación de esta política puede resultar en medidas disciplinarias, hasta e incluyendo el despido.

4. Gestión de Accesos El acceso a los sistemas y datos se controlará en función del principio de “necesidad de conocer”. Los empleados solo tendrán acceso a la información que necesiten para realizar sus tareas. Todos los accesos serán registrados y revisados regularmente por el comité de serguridad y/o auditor interno para detectar cualquier actividad sospechosa.

5. Protección de Datos Todos los datos almacenados en nuestros sistemas estarán cifrados en reposo y en tránsito utilizando algoritmos de cifrado fuertes. Se realizarán copias de seguridad regulares (cada semana) y se probarán para garantizar que se puedan recuperar en caso de pérdida de datos. Además, implementaremos medidas para proteger contra malware y ataques cibernéticos, dentro de los cuales se incluyen, mas no exclusivamente, las siguientes:

  • Utilizar software licenciado y si se trata de SaaS que cumpla con las normas y regulaciones de seguridad Europeas o Americanas.

  • Mantener el sistema y las aplicaciones actualizadas: Las actualizaciones a menudo incluyen parches de seguridad para vulnerabilidades recién descubiertas.

  • Cuando se trate de manejo de datos sensibles se deberá usar la red privada virtual (VPN) de bmotik.

  • Manetener habilitado el firewall.

  • Ser cauteloso con los correos electrónicos y los enlaces sospechosos, evitando ataques cibernéticos que comienzan con un correo electrónico de phishing o un enlace malicioso. Solo confirar en correos remitidos desde la misma organización y optar por una postura de constante sospecha y verificación. En caso de tener alguna duda sobre un correo, preguntar al comite de seguridad.

  • Realizar copias de seguridad regulares de los datos de manera semanal en el caso de los clientes y mensual en el caso de datos internos de bmotik.

  • Implementar la autenticación de dos factores en todas las cuentas relacionadas con bmotik, sus clientes y proveedores.

  • Capacitar a los empleados sobre la seguridad cibernética, manteniendo a los empleados deben estar informados sobre las mejores prácticas de seguridad cibernética, como no compartir contraseñas o abrir correos electrónicos sospechosos.

  • Monitorizar la red regularmente, manteniendo la detección temprana de actividad sospechosa puede prevenir un ataque a gran escala.

  • Mantener actualizado el plan de respuesta a incidentes.

5.1. Prohibición de Medios Extraíbles: Como parte de nuestro compromiso con una seguridad robusta de datos, está estrictamente prohibido el uso de medios extraíbles, incluidos, entre otros, unidades USB, discos duros externos y otros dispositivos de almacenamiento portátiles, para gestionar datos de clientes.

5.1.1. Métodos Alternativos Seguros: Para facilitar la gestión segura de datos de clientes, Bmotik ha establecido métodos alternativos para la transferencia, almacenamiento y intercambio de datos. Estos métodos aprobados se adhieren a las mejores prácticas de la industria y a estándares de cifrado para garantizar la confidencialidad e integridad de la información del cliente.

5.2. Prohibición de Compartir Cuentas de Usuario: Como parte del compromiso de Bmotik de mantener prácticas sólidas de seguridad de la información, la organización prohíbe estrictamente el compartir cuentas de usuario entre múltiples individuos. Cada cuenta de usuario está designada para uso individual y no es transferible. Los empleados y usuarios autorizados de Bmotik tienen expresamente prohibido compartir sus cuentas de usuario asignadas con otras personas. Una cuenta de usuario está destinada para el uso exclusivo del individuo a quien se le asigna y no debe compartirse, transferirse ni utilizarse por nadie más.

5.2.1. Responsabilidad Individual: Cada usuario es individualmente responsable de las actividades realizadas utilizando sus credenciales de cuenta de usuario asignadas. Compartir cuentas de usuario socava las medidas de seguridad y responsabilidad establecidas y aumenta el riesgo de acceso no autorizado a información sensible.

5.2.2. Autenticación de Usuario: Los usuarios deben autenticarse utilizando sus credenciales únicas al acceder a los sistemas, aplicaciones y recursos de Bmotik. Compartir cuentas de usuario compromete la integridad del proceso de autenticación y puede resultar en acceso no autorizado. Todas las cuentas deben usar MFA.

5.2.3. Implicaciones de Seguridad: Compartir cuentas de usuario plantea riesgos significativos de seguridad, incluyendo, entre otros, acceso no autorizado, violaciones de datos y la incapacidad de rastrear con precisión las acciones a individuos específicos. También viola el principio de privilegio mínimo al permitir a las personas acceso más allá de sus permisos autorizados.

5.2.4. Consecuencias de la Violación: Las violaciones de esta política resultarán en acciones disciplinarias, que pueden incluir advertencias por escrito, suspensión de privilegios de cuenta o terminación del empleo, según la gravedad y la recurrencia de la violación. Además, en casos donde la violación conduce a un acceso no autorizado o compromete información sensible, se puede tomar acción legal.

6. Gestión de Incidentes Cualquier incidente de seguridad debe ser informado inmediatamente al equipo o comité de seguridad. Se llevará a cabo una investigación y se tomarán medidas para prevenir incidentes futuros. Esto puede incluir cambios en las políticas y procedimientos, formación adicional o mejoras en las medidas de seguridad.

A continuación se describe el plan estándar de respuesta a incidentes en la seguridad de la información:

  • 1. Preparación: Antes de que ocurra un incidente, todos los empleados deben estar presentes y responsables del programa de formación del personal, la definición de roles y responsabilidades, y la preparación de herramientas de monitoreo automatico de los que dispone la empresa y cualquier otro recursos necesario. Reconociendo al comité de seguridad, sus canales de comunicación y las politicas de la empresa respecto a la seguridad de la información.
  • 2. Identificación: El primer paso en la respuesta a un incidente es identificar que ha ocurrido un incidente. Esto puede implicar la detección de actividad sospechosa, la recepción de informes de usuarios o clientes, o la identificación de una violación de la política. Asi como la notificación inmediata al comité de seguridad y posteriormente de este comité al cliente en no más de 24 horas de sucedido el evento.
  • 3. Contención: Una vez que se ha identificado un incidente, el objetivo inmediato es contenerlo para minimizar el daño. Esto puede implicar desconectar sistemas o redes afectadas, revocar el acceso del usuario o cambiar contraseñas.
  • 4. Erradicación: Después de contener el incidente, el próximo paso es erradicar la causa del incidente. Esto puede implicar la eliminación de malware, la corrección de vulnerabilidades o la implementación de nuevas medidas de seguridad.
  • 5. Recuperación: Una vez que se ha erradicado la causa del incidente, los sistemas y redes pueden ser restaurados a su funcionamiento normal. Esto debe hacerse de manera controlada para evitar que el incidente se repita.
  • 6. Lecciones Aprendidas: Después de que se ha resuelto un incidente, es importante revisar lo que ocurrió y por qué ocurrió. Esto puede implicar una revisión post-incidente, una auditoría de seguridad o una revisión de las políticas y procedimientos existentes.
  • 7. Comunicación: Durante todo el proceso, es importante comunicarse eficazmente con todas las partes interesadas. Esto puede incluir a los empleados, a los clientes y a las autoridades reguladoras. Para dicha comunicación se deben utilizar los canales oficiales de la empresa y evitar al máximo conversaciones via telefónica o mensajería instantánea.

 

7. Cumplimiento La empresa cumplirá con todas las leyes y regulaciones aplicables relacionadas con la seguridad de la información y la privacidad. Esto incluye el Reglamento General de Protección de Datos (GDPR), la Ley de Protección de Datos Personales (LPPD) y otras leyes locales e internacionales relevantes.

8. Revisión y Actualización Esta política será revisada y actualizada regularmente, al menos una vez al año o cuando ocurran cambios significativos en nuestro negocio o en las leyes y regulaciones aplicables.

9. Formación Todos los empleados recibirán formación regular sobre seguridad de la información para garantizar que comprenden sus responsabilidades. Esta formación cubrirá temas como el manejo seguro de la información, cómo detectar y reportar incidentes de seguridad, y cómo mantener seguros los sistemas y datos.

10. Comité de Seguridad Se formará un Comité de Seguridad compuesto por representantes clave del negocio, incluyendo pero no limitado a IT, Legal, Operaciones y Finanzas. Este comité será responsable del desarrollo, implementación y supervisión periodica, de mínimo una vez al año del programa de seguridad.

La comunicación con el comite de seguridad se realizará a través del correo: [email protected] o a traves de los canales de comunicación oficiales habilitados por la empresa.

11. Auditoría Interna Se realizarán auditorías internas regulares para asegurar el cumplimiento con esta política y identificar cualquier área que requiera mejora.

Modificado por última vez el 5 de febrero de 2024

Blog

Tips, noticias y más

Hardware

Lista de equipos recomendados por bmotik (venta y alquiler) para eventos, experiencias inmersivas, etc.

Consultoría para Eventos

Somos tu aliado ideal para resolver los retos de tus eventos desde una óptica diferente cuyo centro es digital y tecnológico.

Desarrolladores

Consulta nuestra API para integrar tus propios activos digitales con nuestra App de registro y logística

quiscos de auto impresion bmotik. Sistema de registro para eventos

Aprende más sobre la industria del EventTech y las tecnologías de vanguardia que se están demandando cada vez más en eventos de todo tipo.