Seguridad de la Información

El Grupo Ayko Technology opera basándose en principios de seguridad de la información con el objetivo de garantizar la confidencialidad, integridad y disponibilidad de la información. Como parte de este compromiso, implementamos controles criptográficos en las comunicaciones y en el procesamiento de datos personales siempre que sea necesario para proteger la información del acceso no autorizado y garantizar que los datos se mantengan seguros en todas las etapas del procesamiento. Además, el Grupo Ayko Technology está certificado en la norma ISO 27001 con el alcance: Sistema Integrado de Gestión aplicado a procesos SOC y Data Center, reflejando nuestro compromiso con las mejores prácticas de seguridad.

Nuestro Sistema de Gestión Integrado (SGI) es auditado independientemente al menos dos veces al año, proporcionando así una validación independiente de la eficacia de nuestros controles de seguridad.

1. Objeto, alcance y usuarios

El objetivo de esta Política de alto nivel es definir el propósito, dirección, principios y reglas básicas de la gestión de la seguridad de la información.

Esta política se aplica a todo el Sistema Integrado de Gestión (SGI), tal como se define en el documento de alcance del SGI.

Los usuarios de este documento son empleados de Ayko Technology, así como partes externas relevantes.

2. Documentos de referencia

  • Norma ISO/IEC 27001:2022, cláusulas 5.1, 5.2, 5.3 y A.5.1, A.5.2
  • MA-SGI-001 – Manual de la SGI
  • ME-SGI-001 – Metodología de evaluación y tratamiento de riesgos
  • DE-SGI-001 – Declaración de aplicabilidad
  • Control de Obligaciones Legales, Regulatorias y Contractuales

3. Terminología

Confidencialidad – características de la información que están disponibles sólo para personas o sistemas autorizados.

Integridad – características de la información que sólo las personas modifican de la forma permitida.

Disponibilidad – características de la información a la que sólo pueden acceder personas autorizadas cuando sea necesario.

Seguridad de la Información – preservación de la confidencialidad, integridad y disponibilidad de la información.

Sistema de manejo integrado – es un conjunto de políticas, procedimientos y tecnologías utilizadas para gestionar y proteger los activos asociados a la información y los datos personales de una organización.

4. Gestión de la seguridad de la información

4.1 Objetivos y medición

Los objetivos generales para la gestión de la seguridad de la información son los siguientes:

  • Atender los requerimientos de la Alta Gerencia relacionados con las demandas del mercado para el área de seguridad de la información;
  • Sensibilizar a los empleados sobre la importancia de la seguridad de la información;
  • Asegurar la efectividad de los controles de seguridad aplicables para garantizar la confidencialidad, integridad y disponibilidad de la información.

Para alcanzar los objetivos definidos para el SGI, se determina la Planificación Anual de Objetivos del SGI y ésta es monitoreada periódicamente en las reuniones de análisis crítico del SGI, donde se verifican los índices de servicio de acuerdo a los indicadores definidos.

La Presidencia, el Comité Ejecutivo y el Comité Directivo de Seguridad de la Información se comprometen a una gestión eficaz de la Seguridad de la Información en Ayko Technology. Por lo tanto, adoptan todas las medidas necesarias para garantizar que esta política se comunique, comprenda y aplique adecuadamente en todos los niveles de la organización. Se realizarán revisiones periódicas para garantizar su continua relevancia y adecuación a las necesidades de Ayko Technology.

4.2 Requisitos de seguridad de la información

Esta Política y todo el SGI deben cumplir con los requisitos legales y reglamentarios impuestos a la organización en materia de seguridad de la información, así como con las obligaciones contractuales.

Se registrarán y controlarán los requisitos contractuales y legales.

4.3 Controles de seguridad de la información

Los procesos de selección de controles (salvaguardas) están definidos en la Metodología de Evaluación y Tratamiento de Riesgos.

Los controles seleccionados y su estado de implementación se enumeran en la Declaración de aplicabilidad.

4.4 Responsabilidades

Las responsabilidades básicas de la SGI son:

  • El Director de Operaciones – COO debe:
    • Garantizar que el SGI se implemente de conformidad con esta Política y asegurar todos los recursos necesarios.
    • Para la coordinación operativa del SGI, así como informar sobre el desempeño del mismo.
    • Implementar junto con RR.HH. un Programa de Capacitación y Sensibilización en seguridad de la información para los empleados y todas las personas que tienen un rol en la gestión de la seguridad de la información.
  • El DPO debe:
    • Asegurar que la gestión de la privacidad se lleve a cabo de acuerdo con esta Política y cuente con todos los recursos necesarios.
    • Gestione e informe sobre el rendimiento de la privacidad.
    • Informar al Director de Operaciones – COO sobre cualquier inquietud relacionada con la seguridad de la información.
    • Implementar junto con RR.HH. un Programa de Capacitación y Concientización sobre privacidad para los empleados y todas las personas que puedan impactar la privacidad.
  • El Comité Directivo del Sistema de Gestión (CSGI) debe:
    • Revise el SGI al menos una vez al año o cuando se produzca un cambio importante y prepare el acta de la reunión. El objetivo de la revisión por la dirección es determinar la idoneidad y eficacia del SGI.
    • Garantizar que las actividades de seguridad de la información se lleven a cabo de conformidad con el SGI.
    • Tomar las acciones necesarias para difundir una cultura de seguridad de la información dentro del entorno de Ayko Technology.
  • El equipo de Seguridad de la Información debe:
    • Proponer metodologías, procesos e iniciativas encaminadas a la seguridad de la información.
    • Promover la concientización de los empleados sobre la relevancia de la seguridad de la información para Ayko Technology, a través de acciones conjuntas con RRHH.
    • Acordar con los gerentes el nivel de servicio que se brindará y los procedimientos de respuesta a incidentes.
    • Segregar las funciones administrativas, operativas y educativas para restringir los poderes de cada individuo al mínimo necesario y eliminar, o al menos reducir, la existencia de individuos que puedan borrar los registros y pistas de auditoría de sus propias acciones.
    • Garantizar una seguridad especial para los sistemas de acceso público, almacenando evidencia que permita la trazabilidad para fines de auditoría o investigación.
    • Habilite un seguimiento de auditoría con suficiente nivel de detalle para rastrear posibles fallas y fraudes en transacciones críticas. Para los senderos generados y/o mantenidos electrónicamente, implementar controles de integridad para que sean legalmente válidos como evidencia.
  • El equipo de soporte de TI debe:
    • Configurar los equipos, herramientas y sistemas otorgados a los empleados con todos los controles necesarios para cumplir con los requisitos de seguridad establecidos en esta política y normas complementarias de seguridad de la información.
    • Administre, proteja y pruebe copias de seguridad de programas y datos relacionados con procesos críticos relevantes para Ayko Technology.
  • Los Responsables de Personas y/o Procesos deben:
    • Tener una postura ejemplar en relación con la seguridad de la información, sirviendo como modelo de conducta para los empleados bajo su gestión.
    • Compruebe si los empleados a su cargo, durante la contratación y formalización de contratos individuales de trabajo y servicios, fueron informados sobre esta política y si recibieron su aceptación.
    • Adaptar los estándares, procesos, procedimientos y sistemas bajo su responsabilidad para cumplir con esta política de seguridad de la información.
  • La Oficina de Calidad deberá:
    • Monitorear el cumplimiento y calidad de los controles.
    • Apoyar al Director de Seguridad en los registros de control.
  • Los usuarios de la información deben:
    • Leer, comprender y cumplir íntegramente los términos de la Política de Seguridad de la Información, así como demás normas y procedimientos de seguridad de SGI.
    • Remitir cualquier consulta y/o solicitud de aclaración sobre la Política de Seguridad de la Información, y las normas y procedimientos de Seguridad de la Información o, en su caso, al Comité de Gestión de Seguridad de la Información.
    • Reportar al Director de Operaciones – COO cualquier evento que viole esta Política o ponga/pueda poner en riesgo la seguridad de la información o de los recursos computacionales de Ayko Technology.
    • Firmar el Término de Aceptación formalizando el conocimiento y aceptación plena de lo dispuesto en la Política de Seguridad de la Información, así como de otras normas y procedimientos de seguridad, asumiendo la responsabilidad de su cumplimiento.
    • Responder por el incumplimiento de la Política de Seguridad de la Información, normas y procedimientos de seguridad, según se define en el punto de sanciones y castigos.
    • Proteger la integridad, disponibilidad y confidencialidad es responsabilidad del propietario de cada activo.
    • Todos los incidentes y debilidades de seguridad deben ser reportados al Director de Operaciones – COO, quien determinará qué información relacionada con la seguridad de la información será comunicada a qué partes interesadas internas y externas, por quién y cuándo.

4.5 Comunicación de políticas

El Director de Operaciones (COO) debe asegurarse de que todos los empleados de Ayko Technology, así como todas las partes externas correspondientes, conozcan esta Política.

4.6 Sanciones y castigos

Las violaciones, incluso por mera omisión o intento fallido, de esta política, así como de otras normas y procedimientos de seguridad, estarán sujetas a sanciones que incluyen amonestación verbal, amonestación escrita, suspensión sin goce de sueldo y despido por causa justificada.

La aplicación de sanciones y castigos se realizará de acuerdo con el análisis del Comité del Sistema Integrado de Gestión (CSGI), considerando la gravedad de la infracción, efecto alcanzado, reincidencia y las hipótesis previstas en el artículo 482 de la Consolidación de Leyes del Trabajo, y la CGSI, en ejercicio de la potestad disciplinaria que tiene atribuida, podrá aplicar la sanción que estime procedente cuando se tipifique una falta grave.

En el caso de terceros contratados o prestadores de servicios, la CSGI deberá analizar la ocurrencia y deliberar sobre la implementación de sanciones y castigos de acuerdo a los términos establecidos en el contrato.

En caso de infracciones que impliquen actividades ilícitas, o que puedan causar daños a Ayko Technology, el infractor será responsable de los daños y perjuicios, aplicándose las medidas legales pertinentes sin perjuicio de lo descrito en el punto 4.6 de esta política.

5. Apoyo a la implementación de la SGI

Por tanto, la alta dirección de Ayko Technology declara que la implementación del SGI y su mejora continua estarán apoyadas por los recursos adecuados para alcanzar todos los objetivos definidos en esta Política, así como cumplir todos los requisitos identificados.

6. Validez y gestión de documentos

Este documento es válido a partir de la fecha de su aprobación.

O Director de Operaciones – El COO es responsable de revisar periódicamente este documento y actualizarlo cuando sea necesario.

07/03/2025 – Versión 5.0