Declaración de Política de Privacidad y Protección de Datos para Clientes, Proveedores y Terceros
Última actualización: 10 de marzo, 2023
CONSULSYS S.A. cree firmemente en los derechos fundamentales en materia de privacidad y protección de datos personales. Los datos personales son cualquier información que nos identifica de forma directa (por ejemplo, el nombre) o indirecta (la cual también puede utilizarse, de cierta manera, para identificar a alguien; por ejemplo, domicilio o número telefónico).
Esta Declaración de Privacidad establece el modo en que, como compañía, protegemos, resguardamos y tratamos los datos personales, en virtud de los procesos relacionados que tenemos con nuestros clientes, potenciales clientes, proveedores, potenciales proveedores y terceros, y, en el supuesto de que éstos sean personas jurídicas, de sus representantes legales o personas de contacto (en adelante y en su conjunto, los “Clientes, Proveedores y Terceros”). Por consiguiente, en términos de la normativa aplicable y vigente para la protección de datos personales (en adelante, “Normativa Aplicable”), debe saberse que la relación con nuestros Clientes, Proveedores y Terceros implica el acceso y tratamiento de datos personales por parte de CONSULSYS S.A.
En ese sentido, tenemos el compromiso de proteger la privacidad y los datos personales de nuestros Clientes, Proveedores y Terceros, así como garantizar el cumplimento de la Normativa Aplicable, de acuerdo con las regulaciones de los países donde se ubican las sociedades pertenecientes la compañía. Tratamos los datos personales de forma lícita, justa y transparente; apegados a fines determinados explícitos y legítimos, mismos que son adecuados, pertinentes, proporcionales y limitados en relación con los fines del tratamiento. Además, estamos obligados a mantener los datos exactos y actualizados, y a conservarlos de forma que su identificación sea fácil, solo durante el tiempo necesario para cumplir con los fines del tratamiento.
Recabamos los datos personales a través de los procesos internos de alta de Clientes, Proveedores y Terceros, y, según el caso, a través de la contratación y durante la relación con estos mismos. En virtud de ello y, a fin de cumplir con el principio de proporcionalidad, así como con la minimización de datos, recabamos únicamente los datos personales estrictamente necesarios para el cumplimiento de la relación que tenemos con nuestros Clientes, Proveedores y Terceros.
Las categorías de datos personales que podrían ser utilizadas según cada caso son las siguientes:
● Datos de identificación y contacto.
● Financieros y patrimoniales.
● Laborales.
En el caso de que nuestros Clientes, Proveedores y Terceros nos compartan datos de terceros (por ejemplo: nombres, puestos y datos de contacto de sus empleados, administradores, accionistas o representantes), deberán, previamente, informar y/o contar con la autorización de dichos terceros sobre el tratamiento de sus datos personales.
Si, por alguna razón, no se nos pueden compartir los datos personales solicitados para algún proceso en específico, en el que dichos datos sean necesarios para cumplir con la relación contractual o con nuestras obligaciones legales, no será posible prestar nuestros servicios o establecer una relación de negocios. Adicionalmente, solicitamos a nuestros Clientes, Proveedores y Terceros mantener actualizados los datos personales, en la medida en que sufran cambios, y que nos proporcionen siempre información completa, veraz y correcta, para gestionar oportuna y eficazmente los procesos necesarios.
CONSULSYS S.A. ha establecido el siguiente grupo de categorías para los sistemas de tratamiento de datos personales según su riesgo inherente:
a) Nivel estándar
Esta categoría considera información de identificación, contacto, datos laborales y académicos de una persona física identificada o identificable, tal como: nombre, teléfono, edad, sexo, estado civil, dirección de correo electrónico, lugar y fecha de nacimiento, nacionalidad, puesto de trabajo, lugar de trabajo, experiencia laboral, datos de contacto laborales, idioma o lengua, escolaridad, trayectoria educativa, títulos, certificados, cédula profesional, entre otros.
b) Nivel sensible
Esta categoría contempla los datos que permiten conocer la ubicación física de la persona, tales como la dirección física e información relativa al tránsito de las personas dentro y fuera del país.
También son datos de nivel sensible aquéllos que permitan inferir el patrimonio de una persona, que incluye entre otros, los saldos bancarios, estados y/o número de cuenta, cuentas de inversión, bienes muebles e inmuebles, información fiscal, historial crediticio, ingresos, egresos, buró de crédito, seguros, afores y fianzas. Incluye el número de tarjeta bancaria de crédito y/o débito.
Son considerados también los datos de autenticación con información referente a los usuarios, contraseñas, información biométrica (huellas dactilares, iris, voz, entre otros), firma autógrafa y electrónica y cualquier otro que permita autenticar a una persona.
Dentro de esta categoría se toman en cuenta los datos jurídicos tales como antecedentes penales, amparos, demandas, contratos, litigios y cualquier otro tipo de información relativa a una persona que se encuentre sujeta a un procedimiento administrativo seguido en forma de juicio o jurisdiccional en materia laboral, civil, penal o administrativa.
Finalmente, se contemplan los datos personales sensibles de la Ley, es decir, aquéllos que afecten a la esfera más íntima de su titular. Por ejemplo, se consideran sensibles los que puedan revelar aspectos como origen racial o étnico, estado de salud pasado, presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual, hábitos sexuales y cualquier otro cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave a la integridad del titular.
c) Nivel especial
Esta categoría corresponde a los datos cuya naturaleza única, pueden causar daño directo a los titulares, por ejemplo la Información adicional de tarjeta bancaria que considera el número de la tarjeta de crédito y/o débito mencionado anteriormente en combinación con cualquier otro dato relacionado o contenido en la misma, por ejemplo fecha de vencimiento, códigos de seguridad, datos de banda magnética o número de identificación personal (PIN).
CONSULSYS S.A. no solicita dentro de sus procesos de negocio o servicio datos que corresponden a los niveles b) Sensible y c) Especial.
CONSULSYS S.A. está comprometida con el principio de limitación de la finalidad, por lo que solamente tratamos los datos personales estrictamente necesarios para el cumplimiento de la relación jurídica que tenemos con nuestros Clientes, Proveedores y Terceros.
Trataremos los datos personales sobre la base de su interés legítimo, con la única finalidad de garantizar el mantenimiento de dicha relación y por el periodo que dure la misma, pudiendo conservarlos, posteriormente, bloqueados durante los plazos que se deriven de la prescripción de las acciones legales relacionadas con ese tratamiento.
La forma de obtención de los datos personales se realizará de forma directa con los Clientes, Proveedores y Terceros, o bien, de forma indirecta, a través del/de la responsable del compromiso, Socios(as), directores(as), apoderados(as), entre otros(as), o bien, mediante transferencias autorizadas o fuentes de acceso público, siempre con la finalidad de llevar a cabo los procesos internos necesarios para aceptarles como clientes, proveedores o terceros de la compañía.
En cumplimiento de la Normativa Aplicable, CONSULSYS S.A. ha dispuesto que el área Delegada de Protección de Datos Personales y de Tramitar las Dudas y Quejas de los titulares de datos sea el Área Legal de la compañía, a través del correo electrónico: legal@consulsys.com
Para el ejercicio de los derechos del titular o titulares de datos, CONSULSYS S.A. podrá ponerse en contacto con nosotros a través del correo electrónico: legal@consulsys.com
Las solicitudes deberán contener los siguientes requisitos:
● Nombres y apellidos del/de la titular del derecho; acreditación de su identidad, presentando una copia de su documento de identidad con fotografía; y, en su caso, también de su representante.
● Petición concreta que da lugar a la solicitud.
● Domicilio, o dirección física y electrónica, para enviar las notificaciones que correspondan.
● Fecha y firma del/de la solicitante.
● Documentos que sustenten la petición, de ser el caso.
El área encargada enviará la respuesta respectiva al correo electrónico desde el cual se envió la solicitud de derechos, o a la dirección que se señale el remitente en la comunicación. Toda comunicación que carezca de dirección física o electrónica para responder no se estudiará y será descartada.
En CONSULSYS S.A., esto también aplica para quienes intervengan en cualquier parte del tratamiento de la información, estamos obligados a guardar la confidencialidad de los datos personales. Esta obligación subsiste aun después de finalizadas las relaciones con la compañía. La obligación de confidencialidad se extingue cuando medie consentimiento previo, informado, expreso e inequívoco del/de la titular, resolución judicial consentida o ejecutoriada, o cuando medien razones fundadas relativas a la defensa nacional, así como a la seguridad o la sanidad públicas, sin perjuicio del derecho a guardar el secreto profesional.
Por otra parte, para prevenir razonablemente el uso o divulgación indebida de la misma, hemos implementado medidas de seguridad tanto físicas como técnicas y administrativas, de conformidad con la Normativa Aplicable.
CONSULSYS S.A. podría según la necesidad y a solicitud de clientes, potenciales clientes, proveedores, potenciales proveedores y terceros transferir sus datos personales recibidos o recolectados a: (i) cualquiera de los(as) miembros de CONSULSYS S.A. y/o sociedades relacionadas, afiliadas, controladas, controlantes, filiales, representaciones o vinculadas; (ii) terceros proveedores de servicios administrativos, de infraestructura y otro tipo de soporte a la operación, independientemente del país donde se encuentren, para lo cual la compañía mantendrá estándares adecuados de confidencialidad, protección y seguridad análogos a los exigidos en la Normativa Aplicable; y/o, (iii) tratándose de servicios de auditoría, en cualquier caso de supervisión o requerimiento de información a la compañía y en el caso de cualquier otro servicio, con cualquier autoridad o regulador nacional competente derivado de una solicitud debidamente fundada y motivada.
La transferencia de los datos personales puede efectuarse a un país que no cuente con normas adecuadas de protección de datos personales conforme los parámetros establecidos por las autoridades y la Normativa Aplicable y/o mantenerlos alojados en un servidor que no resida en su país.
En estos casos, CONSULSYS S.A. exige, a quienes transfiere dichos datos, el cumplimiento de estándares adecuados de confidencialidad, protección y seguridad análogos a los exigidos por la Normativa Aplicable, y que circunscriban el uso de dichos datos al fin específico para el cual fueron trasmitidos.
De conformidad con lo previsto por la Normativa Aplicable y en atención a las políticas y procedimientos internos de CONSULSYS S.A., se podrá llevar a cabo la comunicación/cesión de datos personales a terceros(as) receptores(as). El/la tercero(a) receptor(a) de los datos personales asume la condición de responsable del tratamiento, de conformidad con la Normativa Aplicable, y deberá realizar el tratamiento de los datos personales cumpliendo con lo establecido en la información que La Compañía dio de manera previa.
El tratamiento llevado a cabo por parte del/de la tercero(a) receptor(a) deberá cumplir con las disposiciones de la presente Declaración de Privacidad.
La comunicación o cesión deberá formalizarse mediante mecanismos que permitan demostrar que La Compañía comunicó al/la tercero(a) receptor(a) las condiciones en las que el/la titular de los datos personales consintió el tratamiento de los mismos.
CONSULSYS S.A. podrá modificar esta Declaración de Privacidad de manera unilateral, en el momento que lo considere necesario, informándole de ello en nuestra página de internet. De realizarse algún cambio o modificación a esta Declaración de Privacidad, se podrá evidenciar en el acápite “Actualizaciones”, al final del presente documento.
Los datos personales serán almacenados únicamente durante el periodo que sea razonablemente necesario para cumplir con las finalidades de uso descritas en la presente Declaración de Privacidad, o hasta el plazo máximo de 10 años contados a partir de la finalización de la relación jurídica.
Última actualización: 10 de marzo de 2023.
CONSULSYS S.A. está consciente que el riesgo inherente en los sistemas de tratamiento de datos personales puede incrementarse cuando se manejan grandes volúmenes de información personal, cuando se relacionan distintos tipos de datos o se combinan bases de datos de diferentes fuentes (cruces de información); asimismo que el nivel de riesgo en los sistemas de tratamiento de datos personales puede disminuirse con mecanismos como la Disociación, la Separación, el Cifrado y la Anonimización de los datos.
Disociación: con esta técnica se aíslan los datos de manera que por sí mismos no aporten información valiosa de un titular o éste no pueda ser identificable. De esta manera el valor de la base de datos para una persona no autorizada se ve disminuido.
Separación: con esta técnica se separan los activos de información grandes en otros más pequeños, por ejemplo, una base de datos de clientes en dos bases de datos: clientes corporativos y personas físicas. Entre mayor cantidad de información tiene un activo, este resulta más atractivo para una persona no autorizada.
Cifrado: la técnica de encriptación o cifrado es un mecanismo de seguridad que permite modificar los datos de modo que su contenido sea ilegible, salvo para su destinatario. De modo inverso, la desencriptación o descifrado permite hacer legible un mensaje que estaba cifrado.
Anonimización: es una técnica de tratamiento de datos que elimina o modifica los datos personales identificables para obtener datos anónimos que no se pueden asociar con ninguna persona.
Aunque las categorías para los sistemas de tratamiento descritas en la sección de Categorías de Datos Personales de nuestra política representan una orientación, es importante remarcar que los ciertos datos personales que en principio no se consideran sensibles, podrían llegar a serlo dependiendo del contexto en que se trate la información.
Una vez que se han identificadas las categorías de los sistemas de tratamiento de datos personales, CONSULSYS S.A. ha definido mecanismos para determinar su relación con el personal de la firma. Es decir que, considerando la relación que tienen las funciones de cada área con los datos, se identifica qué tipo de tratamiento efectúa cada uno de ellos, así como el grado de responsabilidad, de modo que a través de un registro documentado de la "Matriz de Responsabilidad y Sistema de Tratamiento" se definen los privilegios y límites que tiene cada individuo. Esto nos ayuda a ponderar aquellas áreas que necesitan controles de seguridad o entrenamiento más específico. En caso de una solicitud de derechos o una vulneración a la seguridad, es de utilidad tener identificado quiénes dentro de la organización puede ayudar con estos procesos.
Para poder definir un plan del riesgo a tratar y posteriormente implementar controles de seguridad, se han definido los diferentes criterios de evaluación dentro de la organización, que permiten delimitar el nivel de riesgo aceptable para los datos personales. Estos criterios de evaluación del riesgo de la seguridad de los datos personales deben considerar los factores establecidos en el artículo 40 de la Ley Orgánica de Protección de Datos Personales de Ecuador y de manera adicional, entre otros factores que pueden incidir en el nivel de riesgo dentro de su política CONSULSYS S.A. ha identificado los siguientes:
Los requerimientos regulatorios y obligaciones contractuales que se usaron para definir los objetivos y alcances. El valor de los datos personales, de acuerdo a su clasificación por tipo definida previamente y su flujo. El valor y exposición de los activos involucrados con los datos personales. Expectativas de las partes interesadas, así como las consecuencias negativas a la reputación de nuestra firma, que pudieran derivar de una vulneración.
Considerando los factores anteriores, CONSULSYS S.A. ha establecido dos tipos de criterios de evaluación del riesgo, los de impacto y los de aceptación. Los primeros corresponden a todo el posible daño a los titulares, mientras que los de aceptación se alinean de manera general a los niveles de riesgo fijados como meta respecto a nuestros alcances y objetivos, estos criterios se detallan a continuación:
Criterios de impacto. Se definen en términos del posible nivel de daño y perjuicio al titular causado por un evento negativo a la seguridad de los datos personales, considerando:
El valor de los datos para nuestros Clientes, Proveedores y Terceros El incumplimiento con las obligaciones legales y contractuales relacionadas con el titular Vulneraciones de seguridad (artículo 37 de la Ley Orgánica de Protección de Datos Personales de Ecuador) Daño a la integridad de los titulares de datos personales Daño a la reputación de la organización
Criterios de aceptación del riesgo. CONSULSYS S.A. podría aceptar o no ciertos niveles de riesgo, siempre y cuando la naturaleza del riesgo, sus consecuencias o su probabilidad sean consideradas como muy poco significativas. Estos criterios dependen de las políticas y objetivos de nuestra firma y de las partes interesadas, considerando que:
Se expresará el beneficio o el riesgo estimado para nuestra firma y de las partes interesadas, aplicando diferentes criterios de aceptación correspondientes al riesgo. Se incluirán múltiples umbrales, correspondientes a diferentes niveles de aceptación, previendo que los responsables acepten riesgos sobre esos niveles en circunstancias específicas. Los criterios de aceptación del riesgo pueden incluir requerimientos para una gestión futura, por ejemplo, un riesgo puede ser aceptado si hay aprobación y el compromiso de la Alta Dirección de nuestra firma y de las partes interesadas, para tomar acciones que permitan reducirlo a un nivel aceptable dentro de un periodo definido más adelante. Para definir todo criterio de aceptación del riesgo se considerará:
o Política(s) de nuestra firma y de las partes interesadas respecto al tratamiento de datos personales o Aspectos legales y regulatorios
o Operaciones
o Tecnología
o Finanzas
o Factores sociales y humanitarios
Valoración Respecto al Riesgo
Una vez que definidos los criterios de evaluación del riesgo se valorará el riesgo de forma cuantitativa, cualitativa o ambas, para atenderlo en la fase de mitigación.
La valoración del riesgo identifica los activos existentes, las amenazas aplicables, y los escenarios de vulneración. Asimismo, determina las consecuencias potenciales y prioriza los riesgos derivados respecto al contexto de la relación de nuestra firma y de las partes interesadas. Esta valoración del riesgo considera:
El establecimiento y mantenimiento de criterios de aceptación de riesgos La determinación de los criterios para evaluar los riesgos Asegurar que las diferentes evaluaciones del riesgo generen resultados consistentes válidos y comparables
CONSULSYS S.A. ha adoptado para la ejecución de sus políticas y procedimientos para la gestión de riesgos los marcos de referencia del estándar ISO 9001:2015(es) Sistemas de Gestión de la Calidad y la ISO 31000:2018(es) para la Administración/Gestión de Riesgos; y en todo lo concerniente a los lineamientos de estas guías se basan los procedimientos de nuestra firma.
Los requerimientos regulatorios y obligaciones contractuales que se usaron para definir los objetivos y alcances.
El valor de los datos personales, de acuerdo a su clasificación por tipo definida previamente y su flujo.
El valor y exposición de los activos involucrados con los datos personales.
Expectativas de las partes interesadas, así como las consecuencias negativas a la reputación de nuestra firma, que pudieran derivar de una vulneración.
El valor de los datos para nuestros Clientes, Proveedores y Terceros
El incumplimiento con las obligaciones legales y contractuales relacionadas con el titular
Vulneraciones de seguridad (artículo 37 de la Ley Orgánica de Protección de Datos Personales de Ecuador)
Daño a la integridad de los titulares de datos personales
Daño a la reputación de la organización
Se expresará el beneficio o el riesgo estimado para nuestra firma y de las partes interesadas, aplicando diferentes criterios de aceptación correspondientes al riesgo.
Se incluirán múltiples umbrales, correspondientes a diferentes niveles de aceptación, previendo que los responsables acepten riesgos sobre esos niveles en circunstancias específicas.
Los criterios de aceptación del riesgo pueden incluir requerimientos para una gestión futura, por ejemplo, un riesgo puede ser aceptado si hay aprobación y el compromiso de la Alta Dirección de nuestra firma y de las partes interesadas, para tomar acciones que permitan reducirlo a un nivel aceptable dentro de un periodo definido más adelante.
Para definir todo criterio de aceptación del riesgo se considerará:
o Política(s) de nuestra firma y de las partes interesadas respecto al tratamiento de datos personales o Aspectos legales y regulatorios
o Operaciones
o Tecnología
o Finanzas
o Factores sociales y humanitarios
El establecimiento y mantenimiento de criterios de aceptación de riesgos
La determinación de los criterios para evaluar los riesgos
Asegurar que las diferentes evaluaciones del riesgo generen resultados consistentes válidos y comparables
CONSULSYS está consciente que un activo es cualquier valor para nuestra firma y de las partes interesadas que requiera ser protegido. En términos de la "Política de Privacidad y Protección de Datos para Clientes, Proveedores y Terceros" estos activos deberán ser aquellos que estén relacionados con el ciclo de vida de los datos personales previamente identificados y sus distintos tratamientos. Los activos se identificarán y ponderarán con suficiente nivel de detalle para proveer información que permita hacer la valoración del riesgo.
En el contexto de la aplicación de esta política y la protección de activos de información en custodia de CONSULSYS S.A. se identificarán dos tipos de activos:
Activos de información, corresponden a la esencia de la organización:
o Información relativa a los datos personales
o Información de procesos del negocio en los que interviene el flujo de datos personales y actividades involucradas en el tratamiento de los mismos
Activos de apoyo, en los cuales residen los activos de información, como son:
o Hardware
o Software
o Redes y Telecomunicaciones o Personal
o Estructura organizacional
o Infraestructura adicional
Se mantendrá actualizado el inventario de activos, así como los medios de almacenamiento en que residen las bases de datos personales.
Después de la identificación y descripción de los activos de información y de apoyo, se determinan sus vulnerabilidades y posibles amenazas, y se define al custodio del activo, quien quedará a cargo de proveer la adecuada rendición de cuentas de cada uno de ellos, señalando que el custodio del activo no podrá ejercer la propiedad de este, pero tendrá responsabilidad sobre su mantenimiento y seguridad.
Identificación de Amenazas
Una amenaza tiene el potencial de dañar un activo y causar una vulneración a la seguridad. Las amenazas pueden ser de origen natural o humano, y pueden ser accidentales o deliberadas y además provenir de adentro o desde afuera de la organización. Las amenazas serán identificadas considerando que algunas pueden afectar a mas de un activo al mismo tiempo.
Los custodios de los activos en nuestra firma y los usuarios del lado de las partes interesadas proporcionan asesoría para identificar y estimar las amenazas relacionadas, por ejemplo, del área de recursos humanos, de los administradores de tecnologías y seguridad, profesionales en seguridad física, del departamento legal, externos como compañías de seguros, gobiernos y autoridades nacionales entre otras fuentes informativas de investigación. Los aspectos culturales también serán considerados dentro de las amenazas.
Identificación de Vulnerabilidades
Las vulnerabilidades son debilidades en la seguridad de los activos y son identificadas en los siguientes ámbitos:
Organizacionales De procesos y procedimientos De personal Del ambiente físico De la configuración de sistemas de información Del hardware, software o equipo de comunicación De la relación con prestadores de servicios De la relación con terceros
La presencia de vulnerabilidades no causa daño por sí misma, se requiere de una amenaza que la explote. Una vulnerabilidad que no se encuentre expuesta a una amenaza identificada posiblemente no requiera la implementación de un control, pero será reconocida y monitoreada constantemente, o bien, se revaluará cuando surja algún cambio de estado.
Los controles usados incorrectamente o con una mala implementación son una causa de vulnerabilidades. Es objetivo de esta política establecer controles efectivos según el contexto de la operación.
Las vulnerabilidades pueden estar relacionadas a propiedades de los activos en cuanto estos sean utilizados para propósitos distintos a los que se habían destinado originalmente. Es menester de esta política que los activos sean custodiados y su empleo aquel para el cual fueron originalmente compartidos o creados.
Identificación de Escenarios de Vulneración y Consecuencias
Un escenario de vulneración proviene de una amenaza que explota cierta vulnerabilidad o conjunto de vulnerabilidades. El impacto se determinará considerando el grado de daño en los activos o los cambios en el nivel de objetivos definidos por la organización, que pueden afectar a mas de un activo total o parcialmente. Las consecuencias podrán ser de naturaleza temporal o de naturaleza permanente.
La firma y las partes interesadas identificarán las consecuencias de una posible vulneración considerando los criterios para la evaluación del riesgo establecidos, de forma que pueda priorizar los riesgos identificados.
El análisis de riesgo arrojará como resultado un valor del riesgo para cada uno de los activos identificados con respecto a cada una de las vulneraciones, de forma que se identifiquen los escenarios que podrían llevar a cada uno de los activos a las posibles vulneraciones y se seleccionen los controles y medidas de seguridad que permitan tratar dichos riesgos.
Con el conocimiento de los activos de información y de los controles existentes se tendrá para cada activo una ponderación de los escenarios de riesgo más importantes, considerando que el riesgo es la combinación de los factores: amenaza, vulnerabilidad e impacto.
CONSULSYS S.A. ha adoptado para la ejecución de sus políticas y procedimientos para la gestión de activos de información y apoyo los marcos de referencia del estándar ISO 9001:2015(es) Sistemas de Gestión de la Calidad y la ISO 27001:2022(es) para la Gestión de la Seguridad de la Información; y en todo lo concerniente a los lineamientos de estas guías se basan los procedimientos de nuestra firma.
Activos de información, corresponden a la esencia de la organización:
o Información relativa a los datos personales
o Información de procesos del negocio en los que interviene el flujo de datos personales y actividades involucradas en el tratamiento de los mismos
Activos de apoyo, en los cuales residen los activos de información, como son:
o Hardware
o Software
o Redes y Telecomunicaciones o Personal
o Estructura organizacional
o Infraestructura adicional
Organizacionales
De procesos y procedimientos
De personal
Del ambiente físico
De la configuración de sistemas de información
Del hardware, software o equipo de comunicación
De la relación con prestadores de servicios
De la relación con terceros
CONSULSYS S.A. ha establecido los lineamientos generales para controlar el acceso físico a las áreas seguras de la organización, con lo que se pretende reducir los riesgos de accesos no autorizados que podrían exponerla a pérdidas de información, soportes tecnológicos a los procesos de negocio informatizados, daños a recursos materiales, entre otros. La Política de Control de Acceso Físico a las Areas Restringidas abarca a todo el personal interno, proveedores, o visitantes que requieran acceder a alguna de las áreas seguras de la organización, incluido el centro de datos y el área de archivo físico de causas.
Responsabilidades
Responsable de Seguridad de la Información y Accesos es responsable de gestionar la Política de Control de Acceso Físico a las Areas Restringidas y velar por su cumplimiento, y además de gestionar el control de acceso al área segura y comunicar las asignaciones de los roles entre todas las partes.
El personal de la organización con acceso a áreas seguras es responsable de controlar los accesos a las áreas seguras, realizar el acompañamiento de los visitantes y revisión de las actividades que realizan en dichas áreas.
Políticas Relacionadas
Política de Gestión de usuarios de acceso privilegiado.
Descripción
El proceso formal para gestionar los accesos a las áreas seguras contempla también la revisión periódica de los mismos. El acceso a áreas seguras se concederá únicamente por motivos específicos y autorizados.
Gestión de accesos
Los accesos de tipo permanente se asignarán por el responsable de accesos a aquel personal que así lo requiera en base a requisitos basados en su función dentro de la organización.
Los accesos de tipo temporal, para el caso de proveedores externos y contratistas, serán solicitados al responsable de accesos y autorizados por el responsable de seguridad de la información para los que se solicitará: nombre, apellido, documento de identidad, empresa, fecha de inicio de acceso temporal, fecha fin de acceso temporal, motivo. Los visitantes temporales que requieran acceso a áreas seguras de la organización permanecerán acompañados de personal con permisos de acceso y portar una identificación visible. En el caso de la visita al archivo físico de causas, se registra la visita en una bitácora de ingresos con la siguiente información: fecha, nombre, apellido, cédula de identidad, empresa, hora de entrada, hora de salida, nombre y apellido del empleado que acompaña la gestión.
Revisión de Accesos a Areas Restringidas
Existe un procedimiento formal de revisión periódica de los accesos a las áreas restringidas de la organización que contempla la información del sistema de control de acceso, el registro de ingresos en la bitácora, el personal con acceso permanente y con acceso temporal.
Medidas de Seguridad Interna
Está absolutamente prohibido en toda la organización el ingreso con material combustible, líquidos, productos volátiles, y todo producto o sustancia que pudiera ocasionar una reacción química perjudicial para la infraestructura del edificio y las instalaciones de la organización.Los pasillos de circulación interna deben mantenerse despejados de todo objeto.
Responsabilidades
Responsable de Seguridad de la Información y Accesos es responsable de gestionar la Política de Control de Acceso Físico a las Areas Restringidas y velar por su cumplimiento, y además de gestionar el control de acceso al área segura y comunicar las asignaciones de los roles entre todas las partes.
El personal de la organización con acceso a áreas seguras es responsable de controlar los accesos a las áreas seguras, realizar el acompañamiento de los visitantes y revisión de las actividades que realizan en dichas áreas.
Políticas Relacionadas
Política de Gestión de usuarios de acceso privilegiado.
CONSULSYS S.A. sabe que la mejor medida de seguridad contra posibles vulneraciones es contar con personal consciente de sus responsabilidades y deberes respecto a la protección de datos personales, y que tengan clara su contribución para el logro de los objetivos del Sistema de Gestión de Seguridad de los Datos Personales; y por ello ha establecido un programa de capacitación en el marco de los siguientes alcances:
Concienciación: programa a corto plazo para la difusión general de Ley de Protección de Datos Personales en la firma; Entrenamiento: programas a mediano plazo que tienen por objetivo capacitar al personal de manera específica respecto a sus funciones y responsabilidad en el tratamiento y seguridad de los datos personales y; Educación: programa general a largo plazo que tiene por objetivo incluir la seguridad en el tratamiento de los datos personales dentro de la cultura de la firma.
En la ejecución de este programa se han identificado las necesidades, el nivel y tipo de capacitación que requiere el personal, de acuerdo con las responsabilidades asignadas y tomando en cuenta el perfil del puesto, especialmente de aquellos involucrados en el tratamiento de datos personales.
Estos programas de capacitación toman en cuenta elementos como:
Requerimientos y actualizaciones al contexto del Sistema de Gestión de Datos Personales, considerando principalmente;
o La administración y comunicación de noticias de privacidad;
o El manejo de solicitudes y quejas de los titulares;
o La recolección y manipulación de datos personales;
o La gestión de incidentes y vulneraciones de seguridad, y
o La gestión de seguridad con terceros.
La legislación en protección de datos personales y mejores prácticas relacionadas al tratamiento de datos aplicables a la organización; Las consecuencias del incumplimiento de los requerimientos legales o requisitos organizacionales; Las herramientas tecnológicas relacionadas o utilizadas para el tratamiento de datos personales y para la implementación de medidas de seguridad, y Instructores expertos en la materia.
Para evaluar la eficiencia y eficacia de la capacitación CONSULSYS S.A. realiza internamente exámenes teóricos o prácticos que permiten evidenciar el grado de conocimiento y/o entendimiento de la capacitación proporcionada o difusión realizada. Se han establecido criterios de evaluación que determinan el nivel de competencia aceptado por la organización, y mantienen un registro de los programas seguidos por cada socio o colaborador, así como de sus habilidades, experiencia y calificaciones.
Concienciación: programa a corto plazo para la difusión general de Ley de Protección de Datos Personales en la firma;
Entrenamiento: programas a mediano plazo que tienen por objetivo capacitar al personal de manera específica respecto a sus funciones y responsabilidad en el tratamiento y seguridad de los datos personales y;
Educación: programa general a largo plazo que tiene por objetivo incluir la seguridad en el tratamiento de los datos personales dentro de la cultura de la firma.
En la ejecución de este programa se han identificado las necesidades, el nivel y tipo de capacitación que requiere el personal, de acuerdo con las responsabilidades asignadas y tomando en cuenta el perfil del puesto, especialmente de aquellos involucrados en el tratamiento de datos personales.
Estos programas de capacitación toman en cuenta elementos como:
Requerimientos y actualizaciones al contexto del Sistema de Gestión de Datos Personales, considerando principalmente;
o La administración y comunicación de noticias de privacidad;
o El manejo de solicitudes y quejas de los titulares;
o La recolección y manipulación de datos personales;
o La gestión de incidentes y vulneraciones de seguridad, y
o La gestión de seguridad con terceros.
La legislación en protección de datos personales y mejores prácticas relacionadas al tratamiento de datos aplicables a la organización;
Las consecuencias del incumplimiento de los requerimientos legales o requisitos organizacionales;
Las herramientas tecnológicas relacionadas o utilizadas para el tratamiento de datos personales y para la implementación de medidas de seguridad, y
Instructores expertos en la materia.
Para evaluar la eficiencia y eficacia de la capacitación CONSULSYS S.A. realiza internamente exámenes teóricos o prácticos que permiten evidenciar el grado de conocimiento y/o entendimiento de la capacitación proporcionada o difusión realizada. Se han establecido criterios de evaluación que determinan el nivel de competencia aceptado por la organización, y mantienen un registro de los programas seguidos por cada socio o colaborador, así como de sus habilidades, experiencia y calificaciones.
CONSULSYS S.A. cuenta con un programa de auditoría interna para monitorear y revisar la eficacia y eficiencia del Sistema de Gestión de Protección de Datos Personales. Este programa se ha planificado, establecido y mantenido tomando en cuenta la política de gestión de datos personales.
El objetivo del programa de auditoría incluye los alcances para el tratamiento de datos personales interno y externo a la firma, responsables, recursos, criterios a utilizar durante la auditoría, así como los procesos y/o áreas que serán auditadas.
La objetividad e imparcialidad del programa de auditoría está asegurada por la apropiada selección de auditores especializados en la normativa legal y procedimental asociados a la firma.
Las auditorías llevan a cabo en intervalos de tiempo planeados las actividades necesarias para confirmar que el Sistema de Gestión de Protección de Datos Personales:
Está operando de acuerdo con la norma legal, la política de gestión de datos personales y con los procedimientos establecidos; y Está implementado y mantenido de acuerdo con los requerimientos tecnológicos.
La Auditoría proporciona a la Alta Dirección de la firma los reportes sobre el cumplimiento del Sistema de Gestión de Protección de Datos Personales, detallando cualquier desviación significativa de la política de gestión de datos personales, como son los asuntos relacionados con los procesos de seguridad que puedan afectar su cumplimiento.
La Auditoría se ha establecido además para ofrecer al responsable del Sistema de Gestión de Protección de Datos Personales la información detallada respecto a cambios ocurridos.
Como resultado de la Auditoría se obtienen observaciones sobre riesgos existentes para aplicar medidas preventivas, es decir, controles para que no ocurra una vulneración, así como observaciones sobre puntos que requieren medidas correctivas inmediatas.
La próxima Auditoría planificada en la firma ocurrirá el 30 de marzo de 2025, a los dos años de implementado el Sistema de Gestión de Protección de Datos Personales.
El objetivo del programa de auditoría incluye los alcances para el tratamiento de datos personales interno y externo a la firma, responsables, recursos, criterios a utilizar durante la auditoría, así como los procesos y/o áreas que serán auditadas.
La objetividad e imparcialidad del programa de auditoría está asegurada por la apropiada selección de auditores especializados en la normativa legal y procedimental asociados a la firma.
Las auditorías llevan a cabo en intervalos de tiempo planeados las actividades necesarias para confirmar que el Sistema de Gestión de Protección de Datos Personales:
Está operando de acuerdo con la norma legal, la política de gestión de datos personales y con los procedimientos establecidos; y
Está implementado y mantenido de acuerdo con los requerimientos tecnológicos.
La Auditoría proporciona a la Alta Dirección de la firma los reportes sobre el cumplimiento del Sistema de Gestión de Protección de Datos Personales, detallando cualquier desviación significativa de la política de gestión de datos personales, como son los asuntos relacionados con los procesos de seguridad que puedan afectar su cumplimiento.
La Auditoría se ha establecido además para ofrecer al responsable del Sistema de Gestión de Protección de Datos Personales la información detallada respecto a cambios ocurridos.
Como resultado de la Auditoría se obtienen observaciones sobre riesgos existentes para aplicar medidas preventivas, es decir, controles para que no ocurra una vulneración, así como observaciones sobre puntos que requieren medidas correctivas inmediatas.
La próxima Auditoría planificada en la firma ocurrirá el 30 de marzo de 2025, a los dos años de implementado el Sistema de Gestión de Protección de Datos Personales.
