Santiago de Chile, 29 de Enero 2021
Firmando.com es una sociedad comercial chilena, que presta a sus usuarios y clientes el servicio de firma electrónica simple que permite acreditar la identidad de su autor y preservar la intagibilidad de sus documentos.
Como tal, Firmando.com reconoce la importancia y el valor de la información con respecto al funcionamiento eficiente y efectivo de su giro. La información no es sólo crítica para el éxito de Firmando.com, sino estratégica para su planificación sostenible a largo plazo.
Por esta razón, se establece la siguiente política que regula el manejo de la información en Firmando.com, orientada a definir las medidas que resguarden la confidencialidad, integridad y disponibilidad de la información propia de Firmando.com, el acceso a la información en conformidad con la Constitución, las leyes, y demás normas jurídicas chilenas, así como asegurar la continuidad de los servicios que le son propios.
Es por ello que Firmando.com asume la responsabilidad de implantar, mantener y mejorar continuamente un Sistema de Gestión de la Seguridad de la Información (SGSI) que permita lograr niveles adecuados de seguridad para todos los activos de información institucional considerados relevantes, de manera tal de garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por Firmando.com de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.
De esta manera, es imprescindible contar con un marco general en el cual encuadrar todos los subprocesos asociados a la Gestión de la Seguridad, comenzando por definir sus objetivos, el alcance o amplitud, los roles y responsabilidades y el marco general para elaboración y revisión de las políticas de seguridad específicas para la información de Firmando.com
Esta política general, las políticas específicas y procedimientos de seguridad asociados utilizarán como marco de referencia los requerimientos del Decreto Supremo N° 83/2004, del Ministerio Secretaría General de la Presidencia (Seguridad y Confiabilidad de documentos electrónicos) y las buenas prácticas definidas en la norma ISO 27001, la que adicionalmente deberá constituir el marco rector de todas las iniciativas de seguridad adoptadas por Firmando.com
La presente Política de Seguridad y control de Riesgos de la Información cubre los siguientes objetivos:
1. Establecer las expectativas de Firmando.com con respecto al correcto uso que los trabajadores hagan de los recursos y activos de información de Firmando.com, así como de las medidas que se deben adoptar para la protección de los mismos.
2. Establecer para todos los trabajadores de Firmando.com la necesidad de la seguridad de la información y promover la comprensión de sus responsabilidades individuales.
3. Determinar las medidas esenciales de seguridad de la información que Firmando.com debe adoptar, para protegerse apropiadamente contra amenazas que podrían afectar en alguna medida la confidencialidad, integridad y disponibilidad de la información, ocasionando alguna de las siguientes consecuencias:
(i) Pérdida o mal uso de los activos de información (datos, equipos, documentación impresa, etc.).
(ii) Pérdida de imagen en el mercado chileno de empresas que brindan el servicio de firma electrónica.
(iii) Interrupción total o parcial de los procesos que soportan el negocio.
(iv) Proporcionar a todos los trabajadores de Firmando.com una herramienta que facilite la toma de decisiones apropiada, en situaciones relacionadas con la preservación de la seguridad de la información.
Para cumplir con estos objetivos, el SGSI se basa en la identificación de los activos de información involucrados en los procesos de negocios y en los procesos de soporte de Firmando.com, lo cual implica llevar a cabo las siguientes actividades esenciales:
1. Identificar, para todos los procesos, los activos de información involucrados, catalogados como información física, información digital, personas e infraestructura, clasificándolos según lo establezca la legislación chilena y el ISO 27001.
2. Para cada activo de información, identificar un responsable que vele por su disponibilidad, confidencialidad e integridad.
3. Analizar el riesgo al cual están expuestos, con la ayuda de la metodología CAIGG y el encargado de riesgos.
4. Difundir en forma planificada entre todos los trabajadores de Firmando.com el objetivo corporativo de preservación de la información, sus características y las responsabilidades individuales para lograrlo, inserto esto en los planes de capacitación anual de Firmando.com como actividades permanentes y en el proceso de inducción del nuevo personal.
Esta política se aplica a todos los trabajadores de Firmando.com y sus proveedores de servicios o personal externo que preste o prestare servicios, remunerados o no, a Firmando.com, tengan o no acceso privilegiado a la información.
También es aplicable a todo activo de información que Firmando.com posea en la actualidad o en el futuro, de manera que la no inclusión explícita en el presente documento no constituye argumento para no proteger estos activos de información.
La política cubre toda la información, entre otros, la impresa o escrita en papel, almacenada electrónicamente, trasmitida por correo o usando medios electrónicos, mostrada en videos o hablada en una conversación.
La gestión de la seguridad de la información se realizará mediante un proceso sistemático, documentado y conocido por todos los trabajadores de Firmando.com basándose en metodologías de mejoramiento continuo, el cual deberá ser aplicado a todos los procesos o unidades de negocio de Firmando.com
1. Información: Interpretación que se da a un conjunto de datos, pudiendo residir esta en medios electromagnéticos, físicos o en el conocimiento de las personas. En el caso de la presente política, se entenderá como información a toda forma proveniente de datos relacionados con los procesos de negocio de Firmando.com, así como antecedentes proporcionados tanto por sus usuarios, siempre que sea dentro del contexto del ejercicio de sus funciones y del cumplimiento de sus obligaciones.
2. Información Pública: toda aquella información no catalogada como secreta o reservada, en concordancia con el ordenamiento jurídico vigente.
3. Información reservada: son aquellos documentos cuyo conocimiento está circunscrito al ámbito de la respectiva área de Firmando.com a que sean remitidos, cuando la naturaleza misma de la información requiera ser tratada de manera reservada.
4. Información secreta: son aquellos documentos cuyo conocimiento está circunscrito a las jefaturas o personas a las que vayan dirigidos y a quienes deban intervenir en su estudio y resolución, cuyas características les confiere tal carácter.
5. Seguridad de la Información: es el nivel de confianza que Firmando.com desea tener de su capacidad para preservar la confidencialidad, integridad y disponibilidad de la información. Tiene como objetivo proteger el recurso información de una amplia gama de amenazas, con el fin de asegurar la continuidad del negocio, minimizar el daño y, cumplir su misión y objetivos estratégicos.
6. Confidencialidad: asegurar que la información es accesible sólo para las personas autorizadas para ello.
7. Integridad: salvaguardar la exactitud y totalidad de la información en su procesamiento, transmisión y almacenamiento.
8. Disponibilidad: asegurar que los usuarios autorizados tengan acceso a la información y los activos asociados cuando estos sean requeridos.
9. Buen uso: constituye “buen uso”, o “Uso Aceptable” de los activos de información de Firmando.com, el cumplimiento de las expectativas que se tiene con respecto al cuidado que sus trabajadores deben tener con los activos que Firmando.com les entregue para el desempeño de sus funciones, en cumplimiento de las normas establecidas en esta política.
10. Trabajadores o Personal: es toda persona a la cual se le concede autorización para acceder a la información y a los sistemas de Firmando.com. Los trabajadores pueden ser internos o externos a Firmando.com.
11. Supervisor: toda persona encargada de un grupo de personas, área, división, programa o departamento en Firmando.com.
12. Tercero: empresas prestadoras de servicios, las empresas contratistas, sub- contratistas y cualquiera que, por cuenta propia o de terceros, desarrolle trabajos para o por cuenta de Firmando.com.
13. Responsable de la Información: trabajador o usuario a cargo de la información y de los procesos que la manipulan sean estos manuales, mecánicos o electrónicos.
14. Encargado de Seguridad: autoridad máxima de Firmando.com designada para la definición, diseño, implementación y supervisión de las medidas de seguridad de la información.
15. Comité de Seguridad: equipo conformado por supervisores que representan a las áreas de Firmando.com, responsable de la toma de decisiones en temas de la seguridad de la información.
16. Activo de Información: Todos aquellos elementos relevantes en la producción, emisión, almacenamiento, comunicación, visualización y recuperación de información de valor para Firmando.com. Se pueden distinguir tres tipos de activos:
(i) La información propiamente tal, en sus múltiples formatos (papel o digital, texto, imagen, audio, video, etc.).
(ii) Los equipos/sistemas que la soportan.
(iii) Las personas que la utilizan
V.I. RESPONSABILIDADES
1. Encargado de Seguridad: es el principal responsable en la definición de los criterios de seguridad de la información en Firmando.com, para lo cual deberá analizar periódicamente el nivel de riesgo existente, proponiendo soluciones. Una vez autorizada la implementación de las medidas, deberá coordinar con quienes corresponda su materialización oportuna y correcta. Responde ante la Gerencia General por la existencia y cumplimiento de las medidas, manteniendo un nivel adecuado en materia de seguridad de la información y debe mantener vigente esta política acorde a las prácticas operacionales de Firmando.com, por lo que es responsable de generar las modificaciones necesarias para que esté siempre actualizado y procurar su publicación.
2. Comité de Seguridad: tiene por responsabilidad asesorar a la Gerencia General de Firmando.com, en temas de seguridad de la información, en coordinación con el Encargado de Seguridad.
3. Trabajador o Personal de Firmando.com: tiene la responsabilidad de cumplir con lo formalizado en este documento y aplicarlo en su entorno laboral. Además, tiene la obligación de alertar de manera oportuna y adecuada, según lo determine la política de manejo de incidentes, cualquier incidente que atente contra la seguridad de la información en Firmando.com.
V.II. CUMPLIMIENTO
La presente Política General de Seguridad de la Información entra en vigencia una vez aprobada por la Gerencia General de Firmando.com y serán las jefaturas de las distintas áreas de Firmando.com las responsables de ponerlas en conocimiento de su personal subordinado.
Todos los trabajadores que se contrate con posterioridad a la fecha de publicación, se le deberá entregar una copia del presente documento y hacer firmar una declaración de toma de conocimiento y aceptación de la misma.
La presente política se encuentra en cumplimiento de la legislación chilena. Cualquier conflicto con la legislación o regulaciones técnicas en esta materia, deberá ser informado inmediatamente al responsable de este documento.
VI.I. DE LA INFORMACIÓN INTERNA
1. La información es un activo vital y todos sus accesos, usos y procesamiento, deberán ser consistentes con las políticas y estándares emitidos por Firmando.com en cada ámbito del giro.
2. La información debe ser protegida de una manera consistente con su importancia, valor y criticidad, siguiendo las reglas establecidas en las políticas específicas de seguridad de la información, sus procedimientos asociados y en las recomendaciones dadas por el responsable designado de dicha información. Para ello, la Gerencia de Firmando.com deberá proveer los recursos que permitan implementar los controles necesarios para otorgar el nivel de protección correspondiente al valor de los activos.
3. Toda la información creada, almacenada o procesada por Firmando.com debe ser considerada como “Reservada”, “Secreta” o “Confidencial”, a menos que se determine otro nivel de clasificación. Periódicamente se deberá revisar la clasificación, con el propósito de mantenerla o modificarla según se estime apropiado.
4. Firmando.com proveerá los mecanismos para que la información sea accedida y utilizada por los trabajadores que, de acuerdo a sus funciones así lo requiera. Sin embargo, se reserva el derecho de revocar al personal el privilegio de acceso a la información y tecnologías que la soportan, si la situación y las condiciones lo ameriten.
VI.II. DE LA INFORMACIÓN DE LOS USUARIOS EXTERNOS
1. Si Firmando.com almacena y mantiene información de usuarios que sean datos personales y/o sensibles de acuerdo con la legislación vigente. Firmando.com se compromete a asegurar que esta información no será divulgada sin previa autorización y estará protegida de igual manera que la información interna.
2. Si se requiere compartir información de los usuarios de Firmando.com con instituciones externas o proveedores de servicios con motivo de externalizar servicios, a éstas se le exigirá la firma de un contrato de confidencialidad y no divulgación previa a la entrega de la información.
VI.III. DE LAS AUDITORÍAS
1. Con el fin de velar por el correcto uso de los activos de información de su propiedad, Firmando.com se reserva el derecho de auditar en todo momento y sin previo aviso, el cumplimiento de las políticas vigentes y que dicen relación con el acceso y uso que los usuarios hacen de los activos de información.
2. Firmando.com se reserva el derecho de tomar medidas disciplinarias en contra de los trabajadores que no den cumplimiento a lo dispuesto en la presente política, las políticas específicas que se deriven y en su documentación de referencia, acciones que podrán ser solicitadas por el Jefe de Recursos Humanos o el Encargado de Seguridad de Firmando.com.
VI.IV. DEL COMPROMISO DE LA GERENCIA GENERAL DE FIRMANDO.COM
1. La Gerencia de Firmando.com velará por la existencia de un plan formal de difusión para esta política y las políticas específicas que la sustenten.
2. La Gerencia de Firmando.com, mediante la estructura que se defina en la política específica “Aspectos Organizativos de la Seguridad de la Información”, procurará que todos los trabajadores reciban un entrenamiento suficiente en materia de seguridad, consistente con sus necesidades y su rol dentro de Firmando.com.
3. La Gerencia de Firmando.com propiciará la existencia de mecanismos o procedimientos formales que permitan asegurar la continuidad del negocio ante situaciones que impidan el acceso a la información imprescindible para el funcionamiento de Firmando.com.
VI.V. DEBERES DE LOS TRABAJADORES
1. Tanto la información como las herramientas y las tecnologías de información deben ser usadas sólo para propósitos relacionados con el servicio y autorizados por las jefaturas, debiéndose aplicar criterios de buen uso en su utilización.
2. Las claves de acceso a la información como las herramientas y a las tecnologías de información son individuales, intransferibles y de responsabilidad única de su propietario.
3. Los trabajadores están en la obligación de alertar, de manera oportuna y adecuada, cualquier incidente que atente contra lo establecido en esta política según procedimientos establecido en el manejo de incidentes.
4. Está absolutamente prohibido al personal de Firmando.com divulgar cualquier información que esté catalogada como “Reservada” o “Secreta”.
5. Firmando.com entrega todas las garantías de reserva a los trabajadores que denuncien infracciones a lo establecido en esta Política por parte de otros trabajadores en la empresa y, en general, frente a la denuncia de cualquier ilícito del que tengan conocimiento se cometa o se ha cometido en Firmando.com. El Encargado de Seguridad elaborará una Política y procedimiento para regular estas circunstancias, las que serán aprobadas por el Comité de Seguridad y la Gerencia de Firmando.com.
VI.VI. ORGANIZACIÓN Y MANTENCIÓN DE LAS POLÍTICAS
Con el objetivo de garantizar el cumplimiento de la Política General de Seguridad de la Información y las políticas específicas que se definan posteriormente, Firmando.com ha establecido una estructura organizacional de seguridad que contempla la definición de funciones específicas en el ámbito de seguridad, las cuales serán ejecutadas por el Comité de Seguridad y el Encargado de Seguridad.
Las características de esta instancia organizacional y roles se detallan en el documento Política Específica – Aspectos Organizativos de la Seguridad de la Información.
VI.VII. DIFUSIÓN DE LA POLÍTICA
La presente política se integrará en la cultura organizacional, a través de la existencia de un plan formal de difusión, capacitación y sensibilización en torno a la seguridad de la información. Se auditará permanentemente, a lo menos mensualmente, los canales de comunicación interna de Firmando.com para el cumplimiento de estos requerimientos.
El Encargado de Seguridad de Firmando.com será el responsable de la existencia permanente y el cumplimiento de un plan formal de difusión, capacitación y sensibilización de la seguridad de la información.
Asimismo, el Encargado de Seguridad de la información es el responsable de la ejecución del plan y el cumplimiento de sus objetivos, así como la existencia de un plan comunicacional que lo complemente.
VI.VIII. DEL TRATAMIENTO DE DATOS PERSONALES Y PRIVACIDAD
Toda la información personal que se proporcione a Firmando.com debe incorporarse y regirse por la Política de Privacidad de Firmando.com.
Firmando.com tratará los datos necesarios para el cumplimiento de sus servicios siendo objeto de dicho tratamiento las siguientes categorías de datos personales:
• Información que usuarios proporcionan directamente al registrarte o utilizar los servicios de Firmando.com como usuario:
Nombres
Apellidos
RUT
Contraseña
Teléfono móvil
Dirección
Ciudad
País
Numero de serie de cédula de identidad
• Información que usuarios proporcionan directamente para facturación de nuestros servicios:
Nombre
Rut
Giro
Teléfono
Dirección
Ciudad
País
Sin perjuicio de lo anterior, los datos personales que tratamos en Firmando.com pueden proceder de varias fuentes que son las siguientes:
1. Han sido proporcionados por la empresa que ha contratado los productos o servicios de Firmando.com
2. Han sido facilitados por los usuarios que se han registrado en los productos o servicios de Firmando.com
El tratamiento de los datos de los usuarios de Firmando.com debe requerir el consentimiento expreso del interesado, obtenido a través del registro de usuarios que, para poder autenticarse en la plataforma de sus productos o servicios, deberá aprobar en la casilla de aceptación la Política de Privacidad, lo que implicará que el usuario ha sido informado y ha otorgado expresamente su consentimiento para el tratamiento de sus datos en base a ello. La no aceptación del mismo impedirá el acceso a los productos so servicios de Firmando.com
Los datos personales proporcionados se conservarán mientras sean necesarios para la finalidad para la que fueron recabados, mientras no solicite la supresión por parte del interesado o hasta que dejen de utilizarse porque el usuario o su empresa ya no utilicen los productos o servicios de Firmando.com. En este caso, la información se elimina, procedimiento que no está automatizado ni planificado por defecto.
Firmando.com reconoce los siguientes derechos a sus usuarios, los que pueden ser ejercidos en los términos dispuestos en la Política de Privacidad:
1. Para saber si sus datos están siendo tratados o no.
2. Acceder a los datos personales objeto del tratamiento.
3. Solicitar la rectificación de los datos si son inexactos.
4. Solicitar la supresión de los datos si ya no son necesarios para los fines para los que fueron recabados o si retira el consentimiento otorgado.
5. Solicitar la limitación del tratamiento de los datos, en algunos casos, en cuyo caso únicamente se conservarán de acuerdo con la normativa vigente.
6. Revocar el consentimiento para cualquier tratamiento para el que haya prestado su consentimiento, en cualquier momento.
7. Teniendo en cuenta la naturaleza de los datos recopilados por Firmando.com, no existe la posibilidad de su portabilidad.
Entre las medidas de seguridad se encuentran:
1. Seudonimización y encriptación de datos personales para impedir o evitar irreversiblemente la identificación de los afectados.
2. La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanente de los sistemas y servicios de tratamiento.
3. La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
4. Un proceso de verificación, evaluación y valoración periódicas de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
VII.I. VIGILANCIA DE LA POLÍTICA
1. La vigilancia de la presente política será realizada por el Encargado de Seguridad de la Información y sus cambios aprobados por el Comité de Seguridad de la Información y la Gerencia de Firmando.com.
2. Las políticas específicas asociadas a la presente política general y sus procedimientos deberán ser aprobadas por el Comité de Seguridad y firmadas por la Gerencia de Firmando.com.
3. El presente documento debe ser revisado a lo menos una vez al año y actualizado cada vez que se realicen cambios relevantes en Firmando.com que afecten la adecuada protección de la información, considerando como tales entre otros, cambios en la misión, objetivos estratégicos, productos estratégicos, infraestructura, personal y/o procedimientos relacionados con la protección de la información.
VII.II. DOCUMENTACIÓN DE REFERENCIA
El presente documento constituye una política de alto nivel, destinada a normar los aspectos más relevantes de la gestión de seguridad de la información, con una vigencia de largo plazo, por lo cual la Gerencia promulgará documentos adicionales que explicitan en mayor detalle las medidas de seguridad de alto nivel dispuestas en el presente documento.
Dichos documentos deberían estar asociados a los dominios definidos en la ISO/IEC 27001, los cuales son:
1. Organización de la Seguridad de la Información.
2. Gestión de Activos.
3. Seguridad de los Recursos Humanos.
4. Seguridad Física y del Ambiente.
5. Gestión de las Operaciones y de las Comunicaciones.
6. Control de Acceso.
7. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información.
8. Gestión de Incidentes de la Seguridad de la Información.
9. Gestión de Continuidad de Negocios.
10. Cumplimiento.
En la medida que estos documentos sean elaborados y aprobados, se tendrán por incorporados como Anexos a la presente Política de Seguridad y control de riesgos de la Información.