Política de Seguridad de la Información (PSI)

Última actualización: 1 de julio de 2025

1. Objetivo

La presente Política de Seguridad de la Información (PSI) tiene como objetivo establecer las directrices estratégicas y las normas corporativas para la protección de los activos de información de IDGN IT Solutions, sus clientes y socios. El objetivo es mitigar los riesgos y garantizar la confidencialidad, integridad y disponibilidad de la información, apoyando los objetivos de negocio y el cumplimiento legal.

2. Alcance

Esta política se aplica a todos los empleados, proveedores de servicios, socios y terceros que tengan acceso a los activos de información y sistemas de información propiedad de o gestionados por IDGN IT Solutions, independientemente de su ubicación física o relación laboral.

3. Principios de Seguridad de la Información

Las acciones de seguridad de IDGN IT Solutions se basan en los siguientes principios fundamentales:

• Confidencialidad: Asegurar que la información sea accesible solo para personas autorizadas.
• Integridad: Salvaguardar la exactitud y completitud de la información y los métodos de procesamiento.
• Disponibilidad: Asegurar que los usuarios autorizados tengan acceso a la información y a los activos asociados siempre que sea necesario.

4. Directrices

Para garantizar la eficacia de esta política, se deben observar las siguientes directrices:

• Gestión de Activos: Todos los activos de información deben ser identificados, clasificados según su criticidad y tener un propietario designado.
• Control de Acceso: El acceso a la información y a los sistemas debe basarse en los principios de "necesidad de saber" y "mínimo privilegio", implementados a través de procesos formales de identificación, autenticación y autorización de usuarios.
• Criptografía: La información sensible, tanto en reposo como en tránsito, debe ser protegida mediante controles criptográficos robustos y aprobados.
• Seguridad Física y del Entorno: Las áreas donde se procesa o almacena información sensible deben estar protegidas por controles de acceso físico y medidas de protección ambiental.
• Seguridad en las Operaciones: Se deben implementar procedimientos de gestión de cambios, gestión de capacidad y protección contra malware para garantizar la operación segura de los sistemas de información.
• Seguridad en las Comunicaciones: La información intercambiada a través de redes internas y externas debe ser adecuadamente protegida contra la interceptación y modificación no autorizada.
• Adquisición, Desarrollo y Mantenimiento de Sistemas: Los requisitos de seguridad de la información deben integrarse en todas las etapas del ciclo de vida de los sistemas de información.
• Gestión de Incidentes de Seguridad de la Información: Todos los incidentes de seguridad de la información deben ser reportados, registrados, investigados y tratados de manera oportuna y eficaz.
• Continuidad del Negocio: Se debe desarrollar y mantener un Plan de Continuidad del Negocio para garantizar la disponibilidad de los servicios críticos en caso de eventos adversos.
• Cumplimiento: Todas las actividades deben cumplir con la legislación vigente, las regulaciones y las obligaciones contractuales, incluidas las directrices establecidas en nuestra Política General de Protección de Datos (LGPD).

5. Responsabilidades

• Alta Dirección: Proporcionar recursos y demostrar compromiso con esta política.
• Oficial de Seguridad de la Información (OSI): Gestionar el Sistema de Gestión de Seguridad de la Información (SGSI) e informar sobre su eficacia.
• Gerentes y Propietarios de Activos: Implementar controles de seguridad en sus áreas de responsabilidad.
• Todos los Usuarios: Conocer y cumplir con esta política y los procedimientos de seguridad relacionados.

6. Concienciación y Formación

IDGN IT Solutions promoverá un programa continuo de concienciación y formación en seguridad de la información para todos los empleados y terceros relevantes para garantizar la comprensión y el cumplimiento de esta política.

7. Gestión de Violaciones y Sanciones

Las violaciones de esta política o de sus procedimientos relacionados estarán sujetas a investigación y podrán dar lugar a medidas disciplinarias, según lo previsto en los reglamentos internos y la legislación aplicable.

8. Revisión de la Política

Esta política se revisa anualmente o siempre que ocurran cambios significativos en el entorno empresarial, tecnológico o legal.