Legal
GDPR

Política de Seguridad de la Información

¡Softruck toma la seguridad muy en serio!

1. Introducción

1.1 SOFTRUCK BRASIL SOFTWARE DEVELOPMENT LTD (“Softruck”), una entidad legal privada, registrada bajo el CNPJ No. 21.478.520/0001-84, con sede en la Rua Sergipe, Nº 1492, Sala 800, Savassi, CEP 30.130-174, en Belo Horizonte/MG, prioriza la seguridad, integridad, confidencialidad y autenticidad de la información, y por lo tanto, respalda digitalmente este instrumento, como se detalla a continuación.

1.2 A través de este instrumento ("Política de Seguridad de la Información" o "Política"), Softruck dirige el tratamiento de la información desde la perspectiva de la Seguridad de la Información, dentro del ámbito de sus relaciones.

1.3 Mediante esta Política, Softruck establece un conjunto de mejores prácticas con los siguientes objetivos:

(i) Asegurar la privacidad, confidencialidad, autenticidad, integridad y disponibilidad del ciclo de vida de la información;

(ii) Orientar comportamientos para el mejor uso de los recursos de protección de la información y datos personales procesados por Softruck;

(iii) Establecer pautas para la protección contra accesos no autorizados, robo, indisponibilidad, violación de la confidencialidad, fraude, pérdida, accidentes y otros riesgos o incidentes de seguridad;

(iv) Determinar las responsabilidades y límites de acción de los interesados con respecto a la seguridad de la información.

2. Audiencia Objetivo

Todos los interesados de Softruck que puedan acceder y/o procesar información internamente durante su relación con la empresa son responsables de conocer, leer y comprender esta Política para garantizar el cumplimiento adecuado de las leyes de protección de datos, privacidad y seguridad de la información.

3. Validez y Revisión

Esta Política entra en vigencia en la fecha de su publicación y permanecerá en vigor indefinidamente, sujeta a revisión en cualquier momento.

4. Glosario

La comprensión de esta Política depende de una comprensión clara y adecuada de ciertas expresiones, cuyas definiciones se proporcionan a continuación:

4.1 Datos Personales: Los datos personales son cualquier información que identifique directamente a una persona natural o la haga identificable.

4.2 Datos Personales Sensibles: Los datos personales sensibles son datos más íntimos que, debido a su naturaleza, requieren una protección más estricta. Son datos que se refieren a la origen racial o étnico, creencia religiosa, opinión política, membresía sindical u organización de carácter religioso, filosófico o político, datos relacionados con la salud o la vida sexual, datos genéticos o biométricos.

4.3 Información: Un conjunto de datos, textos, imágenes, métodos, sistemas, en resumen, cualquier forma de representación con significado, independientemente del medio en el que se encuentre o se transmita (papel, memoria de computadora, disco flexible, línea telefónica, etc.).

4.4 Incidente de Seguridad de la Información: Según la orientación de la Autoridad Nacional de Protección de Datos (ANPD), un incidente de seguridad de la información es cualquier evento que conduzca a la destrucción, pérdida, alteración, divulgación no autorizada o acceso a datos, personales o no, procesados, transmitidos o almacenados por Softruck. A los efectos de esta Política, se entiende por incidente aquel que compromete o amenaza la confidencialidad, integridad y disponibilidad de la información, incluido pero no limitado a accesos no autorizados y/o autorizados, uso indebido de los sistemas y/o equipos de Softruck, ataques externos y/o internos a los sistemas, virus y filtraciones de información.

4.5 Tratamiento de Datos: Según la ley, el tratamiento es cualquier operación realizada con datos personales, como los referentes a la recolección, producción, recepción, clasificación, uso, acceso, reproducción, transmisión, distribución, procesamiento, archivo, almacenamiento, eliminación, evaluación o control de la información, modificación, comunicación, transferencia, divulgación o extracción.

4.6 Encargado de Protección de Datos: También conocido como "DPO," "Data Protection Officer," o "Oficial de Protección de Datos." Según la ley, el DPO es la persona designada por el responsable y el operador para actuar como canal de comunicación entre el responsable, los interesados y la Autoridad Nacional de Protección de Datos. Softruck designa a LIS Empreendedorismo (CNPJ No. 47.202.413/0001-12) como el Encargado de Protección de Datos, cuyo contacto debe realizarse por correo electrónico a privacy@softruck.com.

4.7 DataProtection: "Ley General de Protección de Datos" (o "Ley Nº 13.709/18") es la ley federal que regula el tratamiento de datos personales, incluso en medios digitales, por personas naturales o jurídicas, públicas o privadas, con el objetivo de proteger los derechos fundamentales de libertad y privacidad y el libre desarrollo de la personalidad de la persona natural.

4.8 Interesados: Personas que, de una forma u otra, tienen algún nivel de interés en los proyectos, actividades y resultados de una organización en particular, incluidos, entre otros, empleados, proveedores de servicios, clientes, socios comerciales, proveedores, inversores, directivos, entre otros.

5. Principios

Desde la perspectiva de la Seguridad de la Información, el cuidado con los datos e información procesados por Softruck se basa en los siguientes principios:

.
- Integridad: Asegurar que la información sea precisa y completa durante todo su ciclo de vida.
.
- Confidencialidad: Garantizar que solo las personas autorizadas tengan acceso a la información.
.
- Disponibilidad: Asegurar que la información esté disponible siempre que sea necesario para quienes tengan acceso.
.
- Seguridad: Utilizar medidas técnicas y administrativas capaces de proteger los datos personales de posibles incidentes de seguridad.
.
- Autenticidad: La propiedad de que la información haya sido producida, enviada, modificada o destruida por una persona, sistema, organismo o empresa en particular; garantía de que la información puede confiarse, con la posibilidad de rastrear la autoría y el origen de la información.

6. Directrices para los Interesados

6.1 Softruck ha registrado las operaciones de procesamiento de datos personales y datos personales sensibles y cumple con los requisitos legales para procesarlos, y ningún dato personal o dato personal sensible puede ser procesado de manera incorrecta o no autorizada, bajo pena de sufrir pérdidas y daños y otras sanciones aplicables.

6.2 Todos los interesados de Softruck deben practicar el almacenamiento de información en un lugar seguro, independientemente de su formato de presentación, para evitar que sea accedida, leída, copiada, perdida o robada por personas no autorizadas o extrañas a Softruck.

6.3 El procesamiento de datos personales y datos personales sensibles por parte de Softruck se basa en (i) respeto a la privacidad; (ii) autodeterminación informativa; (iii) libertad de expresión, información, comunicación y opinión; (iv) inviolabilidad de la intimidad, honor e imagen; (v) desarrollo económico y tecnológico, e innovación; (vi) libre empresa, libre competencia y protección al consumidor; y (vii) derechos humanos, libre desarrollo de la personalidad, dignidad y ejercicio de la ciudadanía por parte de las personas naturales.

6.4 El uso de equipos personales y dispositivos móviles personales (como: laptops, tabletas, teléfonos inteligentes, etc.) para el ejercicio de actividades relacionadas con Softruck debe cumplir con las directrices de seguridad de la información especificadas aquí, sin perjuicio de las proporcionadas en otras políticas internas y otras que puedan ser determinadas por Softruck.

6.5 Es responsabilidad del interesado utilizar solo aplicaciones con licencia en sus equipos personales y dispositivos móviles personales.

6.6 Softruck respeta los derechos de autor del software utilizado y no autoriza, ni consiente el uso de software sin licencia en los equipos de Softruck o en los equipos utilizados para la ejecución de actividades relacionadas con la empresa.

6.7 Los interesados deben asegurarse de no tomar acciones que puedan infringir información confidencial, derechos de autor, marcas comerciales, licencias o patentes de terceros, ni de Softruck.

6.8 Cualquier información propiedad de Softruck o puesta a disposición por ella no debe ser utilizada para fines privados no acordados por los interesados.

.
6.9 Softruck recomienda que las contraseñas de los interesados siempre tengan un mínimo de 8 (ocho) caracteres alfanuméricos, que contengan al menos una letra mayúscula y un carácter especial.
.
6.10 Softruck también sugiere que las contraseñas se cambien cada 3 (tres) meses, y que las contraseñas definidas en los últimos 12 (doce) meses no se repitan.

6.11 Cualquier archivo obtenido de Internet o recibido de una entidad externa a Softruck debe ser verificado por software antivirus.

.
6.12 Softruck sugiere adoptar buenas prácticas de seguridad de la información, como: bloquear el acceso a la computadora siempre que se abandone la estación de trabajo, incluso si es solo por unos minutos; mantener los escritorios organizados y los documentos con información confidencial bloqueados o archivados cuando no estén en uso.

7. Uso del Correo Electrónico Corporativo

El correo electrónico de Softruck está destinado a fines profesionales relacionados con las actividades de los accionistas y partes interesadas de la empresa.

Por lo tanto, por motivos de seguridad, no se recomienda ni está autorizado el uso del correo electrónico corporativo para:

  • Abrir y ejecutar archivos de fuentes desconocidas;
  • Enviar mensajes que hagan que Softruck sea vulnerable a acciones civiles o penales;
  • Enviar mensajes con anuncios privados, publicidad, videos, fotografías, música, mensajes tipo String, campañas o promociones;
  • Crear, enviar o divulgar mensajes que: tengan como objetivo obtener acceso no autorizado a otra computadora, servidor o red; contengan amenazas, como: spam, malware, phishing, etc.; tengan como objetivo evadir cualquier sistema de seguridad, monitorear en secreto o acosar a otro usuario; contengan contenido considerado inapropiado, obsceno o ilegal; contengan archivos con código ejecutable (.exe, .cmd, .pif, .js, .hta, .src, .cpl, .reg, .dll, .inf) o cualquier otra extensión que represente un riesgo de seguridad; sean difamatorios, deshonrosos, degradantes, infames, ofensivos, violentos, amenazantes, pornográficos, entre otros; tengan como objetivo acceder a información confidencial sin autorización del propietario; contengan obra con derechos de autor sin el permiso del titular de los derechos.

8. Gestión de Activos de Información

Toda la información gestionada por Softruck debe ser adecuadamente gestionada a lo largo de todo su ciclo de vida para estar disponible para su acceso, protegida contra accesos no autorizados y contra situaciones accidentales o ilícitas de destrucción, pérdida, alteración, comunicación o difusión. Los activos de información deben:

  • ser inventariados y protegidos;
  • tener identificados a sus propietarios y gestores;
  • tener mapeadas sus amenazas, vulnerabilidades e interdependencias;
  • tener su entrada y salida del control de Softruck solo mediante autorización;
  • ser capaces de ser monitoreados y que su uso sea investigado cuando haya indicios de violaciones de seguridad, a través de mecanismos que permitan la trazabilidad del uso de estos activos;
  • ser regulados por normas de procedimiento específicas con respecto a su uso;
  • ser utilizados estrictamente para su propósito previsto, prohibiéndose su uso para fines personales o de terceros.

9. Almacenamiento de Información

Softruck mantiene la información recopilada solo durante el tiempo que sea necesario para cumplir con los propósitos del respectivo tratamiento.

Softruck se reserva el derecho de retener la información personal por los períodos que sean necesarios para:

  • cumplir con los propósitos descritos en esta Política;
  • cumplir con los plazos determinados o recomendados por entidades reguladoras, organismos profesionales o asociaciones;
  • cumplir con las leyes aplicables, detenciones legales y otras obligaciones legales;
  • cumplir con obligaciones contractuales;
  • responder a solicitudes; y
  • proporcionar una defensa en procesos judiciales.

Para determinar el período de retención adecuado para los datos personales, consideramos la cantidad, naturaleza y sensibilidad de los datos personales, el propósito del procesamiento y los requisitos legales aplicables.

10. Control de Accesos

Softruck cuenta con controles de acceso y jerarquía de acceso de modo que el acceso y uso de la información estén limitados a lo necesario, considerando las funciones de cada usuario.

Se deben establecer directrices y procedimientos específicos para los controles de acceso lógico y físico en normas complementarias, considerando las siguientes directrices generales:

  • El control de acceso debe considerar y respetar el principio del menor privilegio al configurar las credenciales o cuentas de acceso de los usuarios a los activos de información de Softruck.
  • El acceso a la información debe ser autorizado solo para los empleados que lo necesiten para el desempeño de sus actividades profesionales.
  • Cada empleado debe acceder solo a la información o sistemas previamente autorizados.
  • La credencial (usuario y contraseña) otorgada a un empleado es de uso individual, no transferible y de conocimiento exclusivo.
  • La creación y administración de cuentas se realizará de acuerdo con un procedimiento específico para cualquier usuario. Para los usuarios que no realizan funciones de administración de redes, se privilegiará la creación de una única cuenta de acceso institucional, personal y no transferible. Las cuentas con perfil de administrador solo se crearán para usuarios registrados para tareas específicas en la administración de activos de información.
  • El acceso a la red corporativa debe ser rastreable, permitiendo la identificación del usuario por un período mínimo a definir en una regulación específica.
  • Las prácticas de seguridad deben incluir procedimientos de acceso físico a áreas e instalaciones, gestión de accesos y delimitación de perímetros de seguridad.
  • El gestor de cada información debe determinar la autorización de acceso, incluidos los relacionados con el sistema de gestión empresarial, teniendo en cuenta la confidencialidad adecuada y las necesidades de acceso para cada tipo de público, en el cumplimiento de los objetivos estratégicos de Softruck.
  • Los recursos corporativos proporcionados, incluido el correo electrónico, deben utilizarse principalmente para fines profesionales. Por lo tanto, cualquier uso no debe violar las leyes y regulaciones competentes, así como el Código de Conducta Ética de Softruck.
  • Para garantizar el cumplimiento de esta política, el uso de los recursos corporativos debe registrarse y monitorearse por Softruck, y los empleados no deben esperar confidencialidad en su uso.

11. Medidas de Seguridad Implementadas

Softruck cuenta con herramientas y servicios destinados a promover la seguridad de la información, que incluyen las siguientes herramientas:

  • Firewall;
  • AntiSpam;
  • Servidor Proxy;
  • Copia de seguridad de la información;
  • Política de contraseñas;
  • Antivirus;
  • Niveles de restricción de acceso por parte de los empleados;
  • Identificación y verificación de accesos no autorizados;
  • Actualización constante de los sistemas operativos de los servidores;
  • Mantenimiento de herramientas tecnológicas y componentes de programación actualizados;
  • Política interna de gestión de seguridad de la información;
  • Orientación a los empleados para la prevención de virus y otras medidas de acceso no autorizado;
  • Implementación de un Plan de Gestión de Crisis y Respuesta a Incidentes de Seguridad.

Las medidas anteriores no constituyen una lista exhaustiva, y Softruck se compromete a adoptar, siempre que sea posible, medidas de seguridad adicionales más allá de las proporcionadas en este instrumento para garantizar la protección de la información y los datos personales procesados.

12. Partes Interesadas

Cualquier persona que tenga o vaya a tener acceso a la información confidencial de Softruck debe estar vinculada por un contrato con cláusulas explícitas de secreto y confidencialidad, y comprometerse a seguir las políticas de privacidad, protección de datos y regulaciones de seguridad de la información.

13. Responsabilidad

El incumplimiento de las directrices establecidas en esta Política sujeta al infractor y a quienes colaboren con él a las sanciones previstas en los contratos por los que están vinculados a Softruck, sin perjuicio de otras sanciones administrativas, civiles y penales previstas por la legislación brasileña, y responderán personalmente por los daños y perjuicios causados a Softruck o a terceros.

En ningún momento se permitirá a ninguna persona invocar el desconocimiento de esta Política para justificar violaciones o incumplimientos.

14. Documentos de Referencia

  • Ley 13.709/2018 - DataProtection.
  • ISO/IEC 27001 y ABNT NBR ISO/IEC 27002 para gestión de privacidad de la información. Requisitos y directrices.
  • Guía orientativa de seguridad de la información para agentes de tratamiento de pequeña escala de la Autoridad Nacional de Protección de Datos.

15. Disposiciones Finales

Esta Política debe leerse e interpretarse junto con la legislación de Softruck y otras normas internas.

Las partes interesadas son conscientes de que este documento puede ser auditado o modificado por las áreas de Tecnología/Gestión de la Información y/o Seguridad de la Información. Esta Política está bajo la responsabilidad del oficial de protección de datos y puede ser solicitada en cualquier momento.

SLATermos