Políticas de Seguridad de la Información

1.- Política de Seguridad de la Información POL GSI 002Asesores y Consultores en Productos Litigiosos

S.C. (ASECON) somos una organización dedicada a proporcionar Servicios de Contact Center para la Administración y Recuperación de Cartera Crediticia  en Forma Extrajudicial y Judicial, Notificaciones, así como a la Atención a Clientes y estamos comprometidos a cumplir y superar los requisitos  aplicables a la seguridad  de los sistemas de  información información y que garantice su confidencialidad, integridad y disponibilidad  a través de la mejora continua de los procesos y activos,  cumplimiento de objetivos de seguridad de la información y apegándonos a la   normatividad legal aplicable. 

V-2  Enero 2021

2.-  Políticas de seguridad de la información para proveedores y terceros.

Estimado Proveedor o Visitante:

Para que usted pueda acceder y permanecer en nuestras instalaciones deberá leer y aplicar las siguientes políticas de seguridad de la información:

• Registrar su ingreso en el módulo de acceso al edificio o al estacionamiento, así como del Oficial de Policía y en la Recepción, identificándose plenamente y debiendo portar en todo momento su gafete en lugar visible.

• Si trae consigo equipo de cómputo, debe declararlo y registrarlo al ingresar. El equipo de cómputo solo se puede usar en las áreas de recepción y salas de atención, quedando estrictamente prohibido ingresarlo a las áreas seguras (instalaciones de operación, administración o site) salvo por permiso de la Dirección.

• El uso de celulares, smartwatch o tablets solo está permitido en el área de recepción y salas de atención y capacitación. Su utilización dentro de las áreas seguras queda a criterio del personal que acompaña al visitante.

• Está prohibido que el proveedor o tercero acceda a sitios restringidos o a áreas en las que no le ha sido autorizado, ni a deambular por los pasillos o escaleras.

• Queda prohibido tomar fotografías o video filmaciones en cualquier área de la empresa.

• En caso de que el proveedor o tercero requiera el uso de internet, el área de TI deberá de hacer las gestiones y arreglos necesarios para darle acceso y siempre por el internet inalámbrico quedando estrictamente prohibido que se puedan conectar de forma alámbrica a algún nodo (los nodos de las áreas públicas están deshabilitados).

• Los dispositivos de almacenamiento extraíbles (USB, MICRO SD, DD externos, entre otros están prohibidos dentro de las áreas seguras (Áreas de Operación, administrativa y site).

• El proveedor o tercero que por alguna razón deba de acceder a áreas seguras (instalaciones de operación, administrativa y site), deberá de portar en todo momento su gafete en lugar visible y ser acompañado en todo momento por el responsable de su acceso y para los fines del acceso dado (mantenimiento, capacitación, consultoría, auditorias, reparaciones, entre otros) y declara que conoce los lineamientos de seguridad de la información que le han sido dados a conocer previamente, así como su responsabilidad en caso de infringirlos. .

• En caso de que algún tercero o proveedor incumpla o viole flagrantemente con algunas de estas disposiciones, será invitado a retirarse de forma inmediata de las instalaciones y adicionalmente a ser potencialmente sometido a sanciones de carácter legal.

• En caso de algún siniestro (sismo, incendio, accidente o incidente dentro de ASECON, deberá permanecer en calma y seguir las instrucciones que le sean dadas por el personal de brigada y en su caso, seguir las rutas de evacuación señaladas y dirigirse a un sitio seguro, o a los puntos de reunión.

• Queda Estrictamente prohibido Ingresar a las Instalaciones bajo algún efecto de estupefacientes, enervantes o bebidas alcohólicas.

• Queda Estrictamente prohibido jugar dentro de las instalaciones, fumar y/o cualquier otro acto que ponga en riesgo la Integridad del personal del inmueble y de la organización

Entrada de automóviles

Todos los automóviles de los empleados deben ser registrados al momento de ingresar y salir del estacionamiento, cuando aplique el registro se realizará por medio de la tarjeta magnética proporcionada para este fin por el área de vigilancia previa autorización de la dirección de Asesores y Consultores de Productos Litigiosos S.C.

Todos los automóviles de visitantes que requieran acceso a las instalaciones de la empresa deben ser registrados e inspeccionados previamente por el personal de vigilancia a fin de evitar la entrada de equipos y objetos peligrosos que representen riesgos al personal o al patrimonio de la compañía, cuando aplique.

Revisión de salida de las instalaciones

La salida de personal de las instalaciones y oficinas de la Dependencia debe ser controlada por medio de las siguientes medidas:

a) Los empleados deben registrar su salida por medio de su gafete de identificación.

b) El personal externo o visitante deberá mostrar su gafete de visitante y registrar su salida del edificio.

c) El personal de vigilancia debe asegurarse de que ninguna persona extraiga mobiliario, equipo de cómputo/electrónico, herramientas de trabajo o documentos sin la autorización formal del área responsable del bien.

d) El personal de vigilancia podrá realizar una inspección de los portafolios, bolsas y bultos que salen de las instalaciones a fin de identificar la sustracción no autorizada de este tipo de activos.

La salida de vehículos de visitantes deberá pasar por una inspección física de parte del personal de vigilancia en la que se asegure que no llevan consigo ningún  activo, equipo, material o documento propiedad de la compañía sin la autorización expresa del área responsable del bien, cuando aplique.

  Seguridad en Oficinas

Todas las oficinas e instalaciones de ASECON deben cumplir con los siguientes controles:

a) Las oficinas  deben evitar el acceso al público en general

b) Los equipos departamentales de fotocopiado, impresión o fax deberán estar preferentemente dentro de áreas seguras y bajo la supervisión de personal autorizado. Nunca en lugares donde se pueda comprometer la seguridad de la información.

c) Las puertas y ventanas deben permanecer cerradas en ausencia del personal que labora en las oficinas.

d) El uso de equipo fotográfico, de video o de audio grabación no está permitido a menos de que exista una autorización expresa de la  Dirección, exceptuando el caso que sus funciones así lo requieran.

Seguridad en Áreas Comunes.

Las personas que se encuentren en áreas de espera deben ser identificadas y Supervisadas, cuando así lo amerite el caso.

El ingreso de material a las instalaciones debe ser inspeccionado previamente a fin de evitar posibles peligros y amenazas.

La carga y descarga de equipo o materiales, deberá ser controlado por el área Administrativa y supervisada por el personal de seguridad.

La transportación de equipos de cómputo y o relacionados con tecnología fuera de las instalaciones deberá ser autorizada por la Dirección y la Gerencia de sistemas y notificadas al personal de seguridad de la dependencia para su seguimiento.

Política de dispositivos de comunicación móvil.

Queda estrictamente prohibido al personal que labora  dentro de las instalaciones de Asesores y Consultores de Productos Litigiosos S.C. el ingreso de teléfonos celulares, tabletas, laptops y o cualquier otro medio de radio comunicación, el personal está obligado a dejar este tipo de aparatos en su gabinete asignado en el área de comedor, antes de ingresar a realizar sus labores.

En el caso en que el personal operativo sea sorprendido introduciendo su celular a las instalaciones, el personal de seguridad lo decomisara y lo mantendrá en resguardo hasta la hora de salida del personal, este acto será notificado al jefe inmediato del involucrado quien iniciara el proceso de sanción administrativa que aplique al caso

El personal que realiza labores fuera de las instalaciones recibirá de la empresa un equipo de comunicación para la realización de las mismas, este equipo le será asignado por su jefe inmediato o el área de compras, obligándose el personal a firmar la carta de responsabilidad sobre el uso y resguardo del equipo encomendado, así como a la firma de los documentos de confidencialidad que en su caso apliquen.

El personal con responsabilidades de coordinación de áreas operativas y administrativas está autorizado a utilizar un equipo de comunicación móvil, limitando su uso a mantener la comunicación con clientes , las áreas administrativas , las oficinas foráneas y la dirección de la empresa,  quedando prohibida la difusión de información con clasificación restringida por este medio.

Las personas identificadas como visitantes podrán ingresar sus equipos de comunicación  móvil previo registro con el personal de seguridad.

Las excepciones a estas políticas deberán regirse por el procedimiento de excepciones a las políticas de seguridad de la información.

Políticas de dispositivos de almacenamiento extraíble.

Queda prohibido el uso de cualquier dispositivo de almacenamiento de información extraíble, tales como  ( Flash drives , Discos duros portables , memorias , unidades zip, etc. )

La Gerencia de sistemas, está obligada a implementar los medios de control físico y tecnológico  que garanticen el no funcionamiento de dispositivos de almacenamiento extraíble en los equipos de cómputo asignado al personal operativo y administrativo no autorizado.

El área de sistemas y la dirección de la empresa son personal autorizado para el uso de estos dispositivos obligándose al cumplimento de las normas de confidencialidad y no divulgación aplicables por el dueño de la información.

Las excepciones a estas políticas deberán regirse por el procedimiento de excepciones a las políticas de seguridad de la información.

Política de Acceso a Internet.

INTERNET

Los privilegios de uso de Internet estarán limitados por la necesidad de acceso que requiera el desarrollo de la función de cada usuario.

Las solicitudes de nuevos códigos de usuario y los cambios de privilegios de acceso se presentarán por escrito con la aprobación del jefe del área a la que  pertenezca  el  usuario y la dirección de la empresa. 

Para los usuarios registrados como visitantes que requieran el servicio de internet este servicio les será proporcionado previa autorización de la Gerencia de Sistemas , en ninguna caso se concederá el acceso a través de la red corporativa , proporcionado el servicio por medio de equipos ADSL independientes.