Políticas de Seguridad
de la Información
1.- Política de
Seguridad de la Información POL GSI 002 ASECON
Somos una organización dedicada a proporcionar
Servicios de Contact Center para la Administración y Recuperación de Cartera
Crediticia en Forma Extrajudicial y
Judicial, Notificaciones, así como a la Atención a Clientes y estamos
comprometidos a cumplir y superar los requisitos aplicables a la seguridad de los sistemas de información información y que garantice su confidencialidad, integridad y disponibilidad
a través de la mejora continua de los procesos y activos, cumplimiento de objetivos de seguridad de la
información y apegándonos a la
normatividad legal aplicable.
V-2 Enero 2021
2.- Políticas de seguridad de la información para proveedores y terceros.
Estimado Proveedor o Visitante:
Para que usted pueda acceder y permanecer en nuestras instalaciones deberá leer y aplicar las siguientes políticas de seguridad de la información:
• Registrar su ingreso en el módulo de acceso al edificio o al estacionamiento, así como del Oficial de Policía y en la Recepción, identificándose plenamente y debiendo portar en todo momento su gafete en lugar visible.
• Si trae consigo equipo de cómputo, debe declararlo y registrarlo al ingresar. El equipo de cómputo solo se puede usar en las áreas de recepción y salas de atención, quedando estrictamente prohibido ingresarlo a las áreas seguras (instalaciones de operación, administración o site) salvo por permiso de la Dirección.
• El uso de celulares, smartwatch o tablets solo está permitido en el área de recepción y salas de atención y capacitación. Su utilización dentro de las áreas seguras queda a criterio del personal que acompaña al visitante.
• Está prohibido que el proveedor o tercero acceda a sitios restringidos o a áreas en las que no le ha sido autorizado, ni a deambular por los pasillos o escaleras.
• Queda prohibido tomar fotografías o video filmaciones en cualquier área de la empresa.
• En caso de que el proveedor o tercero requiera el uso de internet, el área de TI deberá de hacer las gestiones y arreglos necesarios para darle acceso y siempre por el internet inalámbrico quedando estrictamente prohibido que se puedan conectar de forma alámbrica a algún nodo (los nodos de las áreas públicas están deshabilitados).
• Los dispositivos de almacenamiento extraíbles (USB, MICRO SD, DD externos, entre otros están prohibidos dentro de las áreas seguras (Áreas de Operación, administrativa y site).
• El proveedor o tercero que por alguna razón deba de acceder a áreas seguras (instalaciones de operación, administrativa y site), deberá de portar en todo momento su gafete en lugar visible y ser acompañado en todo momento por el responsable de su acceso y para los fines del acceso dado (mantenimiento, capacitación, consultoría, auditorias, reparaciones, entre otros) y declara que conoce los lineamientos de seguridad de la información que le han sido dados a conocer previamente, así como su responsabilidad en caso de infringirlos. .
• En caso de que algún tercero o proveedor incumpla o viole flagrantemente con algunas de estas disposiciones, será invitado a retirarse de forma inmediata de las instalaciones y adicionalmente a ser potencialmente sometido a sanciones de carácter legal.
• En caso de algún siniestro (sismo, incendio, accidente o incidente dentro de ASECON, deberá permanecer en calma y seguir las instrucciones que le sean dadas por el personal de brigada y en su caso, seguir las rutas de evacuación señaladas y dirigirse a un sitio seguro, o a los puntos de reunión.
• Queda Estrictamente prohibido Ingresar a las Instalaciones bajo algún efecto de estupefacientes, enervantes o bebidas alcohólicas.
• Queda Estrictamente prohibido jugar dentro de las instalaciones, fumar y/o cualquier otro acto que ponga en riesgo la Integridad del personal del inmueble y de la organización
Entrada de automóviles
Todos los automóviles de los empleados deben
ser registrados al momento de ingresar y salir del estacionamiento, cuando
aplique el registro se realizará por medio de la tarjeta magnética
proporcionada para este fin por el área de vigilancia previa autorización de la
dirección de ASECON
Todos los automóviles de visitantes que
requieran acceso a las instalaciones de la empresa deben ser registrados e
inspeccionados previamente por el personal de vigilancia a fin de evitar la
entrada de equipos y objetos peligrosos que representen riesgos al personal o
al patrimonio de la compañía, cuando aplique.
Revisión de salida de las
instalaciones
La salida de personal de las instalaciones y
oficinas de la Dependencia debe ser controlada por medio de las siguientes
medidas:
a) Los empleados deben registrar su salida
por medio de su gafete de identificación.
b) El personal externo o visitante deberá
mostrar su gafete de visitante y registrar su salida del edificio.
c) El personal de vigilancia debe asegurarse
de que ninguna persona extraiga mobiliario, equipo de cómputo/electrónico,
herramientas de trabajo o documentos sin la autorización formal del área
responsable del bien.
d) El personal de vigilancia podrá realizar
una inspección de los portafolios, bolsas y bultos que salen de las
instalaciones a fin de identificar la sustracción no autorizada de este tipo de
activos.
La salida de vehículos de visitantes deberá
pasar por una inspección física de parte del personal de vigilancia en la que
se asegure que no llevan consigo ningún activo, equipo, material o documento
propiedad de la compañía sin la autorización expresa del área responsable del
bien, cuando aplique.
Seguridad en Oficinas
Todas las oficinas e instalaciones de ASECON
deben cumplir con los siguientes controles:
a) Las oficinas deben evitar el acceso al público en
general
b) Los equipos departamentales de
fotocopiado, impresión o fax deberán estar preferentemente dentro de áreas
seguras y bajo la supervisión de personal autorizado. Nunca en lugares donde se
pueda comprometer la seguridad de la información.
c) Las puertas y ventanas deben permanecer
cerradas en ausencia del personal que labora en las oficinas.
d) El uso de equipo fotográfico, de video o
de audio grabación no está permitido a menos de que exista una autorización
expresa de la
Dirección, exceptuando el caso que sus funciones así lo
requieran.
Seguridad en Áreas Comunes.
Las personas que se encuentren en áreas de
espera deben ser identificadas y Supervisadas, cuando así lo amerite el caso.
El ingreso de material a las instalaciones
debe ser inspeccionado previamente a fin de evitar posibles peligros y
amenazas.
La carga y descarga de equipo o materiales,
deberá ser controlado por el área Administrativa y supervisada por el personal
de seguridad.
La transportación de equipos de cómputo y o
relacionados con tecnología fuera de las instalaciones deberá ser autorizada
por la Dirección y la Gerencia de sistemas y notificadas al personal de seguridad
de la dependencia para su seguimiento.
Política de dispositivos de comunicación móvil.
Queda estrictamente prohibido al personal
que labora dentro
de las instalaciones de ASECON el
ingreso de teléfonos celulares, tabletas, laptops y o cualquier otro medio de
radio comunicación, el personal está obligado a dejar este tipo de aparatos en
su gabinete asignado en el área de comedor, antes de ingresar a realizar sus
labores.
En el caso en que el personal operativo sea
sorprendido introduciendo su celular a las instalaciones, el personal de
seguridad lo decomisara y lo mantendrá en resguardo hasta la hora de salida del
personal, este acto será notificado al jefe inmediato del involucrado quien
iniciara el proceso de sanción administrativa que aplique al caso
El personal que realiza labores fuera de las
instalaciones recibirá de la empresa un equipo de comunicación para la
realización de las mismas, este equipo le será asignado por su jefe inmediato o
el área de compras, obligándose el personal a firmar la carta de
responsabilidad sobre el uso y resguardo del equipo encomendado, así como a la
firma de los documentos de confidencialidad que en su caso apliquen.
El personal con responsabilidades de coordinación
de áreas operativas y administrativas está autorizado a utilizar un equipo de
comunicación móvil, limitando su uso a mantener la comunicación con clientes , las áreas administrativas , las oficinas foráneas
y la dirección de la empresa, quedando prohibida
la difusión de información con clasificación restringida por este medio.
Las personas identificadas como visitantes
podrán ingresar sus equipos de comunicación móvil previo registro con el personal
de seguridad.
Las excepciones a estas políticas deberán
regirse por el procedimiento de excepciones a las políticas de seguridad de la
información.
Políticas de dispositivos
de almacenamiento extraíble.
Queda prohibido el uso de cualquier
dispositivo de almacenamiento de información extraíble, tales como ( Flash drives ,
Discos duros portables , memorias , unidades zip, etc. )
La Gerencia de sistemas, está obligada a
implementar los medios de control físico y tecnológico que garanticen el no funcionamiento de
dispositivos de almacenamiento extraíble en los equipos de cómputo asignado al
personal operativo y administrativo no autorizado.
El área de sistemas y la dirección de la
empresa son personal autorizado para el uso de estos dispositivos obligándose
al cumplimento de las normas de confidencialidad y no
divulgación aplicables por el dueño de la información.
Las excepciones a estas políticas deberán
regirse por el procedimiento de excepciones a las políticas de seguridad de la
información.
Política de Acceso a Internet.
INTERNET
Los privilegios de uso de Internet estarán limitados por la necesidad de acceso que requiera el desarrollo de la función de cada usuario.
Las solicitudes de nuevos códigos de usuario y los cambios de privilegios de acceso se presentarán por escrito con la aprobación del jefe del área a la que pertenezca el usuario y la dirección de la empresa.
Para los usuarios registrados como visitantes que requieran el servicio de internet este servicio les será proporcionado previa autorización de la Gerencia de Sistemas , en ninguna caso se concederá el acceso a través de la red corporativa , proporcionado el servicio por medio de equipos ADSL independientes.