- Introducción
El propósito de esta política de seguridad es describir las medidas y prácticas que Allamex™ adopta para garantizar la confidencialidad, integridad y disponibilidad de nuestros sistemas y datos. Esta política se aplica a todos los empleados, contratistas y entidades de terceros que tienen acceso a nuestros sistemas e información. El cumplimiento de esta política es obligatorio para proteger nuestra información comercial y de clientes del acceso, divulgación, alteración o destrucción no autorizados.
- Control de Acceso
2.1Cuentas de usuario:
- Se crearán cuentas de usuario para todos los empleados y contratistas que accedan a los sistemas comerciales mayoristas en línea.
- Las cuentas de usuario se otorgarán con base en el principio de privilegio mínimo, asegurando que las personas tengan acceso solo a los recursos necesarios para realizar sus responsabilidades laborales.
- Se aplicarán contraseñas seguras, que requerirán una combinación de letras mayúsculas y minúsculas, números y caracteres especiales.
- Se implementará la autenticación multifactor (MFA) para todas las cuentas de usuario para proporcionar una capa adicional de seguridad.
2.2Acceso de terceros:
- El acceso de terceros a nuestros sistemas y datos se otorgará solo cuando sea necesario.
- Se requerirá que las entidades de terceros firmen un acuerdo de confidencialidad y se adhieran a los estándares y prácticas de seguridad consistentes con los nuestros.
- Protección de Datos
3.1Clasificación de datos:
-
- Todos los datos se clasificarán en función de su sensibilidad y criticidad para determinar los niveles adecuados de protección.
- Se proporcionarán pautas de clasificación de datos a los empleados para garantizar el manejo, el almacenamiento y la transmisión adecuados de los datos.
3.2Cifrado de datos:
-
- La transmisión de datos confidenciales se cifrará utilizando protocolos de cifrado estándar de la industria, como SSL/TLS.
- Se implementarán mecanismos de encriptación para proteger los datos en reposo, especialmente para la información sensible almacenada en
- bases de datos y sistemas de archivos.
3.3Copia de seguridad y recuperación de datos:
-
- Se realizarán copias de seguridad periódicas de los datos críticos y se almacenarán de forma segura en una ubicación externa.
- Los procesos de restauración e integridad de la copia de seguridad se probarán periódicamente para garantizar la capacidad de recuperación de los datos en caso de desastre.
4.Red de Seguridad
-
- Cortafuegos y Sistemas de Detección de Intrusos:
- Se implementarán cortafuegos y sistemas de detección de intrusos para proteger nuestra infraestructura de red de intentos de acceso no autorizado y actividades maliciosas.
- Se realizará un monitoreo y análisis regulares del tráfico de la red para identificar y responder a cualquier posible incidente de seguridad.
4.1Acceso remoto seguro:
-
- El acceso remoto a nuestros sistemas solo se permitirá a través de canales seguros, como VPN (redes privadas virtuales).
- Las cuentas de acceso remoto estarán protegidas por fuertes mecanismos de autenticación y monitoreadas para detectar cualquier actividad sospechosa.
5.Respuesta al incidente
5.1Informe de incidentes:
-
-
- Se capacitará a los empleados y contratistas para informar de inmediato cualquier incidente de seguridad, incumplimiento o actividad sospechosa al punto de contacto designado.
- Los procedimientos de notificación de incidentes se comunicarán claramente y se revisarán periódicamente para garantizar una respuesta y resolución oportunas.
-
5.2Equipo de respuesta a incidentes:
-
-
- Se designará un equipo de respuesta a incidentes para manejar los incidentes de seguridad, investigar las infracciones y coordinar las acciones apropiadas.
- Se definirán las funciones y responsabilidades de los miembros del equipo, y su información de contacto estará fácilmente disponible.
-
5.3Recuperación de incidentes y lecciones aprendidas:
-
-
- Se tomarán medidas inmediatas para mitigar el impacto de los incidentes de seguridad y restaurar los sistemas y datos afectados.
- Después de cada incidente, se realizará una revisión posterior al incidente para identificar las lecciones aprendidas e implementar las mejoras necesarias para prevenir incidentes similares en el futuro.
-
6.Seguridad Física
6.1Control de acceso:
-
- El acceso físico a los centros de datos, salas de servidores y otras áreas críticas estará restringido solo al personal autorizado.
- Se implementarán mecanismos de control de acceso, como autenticación biométrica, tarjetas de acceso y vigilancia por circuito cerrado de televisión, según corresponda.
6.2Protección de equipos:
-
- Todos los equipos informáticos, medios de almacenamiento y dispositivos portátiles estarán protegidos contra robo, pérdida o acceso no autorizado.
- Los empleados recibirán capacitación para almacenar y manejar equipos de manera segura, especialmente cuando trabajen de forma remota o viajen.
7.Capacitación y Concienciación
7.1 Entrenamiento de conciencia de seguridad:
-
- Se brindará capacitación periódica sobre concientización sobre seguridad a todos los empleados y contratistas para educarlos sobre las mejores prácticas, políticas y procedimientos de seguridad.
- Las sesiones de capacitación cubrirán temas como la seguridad de las contraseñas, la concientización sobre el phishing, el manejo de datos y la notificación de incidentes.
7.2 Reconocimiento de la política:
-
- Todos los empleados y contratistas deberán revisar y reconocer su comprensión y cumplimiento de esta política de seguridad.
- Los reconocimientos se actualizarán periódicamente y se mantendrán como parte de los registros del personal.
8.Revisión y actualizaciones de políticas
Esta política de seguridad se revisará periódicamente y se actualizará según sea necesario para reflejar los cambios en la tecnología, las reglamentaciones o los requisitos comerciales. Se informará a todos los empleados y contratistas de cualquier actualización, y se requerirá su adhesión a la política revisada.
Al implementar y hacer cumplir esta política de seguridad, nuestro objetivo es proteger nuestro negocio mayorista en línea, los datos de los clientes y mantener la confianza de nuestros socios y clientes.