- introdución
O obxectivo desta política de seguridade é describir as medidas e prácticas que Allamex™ adopta para garantir a confidencialidade, integridade e dispoñibilidade dos nosos sistemas e datos. Esta política aplícase a todos os empregados, contratistas e entidades de terceiros que teñan acceso aos nosos sistemas e información. O cumprimento desta política é obrigatorio para protexer a nosa empresa e a información dos clientes do acceso, divulgación, alteración ou destrución non autorizados.
- Control de acceso
2.1Contas de usuario:
- Crearanse contas de usuario para todos os empregados e contratistas que accedan aos sistemas comerciais en liña por xunto.
- As contas de usuario concederanse en función do principio de mínimos privilexios, garantindo que os individuos só teñan acceso aos recursos necesarios para desempeñar as súas responsabilidades laborais.
- Aplicaranse contrasinais seguros, que requiren unha combinación de letras maiúsculas e minúsculas, números e caracteres especiais.
- Implementarase a autenticación multifactor (MFA) para todas as contas de usuario para proporcionar unha capa adicional de seguridade.
2.2Acceso de terceiros:
- O acceso de terceiros aos nosos sistemas e datos só se concederá en caso de necesidade de coñecer.
- As entidades de terceiros deberán asinar un acordo de confidencialidade e cumprir as normas e prácticas de seguridade coherentes coas nosas.
- Protección de datos
3.1Clasificación de datos:
-
- Todos os datos clasificaranse en función da súa sensibilidade e criticidade para determinar os niveis de protección adecuados.
- Proporcionaranse pautas de clasificación de datos aos empregados para garantir un correcto manexo, almacenamento e transmisión dos datos.
3.2Cifrado de datos:
-
- A transmisión de datos sensibles cifrarase mediante protocolos de cifrado estándar do sector, como SSL/TLS.
- Implementaranse mecanismos de cifrado para protexer os datos en reposo, especialmente para a información confidencial almacenada
- bases de datos e sistemas de ficheiros.
3.3Copia de seguranza e recuperación de datos:
-
- Realizaranse copias de seguridade regulares dos datos críticos e almacenaranse de forma segura nun lugar fóra do sitio.
- Os procesos de restauración e integridade das copias de seguridade probaranse periodicamente para garantir a recuperación dos datos en caso de desastre.
4.Seguridade de rede
-
- Firewalls e sistemas de detección de intrusos:
- Implementaranse firewalls e sistemas de detección de intrusos para protexer a nosa infraestrutura de rede de intentos de acceso non autorizados e actividades maliciosas.
- Realizarase un seguimento e análise regular do tráfico da rede para identificar e responder a calquera posible incidente de seguridade.
4.1Acceso remoto seguro:
-
- O acceso remoto aos nosos sistemas só se permitirá a través de canles seguras, como as VPN (redes privadas virtuais).
- As contas de acceso remoto estarán protexidas por mecanismos de autenticación fortes e supervisaranse para detectar calquera actividade sospeitosa.
5.Resposta por incidentes
5.1Informe de incidencias:
-
-
- Os empregados e os contratistas serán adestrados para informar rapidamente de calquera incidente de seguridade, violación ou actividade sospeitosa ao punto de contacto designado.
- Os procedementos de notificación de incidentes comunicaranse claramente e revisaranse periodicamente para garantir unha resposta e resolución oportunas.
-
5.2Equipo de resposta a incidentes:
-
-
- Designarase un equipo de resposta a incidentes para xestionar os incidentes de seguridade, investigar as infraccións e coordinar as accións adecuadas.
- Definiranse as funcións e responsabilidades dos membros do equipo, e a súa información de contacto estará facilmente dispoñible.
-
5.3Recuperación de incidentes e leccións aprendidas:
-
-
- Tomaranse medidas inmediatas para mitigar o impacto dos incidentes de seguridade e restaurar os sistemas e datos afectados.
- Despois de cada incidente, realizarase unha revisión posterior ao incidente para identificar as leccións aprendidas e implementar as melloras necesarias para evitar incidentes similares no futuro.
-
6.Seguridade Física
6.1Control de acceso:
-
- O acceso físico aos centros de datos, salas de servidores e outras áreas críticas estará restrinxido só ao persoal autorizado.
- Implementaranse mecanismos de control de acceso como a autenticación biométrica, as tarxetas clave e a vixilancia CCTV segundo proceda.
6.2Protección de equipos:
-
- Todos os equipos informáticos, medios de almacenamento e dispositivos portátiles estarán protexidos contra roubos, perdas ou accesos non autorizados.
- Adestrarase aos empregados para almacenar e manexar de forma segura os equipos, especialmente cando se traballen a distancia ou se viaxen.
7.Formación e Sensibilización
7.1 Formación de concienciación sobre seguridade:
-
- Ofrecerase formación regular de concienciación sobre a seguridade a todos os empregados e contratistas para educalos sobre as mellores prácticas, políticas e procedementos de seguridade.
- As sesións de formación tratarán temas como a seguridade dos contrasinais, a concienciación sobre phishing, o manexo de datos e a notificación de incidentes.
7.2 Recoñecemento da política:
-
- Todos os empregados e contratistas deberán revisar e recoñecer a súa comprensión e cumprimento desta política de seguridade.
- Os recoñecementos actualizaranse e manteranse regularmente como parte dos rexistros de persoal.
8.Revisión e actualizacións de políticas
Esta política de seguranza revisarase periodicamente e actualizarase segundo sexa necesario para reflectir os cambios na tecnoloxía, a normativa ou os requisitos comerciais. Todos os empregados e contratistas serán informados de calquera actualización e requirirase a súa adhesión á política revisada.
Ao implementar e facer cumprir esta política de seguridade, pretendemos protexer o noso negocio por xunto en liña, os datos dos clientes e manter a confianza dos nosos socios e clientes.