Política de Seguridad de la Información de Proveedores
Proveedores
Grupo Lennken (que incluye Lennken Group S.C. y Grupo Caprinet S.C). establece contratos de servicio y acuerdos de confidencialidad con los terceros subcontratados que por sus funciones requieran de acceso a información o infraestructura de la organización o de los clientes.
Con la finalidad de homologar terminología y procesos con los terceros subcontratados, la organización deberá difundir a sus proveedores, las políticas de seguridad de la información aplicables de acuerdo con los servicios contratados y asegurarse de que el tercero subcontratado y su personal tienen conocimiento de las mismas.
Los proveedores serán responsables de definir, implementar, mantener y revisar a intervalos planificados los controles de seguridad que permitan a la organización mitigar los riesgos derivados de la interacción entre la organización y el tercero en cuestión.
Los proveedores deberán hacer uso de las políticas de clasificación de la información para identificar, etiquetar y tratar la información de forma correcta, haciendo referencia a la siguiente tabla.
| Clasificación | Descripción |
|---|---|
| Restringido | Información que, si es divulgada a entidades no autorizadas; podría tener un impacto en obligaciones legales o reguladoras de la organización, en sus estados financieros o clientes. |
| Confidencial | Información acerca de clientes, empleados y/o negocios de la organización que la misma está obligada a proteger. Así mismo, la información que la dirección general de la organización o el comité del SGSI determinan si tiene potencial para proporcionar una ventaja competitiva u ocasionar un impacto significante en el negocio si es divulgada a entidades no autorizadas. |
| Interno | Información que puede ser compartida común y libremente dentro de la organización y que no es restringida o confidencial. Ej. Políticas de seguridad de la información. |
| Público | Información que puede ser conocida y/o divulgada al público en general, al interior y exterior de la organización y que se haya elaborado con ese fin. Ej. Folletos, anuncios de productos o servicios, solicitud de vacantes, entre otros |
Tratamiento de la información
Con base en los criterios definidos por la organización podrá hacerse uso de los siguientes medios autorizados para el tratamiento de información de acuerdo con la clasificación de la información.
| Medio autorizado | Pública | Interna | Confidencial | Restringida |
|---|---|---|---|---|
| Sitio web y redes sociales | Sí | No | No | No |
| Correo electrónico | Sí | Sí | No | No |
| Correo electrónico con información cifrada | No | No | Sí | Sí |
| Por medio de VPN y conexiones seguras como SFTP/HTTPs internos y a clientes. | Sí | No | Sí | Sí |
| Mensajería privada en sobre sellado seguro | Sí | No | Sí | Sí |
| Transmisión de palabra, incluyendo el teléfono móvil, correo de voz, contestador, equipos | Sí | No | No | No |
| CDs, DVDs y medios de almacenamiento extraíbles cifrados | Sí | No | Sí | Sí |
Eliminación de la información
Una vez que la información ha cumplido con el ciclo de vida definido para la misma y que ya no será requerida por el negocio, deberá llevarse a cabo la eliminación de la información mediante el uso de las técnicas de eliminación definidas por la organización o bien la que haya sido acordada por contrato con el cliente y de acuerdo con la clasificación que le corresponda.
En la siguiente tabla se muestra las técnicas de eliminación requeridas por cada tipo de información con base en su clasificación.
| TIPO DE INFORMACIÓN | BORRADO ESTÁNDAR | BORRADO SEGURO | DESTRUCCIÓN DE MEDIOS |
|---|---|---|---|
| Pública | Sí | Opcional | No |
| Interna | Sí | Opcional | No |
| Confidencial | No | Sí | Opcional |
| Restringida | No | Sí | Opcional |
Cualquier transferencia de información clasificada como confidencial o restringida, en tránsito o reposo deberá permanecer cifrada y mantener controles de identificación o acceso por medio de contraseña.
| CIFRADO DE INFORMACIÓN EN TRÁNSITO | CIFRADO DE INFORMACIÓN EN REPOSO |
|---|---|
| Compresión con contraseña VPN site to site VPN client to site TLS 1.2 o superior SSL3 Compresión con contraseña VPN site to site VPN client to site TLS 1.2 o superior SSL3 | Compresión con contraseña, Cifrado de disco, Cifrado de archivo, Cifrado de BD, Cifrado de respaldos |