Política de seguridad de la información

Última actualización: 14 de enero de 2025

Esta Política puede consultarse en el acuerdo firmado entre Encryption Consulting LLC o sus filiales y empresas afiliadas (en conjunto, «Encryption Consulting») y el Cliente que utiliza los servicios de Encryption Consulting (el «Acuerdo»), y servirá como política vinculante para el cumplimiento de las obligaciones de seguridad de Encryption Consulting. Esta Política de Seguridad forma parte integral del Acuerdo que rige el uso de los servicios de Encryption Consulting.

Las definiciones utilizadas pero no definidas en este documento tendrán el significado que se les asigna en el Acuerdo aplicable o como se hace referencia en el Acuerdo de licencia de usuario final de Encryption Consulting.

Esta Política describe las medidas de seguridad técnicas y organizativas adoptadas por Encryption Consulting.

Certificaciones y programas de cumplimiento

Las operaciones, políticas y procedimientos de Encryption Consulting se auditan periódicamente para garantizar su conformidad con los estándares requeridos como proveedor confiable de servicios de ciberseguridad. Las certificaciones y atestrías de cumplimiento son evaluadas por auditores externos independientes, lo que da como resultado certificaciones, informes de auditoría o atestrías de cumplimiento.

Encryption Consulting mantiene certificaciones y evaluaciones de cumplimiento de las normas ISO 27001, ISO 27701, SOC y PCI DSS. Para informes de certificación o consultas, póngase en contacto con: info@encryptionconsulting.com.

Participación de la dirección y gestión general de la seguridad

Las prácticas de seguridad de datos de Encryption Consulting se basan en un entorno de control sólido, impulsado por la supervisión proactiva de la gerencia y la junta directiva. Las responsabilidades están claramente definidas y se comunican a toda la organización.

La gerencia, incluyendo al DPO y al CISO, evalúa periódicamente la postura de riesgo y cumplimiento, con énfasis en la seguridad y la confidencialidad de los datos. Las políticas de recursos humanos están diseñadas para contratar personal cualificado, brindar formación continua y asegurar el cumplimiento de las responsabilidades de seguridad mediante la política corporativa.

Medidas de seguridad de RR.HH.

Sujeto a las leyes locales y la disponibilidad, se llevan a cabo verificaciones de antecedentes y procesos de selección de empleados y contratistas antes de otorgar acceso a sistemas o datos confidenciales.

Todo el personal debe firmar acuerdos estándar de confidencialidad y protección de datos antes de acceder a datos de clientes o de propiedad exclusiva. Estos acuerdos prohíben la divulgación no autorizada o el uso indebido de información confidencial.

Los empleados están sujetos a las políticas internas de Encryption Consulting, incluida la Política de uso aceptable (AUP) y el Código de conducta.

Encryption Consulting refuerza la concienciación sobre seguridad a través de programas de capacitación regulares, incluida la capacitación anual obligatoria sobre seguridad, riesgos, privacidad, phishing y mejores prácticas de seguridad.

Las estaciones de trabajo están protegidas mediante tecnologías estándar como firewalls, cifrado de disco completo, software antivirus, pantallas de bloqueo y MFA para acceso remoto.

El incumplimiento de las políticas de seguridad da lugar a medidas disciplinarias para garantizar la responsabilidad y el cumplimiento.

Gestión del Cambio

Encryption Consulting mantiene un programa integral de gestión de cambios que rige los tipos de cambios, la documentación, las revisiones por pares, las aprobaciones y los cambios de emergencia.

Solo se utilizan sistemas de control de versiones autorizados. Todos los cambios se documentan, son revisados ​​por aprobadores independientes y se prueban en entornos aislados antes de su implementación.

Los entornos de producción y no producción están estrictamente separados. Se publican notas de versión para cada versión principal y secundaria.

Control de acceso, gestión de usuarios y permisos

Encryption Consulting aplica estrictos controles de acceso alineados con los principios de acceso por roles. El acceso se limita a lo necesario para cada puesto, y los permisos se revisan y aprueban periódicamente.

Las políticas de contraseñas imponen requisitos de complejidad e historial, especialmente en los sistemas que acceden a datos de clientes.

Las protecciones adicionales incluyen cifrado de computadoras portátiles, derechos administrativos restringidos y MFA aplicado a los sistemas que manejan datos confidenciales.

Acceso al sistema de producción

Los entornos de producción están protegidos con controles rigurosos que incluyen MFA aplicado y acceso restringido al personal autorizado.

Las operaciones administrativas sobre control de fuentes, copias de seguridad y bases de datos están estrictamente controladas y auditadas.

Acceso físico y visitantes

El acceso a la oficina está limitado al personal autorizado con acceso seguro. Las medidas de seguridad incluyen sistemas de alarma y puntos de acceso con personal.

Los visitantes están acompañados en todo momento y tienen prohibido acceder a las redes o equipos internos.

Encryption Consulting utiliza los principales proveedores de nube (AWS, GCP, Azure) para alojar la infraestructura, basándose en sus controles físicos y operativos certificados (p. ej., ISO 27001, SOC2, etc.). Los centros de datos cuentan con redundancia, vigilancia y controles de acceso, incluyendo biometría y registro.

Seguridad de redes e infraestructura

Consultoría de Cifrado mantiene configuraciones base seguras y garantiza su cumplimiento mediante herramientas automatizadas. Todos los datos, tanto en tránsito como en reposo, están cifrados.

Los datos de los clientes nunca se utilizan en entornos de prueba. Los endpoints están protegidos con EDR, gestión de parches y configuraciones de sistema reforzadas.

Se utiliza HTTPS con TLS 1.2 o superior para la comunicación. Todos los datos en reposo del cliente están protegidos mediante mecanismos de cifrado por capas.

Para obtener más detalles, consulte la documentación sobre la metodología de cifrado de Encryption Consulting.

Evaluación de riesgos y gestión de vulnerabilidades

Encryption Consulting implementa un programa formal de gestión de riesgos que identifica y mitiga las amenazas internas y externas.

Los tratamientos de riesgos de seguridad se revisan y aprueban anualmente como parte de los esfuerzos de cumplimiento de la norma ISO 27001.

La seguridad de las aplicaciones se refuerza mediante pruebas de penetración externas periódicas, análisis internos y prácticas seguras de SDLC. Las vulnerabilidades altas y críticas se resuelven con prontitud según la política, con nuevas pruebas para confirmar su corrección.

Plazos de respuesta ante vulnerabilidades:

• Critical:Lo antes posible, no más de 1 semana
• Alto: ≤ 1 mes
• Media: ≤ 3 meses
• Bajo: ≤ 3 meses

Se notifica a los clientes sobre las vulnerabilidades que afectan a los servicios o datos a través de medios electrónicos de conformidad con el Acuerdo.

Pruebas de penetración

Encryption Consulting realiza pruebas periódicas de penetración de aplicaciones web externas.

Los resúmenes ejecutivos o los resultados de pruebas se pueden compartir mediante solicitud por escrito y sujeto a NDA.

Cuando lo requiera la regulación (por ejemplo, DORA para instituciones financieras), Encryption Consulting participará en pruebas de penetración iniciadas por el cliente si así lo exigen los reguladores.

Registro y Monitoreo

Encryption Consulting registra la actividad crítica del sistema mediante métodos manuales y automatizados. Los registros incluyen la actividad del usuario, las marcas de tiempo, los resultados y las interacciones del sistema.

Los datos de registro están protegidos contra manipulaciones, se conservan durante un mínimo de 12 meses (o más si es necesario) y se monitorean mediante sistemas centralizados de detección y prevención de intrusiones y SIEM.

El acceso al registro está estrictamente controlado y las acciones del administrador están limitadas para evitar su eliminación o modificación.

Respuesta a incidentes y notificación de infracciones

Encryption Consulting mantiene un plan integral de respuesta a incidentes que incluye detección, investigación, contención, notificación y revisión posterior al incidente. (Nota: Continúe la sección restante aquí).