POLÍTICAS Y PROCEDIMIENTOS PARA EL MANEJO DE INFORMACIÓN
TRATAMIENTO DE DATOS
I. INTRODUCCIÓN Y ALCANCES
COMERCIAL DE SEGUROS CORREDRES DE SEGUROS S.A. (en adelante “COMERCIAL DE SEGUROS”), para el desarrollo de su actividad como intermediario de seguros, entrará en contacto y utilizará diversos tipos de información. Esta información será esencial y estratégica para el cumplimiento de sus funciones.
Por este motivo, COMERCIAL DE SEGUROS prepara la presente política con el propósito de definir los principios, prácticas o procedimientos a seguirse por todo el personal de COMERCIAL DE SEGUROS. Adicionalmente, COMERCIAL DE SEGUROS procurara que estas políticas sean acatadas por aquellos terceros vinculados a la Compañía.[1] Todo lo anterior con el fin de lograr un manejo eficiente y seguro de la información.
Lo indicado en el presente documento como políticas de tratamiento de la información de COMERCIAL DE SEGUROS se encuentra en línea con lo indicado en diversos estándares nacional e internacionales, acerca de la protección de datos personales y privacidad y tratamiento de la información.
En la presente política al referirse al término “información”, se entenderá que el concepto alcanzará tanto el manejo y tratamiento de la información producto de las relaciones con los clientes como a aquella información proveniente de los colaboradores, proveedores de servicios y terceros vinculados a COMERCIAL DE SEGUROS.
II. CONCEPTOS O DEFINICIONES
- Atentado contra la seguridad de la información: Evento ilícito o fraudulento que permita que una persona no autorizada acceda a información confidencial. Entre estos eventos, se encuentra la pérdida o robo de papeles, archivos, discos rígidos, laptops o backups, sea dentro de las oficinas de COMERCIAL DE SEGUROS o en tránsito; y la devolución de equipos alquilados o en leasing, sin el debido borrado de archivos y formateo de discos.
- Datos de carácter personal: Son los relativos a cualquier información concerniente a personas naturales, identificadas o identificables, sean clientes, colaboradores, proveedores o personas que, en general, se encuentran vinculados con las actividades de COMERCIAL DE SEGUROS.
- Datos sensibles de personas: Son los relativos a las características físicas o morales de las personas, o a hechos o circunstancias de su vida privada o intimidad, tales como los hábitos personales, el origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos, la situación financiera o económica, y la vida sexual.
- Información: cualquier documento, mensaje, bancas o registros de datos que guarden una relación directa o indirecta con la información a la cual tenga o pueda tener acceso COMERCIAL DE SEGUROS en virtud de su relación jurídica, comercial o de otro tipo con un tercero, entiéndase, personas, empresas o entidades. Con independencia de si estos datos provienen de negocios, actividades, proyectos, estudios, análisis o hechos.
- Información a cargo de una persona: Toda información a la que tiene acceso y/o maneja una persona, previamente autorizada por COMERCIAL DE SEGUROS para ello.
- Información confidencial: Toda aquella información o dato que no puede ser obtenido en medios públicos lícitos.
- Información electrónica: Información que se encuentra soportada en medios electromagnéticos y requiere de estos para su manejo o tratamiento.
- Manejo o tratamiento de información: Operación o conjunto de operaciones o procedimientos, de carácter automatizado o no, con el fin de acceder, recolectar, almacenar, organizar, extraer, modificar, generar, transmitir y/o comunicar información.
- Personas autorizadas: Las personas que cuentan con el permiso de COMERCIAL DE SEGUROS para acceder a información confidencial y bajo los límites establecidos por la entidad.
- Registro o banco de información: Es el conjunto organizado de información, sea automatizado o no, que permita el manejo o tratamiento de información, con independencia de la modalidad de su creación u organización.
- Responsable de un registro de información: COMERCIAL DE SEGUROS será el propietario y responsable de las bases creadas como consecuencia del desarrollo de su actividad. Específicamente, serán responsables por el uso y tratamiento de la información recopilada en el desarrollo de su actividad.
III. PRINCIPIOS O PAUTAS GENERALES
COMERCIAL DE SEGUROS establece los siguientes principios básicos y generales que guiarán el tratamiento de la información de la cual sea responsable:
1. Principios Básicos
- COMERCIAL DE SEGUROS reconoce la importancia de guardar la privacidad y seguridad de la información confidencial que esté a su cargo, especialmente de los datos personales de sus clientes y colaboradores. En ese sentido, se comprometen a tomar las medidas necesarias para garantizar que la información se maneje de la manera más segura posible, para minimizar el riesgo que personas no autorizadas puedan tener acceso a dicha información.
- COMERCIAL DE SEGUROS se compromete a informar y capacitar a su personal en cuanto el tratamiento y manejo de datos, y la necesidad de guardar la privacidad y seguridad de la información confidencial a la cual tienen acceso en virtud de su cargo o posición.
- COMERCIAL DE SEGUROS deberá guardar absoluta discreción y restringir permanentemente el acceso a la información confidencial a su cargo.
- COMERCIAL DE SEGUROS se asegurará de que únicamente tengan acceso a la información confidencial el personal de COMERCIAL DE SEGUROS que requiera conocer dicha información para el ejercicio de sus labores en la empresa, cumpliendo siempre con los procedimientos y normas de seguridad vigentes.
- Cada una de las áreas de COMERCIAL DE SEGUROS y su respectivo responsable debe encargarse de clasificar la información que se encuentre encargada a esta o haya sigo generada por esta, según su grado de confidencialidad. Una vez realizado este análisis, deberá establecer e implementar procedimientos adecuados para su manejo o tratamiento, siguiendo lo indicado por la presente Política.
- Las áreas de COMERCIAL DE SEGUROS y su respectivo responsable deberán delimitar los permisos de acceso a la información para cada uno de los colaboradores a su cargo; así como de evaluar y aprobar todo acceso a la información bajo su responsabilidad.
- COMERCIAL DE SEGUROS se compromete a informar a su personal, proveedores o contrapartes, por medio de las diferentes áreas, que toda información a la que accedan o generen, en el ejercicio de sus funciones en la empresa, es propiedad exclusiva de COMERCIAL DE SEGUROS, y no podrá ser divulgada ni revelada a terceros, ya sea total o parcialmente, sin la autorización respectiva, incluso aún después de concluir sus labores en COMERCIAL DE SEGUROS.
- Los responsables de cada área de COMERCIAL DE SEGUROS deben velar por el estricto resguardo y protección de la información que reciben y manejan, sea ésta en medio físico o electromagnético, respetando y mejorando siempre que sea posible los controles de seguridad físicos (en instalaciones, archivo general y puestos de trabajo), así como tecnológicos.
- Toda la información, generada por COMERCIAL DE SEGUROS, con motivo del desarrollo de su actividad, sea confidencial o no, se entiende propiedad única y exclusivamente de COMERCIAL DE SEGUROS, y no podrá ser usada, copiada o explotada en forma alguna que no se encuentre en línea con los intereses de COMERCIAL DE SEGUROS.
- En el evento de que concluya el vínculo entre COMERCIAL DE SEGUROS y algún colaborador que forme parte de su personal, COMERCIAL DE SEGUROS deberá exigir a éste la entrega de toda la información en papel o medio electromagnético que tenga de ella antes de retirarse.
- COMERCIAL DE SEGUROS firmará, al momento de la contratación de personal vinculado laboralmente, un acuerdo de confidencialidad de la información en el que se detalle lo anterior.
- Cuando COMERCIAL DE SEGUROS suscriba contratos comerciales con terceros, se incluirá dentro del mismo una cláusula que regule la confidencialidad y tratamiento de datos personales.
- Las personas vinculadas a COMERCIAL DE SEGUROS que trabajan en el tratamiento de datos personales están obligadas a guardar secreto de los mismos, cuando provengan o hayan sido recolectados de fuentes restringidas al público.
- Sin una autorización formal previa, se encuentra prohibido retirar de COMERCIAL DE SEGUROS información confidencial, sea en medios físicos o electrónicos (incluidos equipos de cómputo). Aquellos que reciban dicha autorización, por la naturaleza de sus funciones o por circunstancias especiales, se harán responsables directos de su protección.
- COMERCIAL DE SEGUROS contará en todo momento con procedimientos y medidas de seguridad consistentes con la legislación local, para proteger la seguridad, confidencialidad e integridad de la información.
- COMERCIAL DE SEGUROS capacitará a sus colaboradores, sobre la importancia del manejo seguro y eficiente de información, y respecto de las políticas y procedimientos que deben seguir para mantener estas condiciones.
- COMERCIAL DE SEGUROS difundirá entre sus colaboradores las consecuencias que puede traer, de manera personal o corporativa, el uso inapropiado o la divulgación no autorizada de la información.
- COMERCIAL DE SEGUROS podrá revisar la información y correos electrónicos corporativos de su personal, con el fin de realizar investigaciones de hechos que comprometan o hayan comprometido a la integridad y/o a la seguridad de la información confidencial de la empresa, sus clientes y/o sus colaboradores; así como para atender requerimientos legales, o efectuar cualquier tipo de acciones que busquen asegurar la continuidad del negocio, y/o la seguridad y bienestar de sus trabajadores.
- El personal de COMERCIAL DE SEGUROS será responsable de manejar de una manera eficiente y segura la información confidencial a su cargo, en función de los principios o pautas establecidos en la presente Política y deberá identificar y comunicar a las instancias respectivas, a la mayor brevedad posible, sobre cualquier hecho que atente contra dicho manejo eficiente y seguro de información. De igual forma, el personal está llamado a colaborar con el perfeccionamiento de procesos o controles, para mitigar los riesgos de Atentados contra la seguridad de la información.
- COMERCIAL DE SEGUROS, y sus diferentes áreas tratarán como prioritario todo proyecto o iniciativa que busque responder a cualquier atentado contra la seguridad de información confidencial, o que busque mitigar los riesgos vinculados al manejo de esta información.
- COMERCIAL DE SEGUROS presentará en tiempo y forma, a las autoridades correspondientes, toda la información que le sea requerida.
- El personal de COMERCIAL DE SEGUROS, no deberá comentar asuntos de carácter confidencial en lugares públicos o de acceso no restringido, tales como medios de transporte, ascensores, pasillos, baños, comedores, escaleras o cualquier otro sitio en el cual un tercero pueda acceder a la información, aún y cuando estos datos pertenezcan a COMERCIAL DE SEGUROS.
- El personal de COMERCIAL DE SEGUROS no debe comentar información confidencial a través de teléfonos celulares, y se debe tener extremo cuidado al discutir este tipo de información por teléfonos con parlantes (“hands free”).
- Se encuentra prohibido el uso de cámaras fotográficas convencionales o digitales para soportar información confidencial o datos personales por parte del personal de COMERCIAL DE SEGUROS a menos que el uso sea plenamente justificado y sea así autorizado por el área correspondiente.
2. Principios asociados a Información Personal de Clientes, Colaboradores de COMERCIAL DE SEGUROS o Personas Vinculadas
- COMERCIAL DE SEGUROS deberá recolectar información de carácter personal únicamente cuando esta se encuentre estrictamente relacionada con el fin de iniciar, mantener y/o administrar el vínculo entre COMERCIAL DE SEGUROS y dicha persona.
- Es deber de COMERCIAL DE SEGUROS y su personal que la información de carácter personal recolectada sea conservada de manera segura y confiable y que sea usada o revelada únicamente para los fines que fue obtenida.
- Los datos sensibles de personas sólo pueden ser recolectados y ser objeto de tratamiento, cuando así lo autoricen las normas costarricenses vigentes, y siempre respetando lo consentido por el titular de la información.
- COMERCIAL DE SEGUROS no guardará los registros de los códigos de validación de las tarjetas de crédito de los clientes (tres dígitos impresos en la parte posterior de las tarjetas, sobre el espacio de las firmas) en ningún medio de almacenamiento.
- En toda recolección de datos personales de clientes, colaboradores o personas vinculadas en general, se deberá informar a las personas del carácter obligatorio o facultativo de las respuestas, y el propósito para el cual se está solicitando la información.
- COMERCIAL DE SEGUROS comprende que el titular de los datos puede oponerse a la utilización de sus datos personales con fines de publicidad, investigación de mercadeo o encuestas de opinión y será respetuoso de su decisión.
- Sólo se podrá compartir información personal con terceras partes, en aquellos casos necesarios para el desarrollo de la actividad de COMERCIAL DE SEGUROS o sus socios comerciales, según se indica en el inciso a) de la presente sección. De igual forma, cuando se vaya a compartir esta información con terceros se deberán suscribir los Convenios de Confidencialidad respectivos, con el fin de asegurar que la tercera parte, no utilice dicha información para ningún propósito distinto al que motiva tal actividad, y que manejará dichos datos con los mismos o mayores niveles de seguridad con que lo hace COMERCIAL DE SEGUROS.
- Sólo se podrá compartir información personal de los clientes o colaboradores de la COMERCIAL DE SEGUROS con terceras partes, para fines comerciales, siempre que estas últimas mantengan o se obliguen a mantener los mismos estándares de seguridad de información que COMERCIAL DE SEGUROS, y sólo cuando se cuente con la autorización expresa del cliente o colaborador respectivo.
- La información acerca de las sumas aseguradas, beneficiarios y/o siniestros reclamados sobre los seguros contratados utilizando a COMERCIAL DE SEGUROS como intermediario de seguros, es estrictamente confidencial.
- COMERCIAL DE SEGUROS deberá actuar de la manera más diligente posible para que la información descrita en el inciso anterior no sea divulgada a terceras personas, y con fines diferentes a los estrictamente relacionados con la contratación del seguro.
- Para recolectar y dar tratamiento a información médica COMERCIAL DE SEGUROS debe ser autorizada expresamente por el titular de dicha información. Adicionalmente COMERCIAL DE SEGUROS únicamente podrá utilizar estos datos para los fines para los cuales han sido recolectados, y no pueden ser compartidos con terceros, a menos que se trate del análisis médico de los mismos, y sólo con personas o instituciones con los cuales se cuente con Convenios de Confidencialidad de la información, según se indica en los incisos G) y H) de esta sección.
- Los datos de carácter médico, que se encuentren en poder de COMERCIAL DE SEGUROS, sólo pueden ser conocidos por aquellos directamente involucrados en el análisis de los mismos. Estos no deberán ser conocidos o compartidos con otros colaboradores de COMERCIAL DE SEGUROS, cuyas funciones no estén directamente relacionadas con dicho análisis.
- COMERCIAL DE SEGUROS deberá obtener el consentimiento por escrito de un colaborador que forma parte de su personal, antes de revelar sus datos personales a un tercero, salvo que las normas costarricenses le exijan tal información sin un consentimiento previo.
- En los sitios electrónicos (web sities) de COMERCIAL DE SEGUROS o utilizados por COMERCIAL SEGUROS, donde se recolecte información personal, se deberá informar a quien la deba aportar sobre la Política de Privacidad de Información de COMERCIAL DE SEGUROS, basada en los principios del presente acápite, e informar para qué será utilizada, y si será o podrá ser compartida con un tercero, sea a nivel nacional como extranjero.
- COMERCIAL DE SEGUROS se enterare de que un individuo u organización maneja información confidencial propiedad de COMERCIAL DE SEGUROS, en forma contraria a lo estipulado en la presente Política o de forma no autorizada, deberá adoptar las medidas razonables para frenar su uso y/o revelación.
3. Principios vinculados a Información de la Compañía, Clientes Empresariales, Proveedores o Contrapartes en General
- Toda información que COMERCIAL DE SEGUROS reciba de las empresas u otras entidades con las que se vincula con motivo de la actividad que desarrolla, será considerada y tratada como confidencial.
- En virtud de lo anterior, COMERCIAL DE SEGUROS y sus colaboradores no están autorizados para divulgarlas a terceros, o para utilizarla, copiarla o manipularla de cualquier forma diferente a la autorizada en los Contratos de Confidencialidad que COMERCIAL DE SEGUROS suscriba o, en su defecto, sin la autorización expresa del titular de la información.
IV. SOPORTE Y MANEJO DE INFORMACIÓN POR MEDIOS ELECTROMAGNÉTICOS
1. Aspectos Generales
El Área de Tecnología de la información y Soporte COMERCIAL DE SEGUROS velará porque se mantenga protegida la información presente en las redes, aplicativos, computadores, servidores y otros medios electromagnéticos, que sea propiedad de la misma.
El Área será responsable de elaborar, documentar y mantener un “Plan de Seguridad de Información Electrónica”, que establezca los estándares de seguridad lógica, física y ambiental, y demás procedimientos que se aplicarán a todos los sistemas y usuarios de COMERCIAL DE SEGUROS, a fin de que se puedan cumplir adecuadamente las obligaciones de confidencialidad recogidas en la presente Política, y en aquellas normas a las que se encuentre sujeta COMERCIAL DE SEGUROS.
2. Medidas de Seguridad
El Área de Tecnología de la información y Soporte COMERCIAL DE SEGUROS encargará de que se cuenten con las siguientes medidas de seguridad para las redes, aplicativos, computadores, servidores u otros medios en donde se resguarde información confidencial:
- Controles de acceso físico al Centro de Cómputo con tarjetas de acceso para los empleados,
- Protección o encriptamiento de archivos confidenciales,
- Definición y control de perfiles de acceso a softwares y AS 400,
- Procedimientos para efectuar copias de respaldo y de recuperación de datos del servidor y de cada uno de los computadores que tengan los empleados,
- Medidas de prevención de amenazas de programas maliciosos (virus, troyanos, entre otros) a través de la implementación de softwares antivirus más avanzados que se actualizan periódicamente.
El cumplimiento de las anteriores políticas de seguridad se verificará a través de auditorías internas que realizará el auditor interno designado, de acuerdo con el Cronograma de Trabajo Anual que apruebe el Comité de Riesgos de COMERCIAL DE SEGUROS. El proceso y controles tecnológicos también serán verificados a través de auditorías de sistemas que se contratarán con terceros proveedores, por lo menos una vez al año.
El Área de Sistemas tiene la obligación de revisar y mantener actualizados los estándares de seguridad en mención, cuando se produzcan cambios en los sistemas de información de COMERCIAL DE SEGUROS. Así mismo, deberá mantener una relación actualizada de los sistemas de información de COMERCIAL DE SEGUROS, y los usuarios con autorización para su uso.
Todos los programas de ingreso de datos, cualquiera sea su modo de procesamiento (batch, interactivo, etc.), deben incluir en su diseño, rutinas de control, que minimicen la posibilidad de incorporar, al sistema de información, datos ilógicos, incorrectos o faltantes y busquen evitar hasta donde sea posible los ataques fraudulentos o ilícitos que pretenden acceder o alterar la información de cualquier forma. Así mismo, todos los sistemas o aplicativos de la Compañía deberán tener activos módulos de auditoría sobre el acceso y uso de la información.
3. Políticas en el Uso de Recursos de Cómputo y Manejo de Información Electrónica
COMERCIAL DE SEGUROS pondrá a disposición de su personal los recursos de cómputo e información como: PC’s, impresoras, servidores, sistemas de información, entre otros, requeridos para el desarrollo de sus funciones. Cada uno de los colaboradores será responsable del uso que dé a estos elementos, y que dicho uso esté de acuerdo con los objetivos de COMERCIAL DE SEGUROS y se empleen en forma eficiente, íntegra, segura, ética y legal.
En ese sentido, el personal de COMERCIAL DE SEGUROS deberá considerar las siguientes políticas:
- Toda información generada en los sistemas de COMERCIAL DE SEGUROS es propiedad exclusiva de COMERCIAL DE SEGUROS y sólo puede ser utilizada para apoyar sus operaciones de negocio.
- El colaborador será responsable de la información que maneja, incluyendo su generación, uso y disposición final.
- El colaborador deberá mantener una copia de respaldo de archivos importantes, utilizando los mecanismos de seguridad disponibles, y aprender cómo utilizar el software de COMERCIAL DE SEGUROS que sirva para las operaciones a su cargo.
- Cada Gerencia o Área, es responsable fijar los derechos de acceso a la información y perfiles para cada usuario a su cargo.
- Toda persona que descubra un posible problema de seguridad en un sistema o equipo de COMERCIAL DE SEGUROS está obligado a reportarlo a su Subgerencia y al Área de Sistemas, a la mayor brevedad posible.
- La utilización de usuarios y passwords (claves) para el acceso a equipos o sistemas son personales, y están bajo responsabilidad de cada colaborador. Por lo tanto, no está permitido el uso compartido de usuarios y passwords.
- Las claves de acceso deben cambiarse personalmente, con la regularidad que lo exige cada sistema, o en un período de tiempo menor si se presume su vulnerabilidad. Para la definición de estos passwords, deben seguirse las recomendaciones del Área de Sistemas.
- Se recomienda al personal no escribir las claves de acceso en papeles o medios que se encuentren al alcance de terceras personas.
- El personal deberá respetar el derecho de propiedad intelectual y la privacidad de la información.
- No le está permitido al personal, copiar o instalar por iniciativa propia ningún tipo de software o actualizaciones. Únicamente el personal del Área de Sistemas podrá instalar o actualizar software autorizado.
- Se prohíbe al personal de COMERCIAL DE SEGUROS, copiar contraseñas o archivos, así como borrar o modificar archivos ajenos sin autorización del propietario.
- No debe utilizarse los recursos de cómputo de COMERCIAL DE SEGUROS para temas de índole personal o para temas comerciales distintos a los de COMERCIAL DE SEGUROS, o para instalar software o datos ilegalmente obtenidos.
- Queda estrictamente prohibida toda reproducción, venta, utilización o distribución de información, “software” u otras formas de propiedad intelectual, que constituya una violación de los convenios de licencia que se han suscrito con COMERCIAL DE SEGUROS.
- No debe enviarse por correo electrónico archivos que sobrepasen los niveles de extensión o tamaño recomendados por el Área de Sistemas.
- Debe seguirse las pautas establecidas por el Área de Sistemas para el almacenamiento de archivos importantes y/o críticos de índole laboral.
- Dentro de las instalaciones de COMERCIAL DE SEGUROS, está prohibido el uso de Internet para acceder a páginas Web de contenido sexual, mp3, apuestas, juegos, terrorismo, racismo, violencia y armas. Tampoco está permitida la descarga de archivos desde Internet que no tenga relación con la actividad laboral.
- Está prohibida la creación de carpetas compartidas en las pc’s asignadas a los colaboradores de COMERCIAL DE SEGUROS. Si es necesario, la utilización de esta facilidad se deberá coordinar con el Área de Sistemas su creación en el servidor de archivos de COMERCIAL DE SEGUROS.
- Está prohibido el envío de cadenas a través del correo electrónico. Para el caso de alertas de virus o amenazas informáticas recibidos por correo, se deberá informar al Área de Sistemas, quien determinará la veracidad de estas alertas y las medidas a aplicarse en COMERCIAL DE SEGUROS.
- Para el envío de información por correo electrónico, deberán seguirse las pautas que establezca el Área de Sistemas, y emplearse los mecanismos de encriptado que facilite COMERCIAL DE SEGUROS.
- Debe evitarse el envío de correos electrónicos a un gran número de usuarios de COMERCIAL DE SEGUROS.
- Está prohibido suscribirse a listas o formularios de dudosa reputación, con las direcciones electrónicas proporcionadas por COMERCIAL DE SEGUROS.
- Los equipos portátiles que posean información confidencial deberán ser encriptados, siguiendo los estándares fijados por COMERCIAL DE SEGUROS.
- Todo colaborador de COMERCIAL DE SEGUROS es responsable del equipo de cómputo que le ha sido entregado para el desempeño de sus funciones. Por lo cual se compromete a proporcionarle el cuidado necesario al mismo, dentro de lo cual se incluye el manejo cuidadoso de líquidos cerca de los equipos, vigilar que el equipo se mantenga limpio, no pegar calcomanías o etiquetas adhesivas, entre otros.
- Todo colaborador a quien se le haya asignado un equipo de cómputo, obtenido por la Compañía bajo la modalidad de leasing o alquiler, debe coordinar con el Área de Sistemas el formateo de discos, antes de la devolución del mismo.
- Todo colaborador debe asegurarse que cualquier computador a su cargo, sea de escritorio o portátil, sólo deberá contener en su disco duro información confidencial si es que ésta va a ser empleada para fines inmediatos relacionados con el negocio. La información electrónica confidencial debe estar archivada en los sistemas de COMERCIAL DE SEGUROS, y en los discos de red que específicamente se establezca para ello, ya que poseen niveles apropiados de seguridad.
- Los equipos portátiles que poseen información confidencial nunca pueden quedar desatendidos por las personas a cargo de ellos. En caso de viajes, deberán tenerlos bajo control en todo momento, y en los vuelos en avión no deberán enviarlos como equipaje.
V. INFORMACIÓN EN POR MEDIOS FÍSICOS
COMERCIAL DE SEGUROS y sus colaboradores deberá respetar los siguientes procedimientos o principios, asociados al manejo de información en medios físicos:
- Deberá portarse en todo momento los documentos de identificación entregados por COMERCIAL DE SEGUROS, y emplearse los mecanismos asignados para el acceso a sus diferentes espacios.
- Siempre que el colaborador se ausente de su puesto de trabajo, sea al fin de la jornada laboral, a la hora del refrigerio o en las ausencias momentáneas, deberá resguardar toda la información a su cargo, dentro de espacios cerrados y bajo llave de COMERCIAL DE SEGUROS.
- Los colaboradores no podrán dejar sobre las mesas de trabajo, impresoras, faxes o demás espacios sin resguardo, aquellos documentos o medios que incluyan información confidencial.
- No dejarán a la vista de terceros no autorizados ningún documento con información confidencial.
- Todas las anotaciones hechas en las pizarras durante las reuniones internas, o con visitantes externos, deberán ser borradas al término.
- COMERCIAL DE SEGUROS deberá implementar controles de acceso físico a todos los espacios donde se maneje información confidencial. Asimismo, deberá implementar sistemas de cámaras de vigilancia, en aquellos lugares que se consideren críticos.
- Ante la falta de mecanismos o espacios de resguardo de información confidencial, el colaborador deberá reportar la deficiencia al responsable de su Área, para que ésta solicite a COMERCIAL DE SEGUROS la implementación de los mismos.
- Deberá tenerse presente que determinadas actividades pueden incrementar el riesgo sobre la seguridad de la información, sustentadas tanto en medios físicos como electrónicos, como actividades de limpieza, electricidad, pintura y de contratistas en general.
- Antes de desechar documentación con información confidencial, deberá asegurarse que ésta no pueda ser rescatada ni leída posteriormente. Para ello, deberán emplearse las máquinas trituradoras de papel que COMERCIAL DE SEGUROS ponga a disposición de los colaboradores. De no contarse con ellas, se deberán destruir los documentos con medios alternativos.
- Sólo podrán ser destinados al reciclaje aquellos papeles que contengan información de carácter público.
VI. PRINCIPIOS SOBRE LA INTEGRIDAD Y VERACIDAD DE LA INFORMACIÓN
Todos los colaboradores de COMERCIAL DE SEGUROS deberán respetar las pautas que COMERCIAL DE SEGUROS establezca para proteger la integridad y veracidad de la información; es decir, para que la información sea exacta, completa y se encuentre vigente.
Entre algunos principios, se encuentran los siguientes:
- De ningún modo se debe comprometer la integridad de los programas y/o datos de los sistemas de información de COMERCIAL DE SEGUROS.
- En los casos donde la información sea claramente inadecuada, incorrecta o incompleta, deberá ser corregida o en su defecto eliminada, siguiendo las pautas establecidas por la COMERCIAL DE SEGUROS, para evitar probables errores.
- Se debe tener el mayor cuidado en proteger la integridad de la información de COMERCIAL DE SEGUROS, contra todo intento de utilizarla o modificarla para fines particulares.
- Los registros de información sólo podrán ser modificados por personas autorizadas, siguiendo las condiciones y los procedimientos indicados por COMERCIAL DE SEGUROS.
- Toda actualización periódica de información deberá seguir las pautas establecidas por el Área responsable.
VII. FORMAS DE ACTUAR ANTES DEFICIENCIAS O INCIDENCIAS
1. Acciones y Denuncias en General
Los colaboradores de COMERCIAL DE SEGUROS, al conocer o sospechar sobre la existencia de situaciones o eventos que atenten contra la seguridad de la información, y/o que generen deficiencias operativas en el manejo de la misma, deben actuar de la siguiente forma, y comunicarlo inmediatamente siguiendo las siguientes pautas:
2. Casos relacionados con el Manejo Eficiente de Información
- El colaborador deberá reportar a su Jefe Directo la falla o deficiencia en el manejo de la información tanto pronto como sea posible; y éste a su vez deberá escalar el caso según corresponde, luego de haber realizado un análisis del caso y probables soluciones.
- La Gerencia de COMERCIAL DE SEGUROS definirá los pasos a seguir apoyándose en secciones como riesgo o cumplimiento, con el fin de colaboren en la definición de planes de acción, y en el seguimiento de la implementación de dichos planes.
- En los casos donde esté en cuestión el manejo de información electrónica, se deberá comunicar e incluir en el análisis del problema, y en el diseño e implementación de la solución, al Área de Sistemas.
3. Casos relacionados con el Manejo Seguro de Información
- El colaborador deberá llevar a cabo acciones que puedan implementarse de manera inmediata, para proteger la seguridad de la información.
- Seguidamente, se deberá comunicar del hecho al responsable de su Área, así como al Oficial de Cumplimiento, y enviar por vía electrónica la exposición del caso.
- De ser necesario, dicho reporte podrá ser completado y enviado por un grupo de colaboradores que sean o hayan sido testigos de dichas situaciones o eventos.
- La Gerencia de COMERCIAL DE SEGUROS deberá forma un “Grupo de Respuesta” integrado por el Área de Riesgos, el Oficial de Cumplimiento y el Área implicada.
- El “Grupo de Respuesta” deberá hacer un análisis del caso en particular, y recomendar las acciones a seguir para mitigar los riesgos identificados.
- En los casos donde esté en cuestión el manejo de información electrónica, se deberá comunicar e incluir en el Grupo de Respuesta al Área de Sistemas.
4. Canales de Consultas o de Denuncias de Fraudes Internos
Los colaboradores de COMERCIAL DE SEGUROS, ante cualquier duda que presenten sobre la aplicación de la presente Política, o sobre las pautas o principios que deben seguir para manejar la información de una manera eficiente y segura, deberán realizar la consulta respectiva a su Jefatura Directa. Asimismo, podrán presentar una consulta ante el Oficial de Cumplimiento, a su dirección electrónica.
Los colaboradores de COMERCIAL DE SEGUROS, ante una sospecha de la existencia de fraudes internos, asociados al manejo de información, pueden recurrir a los sistemas denuncias de COMERCIAL DE SEGUROS.
5. Registro de Denuncias de Atentados contra la Seguridad de Información
El Oficial de Cumplimiento de COMERCIAL DE SEGUROS deberá mantener un archivo actualizado de las denuncias que reciba, junto con la información sobre las investigaciones y medidas implementadas como respuesta. Dicho archivo podrá implementarse de manera electrónica, en una carpeta segura.
El archivo de la documentación de cada caso deberá efectuarse como mínimo durante cinco (5) años o, en caso contrario, durante el plazo mínimo que señale la Política de Retención y Destrucción de Documentos de COMERCIAL DE SEGUROS.
RESPONSABLES DE LA PROTECCIÓN DE INFORMACIÓN
En COMERCIAL DE SEGUROS, todo colaborador es responsable de manejar de una manera eficiente y segura la información a su cargo, en función de los principios o pautas establecidos en la presente Política. Así mismo, todos tienen el deber de identificar y comunicar a las instancias respectivas, sobre cualquier hecho que atente contra dicho manejo eficiente y seguro de información. Igualmente, todos están llamados a colaborar con el perfeccionamiento de procesos o controles, para mitigar los riesgos en esta materia.
Todo colaborador que tiene personal bajo su supervisión tiene la obligación de difundir entre ellos estos principios o pautas, y de motivarlos para que los apliquen de manera permanente. Asimismo, deben servir de canal para el reporte de las deficiencias o incidencias antes mencionadas, y de apoyar la implementación de las mejoras del caso.
El Oficial de Cumplimiento, junto con el Área de Sistemas, y con el apoyo de la jefatura de Recursos Humano, son los responsables de velar por el cumplimiento y la difusión de la presente Política; así como de proponer y apoyar la implementación de distintas alternativas de solución, para cualquier problema o conflicto relacionado con la aplicación práctica de la presente Política.
Toda infracción material sobre esta Política deberá ser reportada por el Oficial de Cumplimiento a la Gerencia General de COMERCIAL DE SEGUROS, quien de considerarlo necesario, lo escalará a instancias superiores.
SANCIONES
El mal uso de información confidencial da origen a responsabilidades civiles y penales, tanto contra COMERCIAL DE SEGUROS como contra las personas implicadas en estos casos, en los términos que contempla la normativa legal vigente en el país.
Los colaboradores que incumplan alguna de las disposiciones de la presente Política, y o demás normas complementarias, pueden ser objeto a sanciones por parte de la Compañía, inclusive el despido, sin que esto los exonere de las responsabilidades civiles y/o penales que determinen las leyes costarricenses.
[1]Entre otros, proveedores, consultores, auditores, clasificadores de riesgo, y contrapartes en general.