Política de seguridad de la información de UNIQ Financial S.A.

El propósito de esta Política de Seguridad de la Información es proteger la confidencialidad, integridad y disponibilidad de los activos de información gestionados por UNIQFINANCIAL S.A.. Esta política establece las directrices para salvaguardar los recursos de información de la empresa contra el acceso, la divulgación, la alteración y la destrucción no autorizados.

2. Ámbito de aplicación

Esta política se aplica a todos los empleados, contratistas, consultores, personal temporal y otros trabajadores de UNIQFINANCIAL S.A., incluido todo el personal afiliado a terceros. Abarca todos los activos de información propiedad de UNIQFINANCIAL S.A., alquilados o gestionados por ella, incluidos, entre otros, datos, sistemas, redes y dispositivos físicos.

3. Objetivos de seguridad de la información

UNIQFINANCIAL S.A. se compromete con los siguientes objetivos:

• Confidencialidad: Garantizar que la información sensible sea accesible únicamente a las personas autorizadas a tener acceso.
• Integridad: Proteger la exactitud e integridad de la información y los métodos de procesamiento.
• Disponibilidad: Garantizar que los usuarios autorizados tengan acceso a la información y a los activos asociados cuando sea necesario.
  
  

4. Clasificación de la información

La información en UNIQFINANCIAL S.A. se clasifica en las siguientes categorías:

• Pública: Información que puede ser divulgada al público sin ninguna restricción.
• Interna: Información destinada a ser utilizada dentro de UNIQFINANCIAL S.A. que no está destinada a ser divulgada públicamente.
• Confidencial: Información sensible que, de ser divulgada, podría tener consecuencias adversas para UNIQFINANCIAL S.A. o sus clientes. El acceso está restringido al personal autorizado.
• Altamente confidencial: Información crítica que requiere el máximo nivel de protección debido a su sensibilidad o a requisitos normativos. El acceso está estrictamente controlado y supervisado.

5. Funciones y responsabilidades

• Responsable de Seguridad de la Información (ISO): El ISO es responsable de supervisar la aplicación de esta política, realizar evaluaciones de seguridad periódicas y garantizar el cumplimiento de las leyes y reglamentos pertinentes.
• Empleados y contratistas: Todo el personal es responsable de adherirse a esta política e informar de cualquier incidente de seguridad o riesgo potencial al ISO.
• Departamento de TI: Responsable de implementar controles técnicos para proteger los activos de información, como cortafuegos, cifrado y controles de acceso.
  
  

6. Control de acceso

• Gestión del acceso de los usuarios: El acceso a los sistemas de información y a los datos se concede en función de la necesidad de conocer, aplicando el principio del mínimo privilegio. Los derechos de acceso deben revisarse periódicamente.
• Autenticación: Deben utilizarse contraseñas seguras, autenticación multifactor y procedimientos de inicio de sesión seguros para impedir el acceso no autorizado.
• Seguridad física: El acceso físico a las áreas sensibles y a los sistemas de información debe estar restringido únicamente al personal autorizado.
  
  

7. Protección de datos

• Cifrado de datos: Los datos confidenciales y altamente confidenciales deben encriptarse tanto en tránsito como en reposo utilizando protocolos de encriptación estándar de la industria.
• Copias de seguridad: Deben realizarse copias de seguridad periódicas de los datos críticos, almacenarse de forma segura y comprobarse periódicamente la integridad y recuperabilidad de los datos.
• Conservación de datos: La información debe conservarse sólo durante el tiempo necesario para cumplir los requisitos empresariales o legales. Deben utilizarse métodos seguros de eliminación para borrar permanentemente la información sensible cuando ya no se necesite.
  
  

8. Gestión de incidentes

• Notificación de incidentes: Todos los empleados y contratistas deben informar inmediatamente a ISO de cualquier incidente de seguridad de la información o sospecha de infracción.
• Respuesta a incidentes: La ISO, en colaboración con el departamento de TI, dirigirá el proceso de respuesta a incidentes, incluidos los esfuerzos de contención, erradicación y recuperación. Todos los incidentes deben ser documentados y revisados para mejorar las respuestas futuras.
  
  

9. Formación y concienciación

• Formación sobre concienciación en materia de seguridad: Todos los empleados y contratistas deben recibir capacitación periódica sobre las mejores prácticas de seguridad de la información, incluido el reconocimiento de ataques de phishing, la seguridad de los dispositivos móviles y el manejo de datos confidenciales.
• Acuse de recibo de la política: Todo el personal debe acusar recibo y entender esta política y comprometerse a cumplirla.
  
  

10. Cumplimiento

UNIQFINANCIAL S.A. se compromete a cumplir con todas las leyes, regulaciones y obligaciones contractuales aplicables relacionadas con la seguridad de la información, incluidas, entre otras, las regulaciones de protección de datos (por ejemplo, GDPR), las regulaciones financieras y los estándares de la industria.

11. Seguimiento y revisión

• Supervisión: Se debe realizar una supervisión continua de los sistemas de información y de las actividades de la red para detectar accesos no autorizados o actividades sospechosas.
• Revisión de la política: Esta política se revisará al menos una vez al año, o con mayor frecuencia si es necesario, para garantizar su pertinencia y eficacia. Se realizarán las actualizaciones necesarias para abordar nuevos riesgos, cambios normativos o avances tecnológicos.
  
  

12. Infracciones y medidas disciplinarias

Cualquier infracción de esta política puede dar lugar a medidas disciplinarias, que pueden llegar hasta la rescisión del contrato de trabajo. En su caso, también podrán emprenderse acciones legales.