Conociendo de

Sistema de Seguridad de la
Información
 Sistema de Seguridad de la Información
1. Conceptos y Definiciones Básicas

1.1 ¿Qué es la Seguridad de la Información?

Es un conjunto de medidas preventivas y reactivas que permiten resguardar y proteger la

información buscando mantener la confidencialidad, integridad y disponibilidad de la
información.

1.2 ¿Cuáles son los pilares de la Seguridad de la Información?

Existen 03 pilares de la Seguridad de la Información:

Confidencialidad

Disponibilidad Integridad

• DISPONIBILIDAD: Garantizar que la información se encuentre a disposición

de quienes deben acceder a ella.

• CONFIDENCIALIDAD: Garantizar que la Información sea accesible sólo por

aquellas personas autorizadas.

• INTEGRIDAD: Salvaguardar la exactitud y totalidad de la Información y los métodos de

procesamiento y transmisión.

1.3 ¿Qué es un Sistema de Gestión de Seguridad de la Información (SGSI)?

Es un conjunto de procesos para gestionar eficientemente la información de forma segura,

basando en políticas, procedimientos, reglamentos, recursos y actividades que administrados
en conjuntos buscan reducir el nivel de riesgo que pueda afectar a los pilares de seguridad
información de los activos de Compartamos Financiera.
Esta se encuentra alineada a la norma ISO/IEC 27001 – Seguridad de la Información.

1.4 ¿Quiénes forman parte del Sistema de Gestión de Seguridad

Información?

En el Sistema de Gestión de Seguridad de la Información lo conforman todos los empleados

de Compartamos Financiera.

1.5 ¿Qué es la politica de Seguridad y Confidencialidad de la Información?

Es una normativa que brinda un resúmen sólido de todas las normativas aplicadas a todo el
Sistema de Gestión de Seguridad de Compartamos Financiera.

1.6 ¿Dónde puedo encontrar los documentos relacionados a la Gestión de

Seguridad de la Información?

Toda la documentación relacionada la podemos encontrar en la

carpeta compartida del disco L, configurado en nuestros equipos. De
no ser así, se debe reportar con el personal responsable o generar un
ticket por Sysaid.

Dentro de la ruta compartida podrás encontrar nuestras Políticas,

Manuales, Reglamentos, Normas, Procedimientos relacionados a la
Gestión de la Seguridad de la Información. Como por ejemplo:

¡ES IMPORTANTE! Conocer y cumplir con las normativas de Seguridad de la información.

2. Activos de Información
2.1. ¿Qué son los activos de información?

Cualquier activo que se utiliza para la operación y cumplimiento de los objetivos propuestos por
la financiera.
Todo activo de información debe ser identificado y clasificado en función a los niveles requeridos
de confidencialidad, integridad y disponibilidad, requerimientos legales, normativos y de negocio.
2.2. ¿Cuáles son los recursos de información?

Datos digitales, datos físicos, software, hardware, proveedores y personas.

2.3. ¿Cómo se encuentran clasificada la información?

La Información se encuentra clasificada por lo siguiente:

• Restringida: Información con el más alto nivel de sensibilidad dentro de Compartamos

Financiera, requiere un alto nivel de Seguridad. El acceso a esta información debe ser
debidamente autorizada y justificada.

• Confidencial: Información altamente sensible, necesaria para la ejecución de los procesos

críticos de Compartamos Financiera. Solo deben tener acceso el personal que participa en
el proceso crítico. El acceso a esta información debe ser debidamente autorizada y
justificada.

• Uso Interno: Información sensible que no es necesaria para la ejecución de los procesos
críticos de Compartamos Financiera.

• Pública: Información considerada de valor, pero no existe riesgo de acceso no autorizado.

Su objetivo es difundir la información para conocimiento del público en general.

A continuación, se menciona algunos ejemplos:

Restringida Confidencial Uso Interno Pública

- Datos de tarjetas en claro - Número de tarjeta - Procedimientos - Folletos
(PAN, contenido ofuscado internos, normas, informativos
completo de la pista, PIN, - Fecha de manuales, políticas - Publicidad
etc.) vencimiento de y/o reglamentos - Información
- Datos sensibles como tarjeta internos multimedia
ingresos económicos, - Datos personales de - Cronogramas
estado de salud, clientes y - Planos
reconocimiento facial, colaboradores - Contratos
huella dactilar, etc.) - Presupuestos
- Claves o contraseñas - Planes estratégicos
- Investigaciones internas
- Llaves criptográficas

2.4. Tratamiento de información

Antes de compartir información confidencial y restringida deben asegurarse de que el destinatario
se encuentre autorizado. La información confidencial y restringida siempre debe compartirse de
manera segura.
2.5. ¿Dónde puedo leer un poco más sobre esta norma o en qué
documento de Compartamos?
En nuestra documentación oficial publicada en la ruta compartida del disco L, lo
puedes encontrar como: MA-SI-01 – Manual de Gestión de Riesgos de Seguridad
de Información y NR-SI-02-Gestión de Activos de información.

3. Norma de Control de Accesos

3.1. ¿Qué requisitos debo cumplir para tener mayor seguridad en

las contraseñas de mis cuentas?

• La longitud mínima no puede ser menor de 8 caracteres o dígitos.

• La contraseña deberá contar con letras mayúsculas, minúsculas, números y caracteres
especiales.
• Evitar la reutilización de contraseña antiguas.
• Utiliza contraseñas que sean difíciles de adivinar. No debe estar basada en palabras, ni
datos personales que cualquiera que lo conozca.
• No compartir su contraseña con cualquier otro colaborador.
• No registrar su contraseña en lugares accesibles como guardarla en forma legible en los
sistemas de información, ni escribirla en papel, ni imprimirla.

3.2. De acuerdo a la Norma de Control de Accesos. ¿Qué debo hacer antes de

alejarme de mi computadora?

Deberás terminar todas las sesiones de las aplicaciones y programas de información que
están activas.

Deberás bloquear tu equipo para así proteger la confidencialidad de la información y evitar

accesos no autorizados.

3.3. Si tengo acceso al correo electrónico corporativo. ¿Cuál es el manejo

correcto del mismo?

El uso del correo electrónico y mensajería instantánea de Compartamos Financiera debe ser
únicamente para fines estrictamente laborales. Si el colaborador necesita enviar comunicaciones
externas o registrarse en sitios web públicos para fines personales, debe utilizar sus servicios de
comunicación personal.

En caso de adjuntar información confidencial y/o restringida deben estar autorizado por el Jefe
inmediato. La información confidencial y restringida siempre debe compartirse de manera segura.

3.4. ¿Estoy cometiendo alguna falta si intento ingresar al sistema

probando posibles contraseñas de otras cuentas?

Sí, los intentos de violación a los sistemas de seguridad y de control de acceso pueden ser
causal de amonestaciones.

3.5. Alguien usó mi cuenta para hacer una modificación en el Sistema. ¿Me
responsabilizo por ello?

Sí, es responsabilidad del colaborador el uso personal de su cuenta de acceso a sistemas y

servicios que le fueron asignados de acuerdo a las funciones que desempeña. La
contraseña es personal e intransferible como se indica en la norma PO-SI-01 – Seguridad
y Confidencialidad de Información.

3.6. ¿Dónde puedo leer más información sobre esta norma o en qué
documento de Compartamos se encuentra?

En nuestra documentación oficial publicada en la ruta compartida del disco L, lo puedes

encontrar como: PO-SI-01 – Seguridad y Confidencialidad de Información, NR-SI-05 -
Norma de Control de Accesos y Gestión de Perfiles y MP-SI-07 - Determinación y
Administración de Usuarios y Perfiles.

4. Incidencias de Información comprometida

Un incidente de Seguridad Información se define como un acceso, intento de acceso, uso,
divulgación, modificación o destrucción no autorizada de información y/o violación de la
Politica de Seguridad de Información. A continuación, listaremos algunos:

• Alteración de la Información.
• Fuga de Información en medio digitales y/o físicos.
• Técnicas de Ingeniería social (phishing).
• Ataques informáticos (virus, ransomware).
• Acceso o intento de acceso no autorizados a sistemas informáticos.

4.1 ¿Existen sanciones cuando se cometen acciones que provoquen

incidentes de seguridad de información?

Sí, las acciones que provoquen un incidente de seguridad de información y son

considerados como fraude, pueden ser casual de amonestaciones.

4.2 ¿Puedo actuar a mi criterio cuando identifico un incidente de

seguridad de información?

No, cuando identifiques un incidente reporta con el personal responsable o registrando

un ticket por SysAid.

4.3 Tengo sospechas sobre una violación a los lineamientos de seguridad

de la Información. ¿Qué debo hacer?

Deberás informar inmediatamente a tu jefe inmediato o registrando un ticket por SysAid.

4.4 El sistema me permite hacer actividades que a mi compañero de mí

mismo cargo no. ¿Puedo hacer uso de estos permisos?

No, los accesos que no corresponde a tu función deberán ser reportados a tu jefe
inmediato o registrando un ticket por SysAid. Tener en cuenta que los accesos que no
corresponden a tu perfil, no hacer el uso de ellos, ni mucho menos probar las debilidades
de los sistemas informáticos.

4.5 ¿Dónde puedo leer más información sobre esta norma o en qué
documento de Compartamos se encuentra?

En nuestra documentación oficial publicada en la ruta compartida del disco L, lo puedes

encontrar como: NR-SI-10 - Norma de Gestión de Incidencias y MP-SI-04 Gestión de
Incidencias de Seguridad de la Información.

5. Ley N° 29733 de Protección de Datos Personales

5.1 Introducción

El objetivo de la Ley N° 29733 es velar por el derecho fundamental a la protección de datos

personales, a través de su adecuado tratamiento, esta ley es aplicable y de cumplimiento
obligatorio para todas las empresas y se aplica a todas las áreas de la empresa que
mantengan un banco de Datos Personales.

5.2 3.2 ¿Qué son los datos personales?

Es toda información sobre una persona natural que la identifica o la hace identificable a
través de medios que pueden ser razonablemente utilizados. A continuación, se
mencionan algunos datos personales que identifican o hacen identificables a una persona
física:
 • Datos de Identificación: DNI, pasaporte, domicilio, teléfono, email.
• Datos de características personales: estado civil, nacionalidad, profesión.
• Datos de características social: pasatiempo, perteneciente a un club.

5.3 ¿Qué son los Datos Sensibles?

Es cualquier información que afecta la esfera más íntima de la

persona, y su divulgación indebida puede ocasionar daño al honor
y a la intimidad de la persona. Por lo tanto, se requiere mayor
protección y tratamiento especial de acuerdo a la ley que lo establece.

Algunos datos sensibles son:

• Datos raciales y étnicos.

• Ingresos económicos.
• Opciones Políticas, religiosas, filosóficos o morales.
• Afiliación sindical.
• Información relacionada a la salud o a la vida sexual

5.4 ¿Qué es el tratamiento de datos personales?

Si la organización solicita información personal de clientes, colaboradores o terceros, ya sea de

forma automatizada (a través de medios tecnológicos) o no automatizada y, además, recopila,
almacena, conserva, o registra, se está realizando tratamiento de datos personales y por ende se
deberá cumplir con lo que dispone la Ley de Protección de datos personales.

5.5 ¿Qué es un Banco de Datos Personales?

Es el conjunto organizado de datos personales, automatizado o no, independiente del soporte en

el cual sea contenido (Impreso, digital, óptico, etc.) que se mantenga en la empresa.
Generalmente, los bancos de datos personales que se encuentran en una empresa son de los
trabajadores, clientes, proveedores, postulantes, entre otros.
La Ley de Protección de Datos aplica a datos personales contenidos o destinados a ser contenidos
en bancos de datos personales privados o públicos.

5.6 ¿Qué son mis derechos ARCO?

Son un conjunto de acciones a través de las cuales una persona física puede ejercer el control sobre
sus datos personales, y son:

Derecho de Acceso
Averiguar si tus datos personales están disponibles para tratamiento en el banco de datos de
cualquier empresa y con qué fines son usados.
Derecho de Rectificación
Actualizar o completar los datos personales faltantes, erróneos o falsos.

Derecho de Cancelación
Solicitar la eliminación de tus datos personales del banco de datos de la empresa cuando estos
hayan dejado de ser necesarios para la finalidad brindada.

Derecho de Oposición
Restringir el uso de tus datos personales para otros motivos que no sean los acordados o no
aceptar que tus datos estén disponibles para tratamiento en el banco de datos de la empresa.

5.7 ¿Qué pasaría si un colaborador ofrece productos o servicios sin el

consentimiento del consumidor o registre datos personales de una
persona física sin tener su autorización?

El consumidor o persona física puede reportar llamadas, mensajes y/o correos electrónicos al
Ministerio de Justicia y/o Indecopi para que investiguen a la empresa por incumplimiento de
tratamiento de datos personales. Las sanciones impuestas a las empresas por incumplimiento
han pasado a llegar a 100 UIT hasta 500 UIT dependiendo de la gravedad.

Algunos de los casos de sanciones por incumplimiento son los siguientes por el Ministerio de
Justicia:
Empresa Año Monto de Sanción Motivo
No atender dentro del tiempo estipulado el derecho de
Google Perú
2015 65 UIT cancelación y no informar a la Autoridad Nacional de
S.R.L.
Protección de Datos Personales acerca del retraso.
No registrar banco de datos personales ni declarar flujo
Inverfit S.A.C. trasfronterizo, dar tratamiento a datos personales sin
2018 22 UIT
(Golds Gym) solicitar autorización y obstaculizar el ejercicio de
fiscalización de la ANPDP.
Sentinel Perú Dar tratamiento a datos personales sin el
2019 18 UIT
S.A. consentimiento del titular.

Fuente: Autoridad Nacional de Protección de Datos Personales – Ministerio de Justicia y Derechos

Humanos (https://www.minjus.gob.pe/wp-content/uploads/2019/11/Cuadro-de-
publicacio%CC%81n-de-Sanciones-ANPDP.pdf)

Para más detalles acerca de los derechos ARCO y politica de Privacidad de Proteccion de Datos
Personales:
https://www.compartamos.com.pe/Peru/Transparencia
6. Protección de los Datos Tarjetas
6.1 Introducción

La protección de los datos de tarjetas se encuentra alineado en su versión vigente a lo

mencionado en el Reglamento de Resolución SBS N° 6523-2013 en su artículo 18 relacionado
a los controles de seguridad que deben aplicarse a los datos de las tarjetas. El reglamento se
encuentra alineado al cumplimiento del estándar internacional PCI DSS.

6.2 ¿Qué es PCI DSS?

Es un estándar internacional compuesto por una serie de controles físicos, lógicos, administrativos
y documentales cuyo objetivo es gestionar la seguridad de los sistemas y las redes que procesan,
almacena y/o transmiten datos de tarjetas de pago.

6.3 ¿Cuáles son los datos de tarjetas que debemos proteger?

Los principales datos por proteger son los que se muestran a continuación:

• Contenido completo de la pista que se encuentra en la banda magnética, datos

equivalentes que se encuentran en el chip o en cualquier otro dispositivo son datos
confidenciales de autenticación.
• No se deben almacenar los datos confidenciales de autenticación después de la
 autorización (incluso si están cifrados).
• Evitar exponer por cualquier medio (físico/lógico/magnético) los datos de las tarjetas de
clientes.

6.4 ¿Cuáles son los principales beneficios de cumplir con la norma PCI DSS?

• Minimizar pérdidas económicas ocasionadas por fraude.

• Fortalecer y promover el uso de las tarjetas como medio de pago.
• Cumplir con normativas de la SBS, las marcas de tarjetas y las mejores
prácticas de la industria.

6.5 ¿Qué es un Entorno de Datos del Titular de Tarjetas (Cardholder Data

Environment – CDE)?

Este compuesto por personas, procesos y tecnologías en el cual se procesan, almacenan y/o
transmiten datos de titulares de tarjetas y/o datos confidenciales de autenticación.
La aplicabilidad de los controles del estándar PCI-DSS, también se deben incluir a todos los demás
componentes del sistema que provean seguridad, que impacten la seguridad, que estén
conectados o que provean segmentación al entorno de datos del titular de la tarjeta.

6.6 ¿Dónde puedo leer un poco más sobre esta norma o en qué documento de
Compartamos?

Este documento y más información oficial se encuentra en la página web de PCI

(https://www.pcisecuritystandards.org/document_library).
En nuestra documentación oficial publicada en la ruta compartida del disco L, lo puedes encontrar
como: RE-SI-01 – Reglamento de Seguridad de los Datos de Tarjetas.

7. Norma de Seguridad Personal

7.1 ¿El uso del fotocheck es obligatorio?

Si, es de uso obligatorio para todo el personal de la Financiera, que en encuentre en horario de
trabajo.

7.2 ¿Dónde puedo leer información sobre el proceso disciplinario o en qué

documento de Compartamos se encuentra?

En nuestra documentación oficial publicada en la ruta compartida del disco L, lo puedes encontrar como:
NR-SI-03 – Seguridad de Personal