Sistema de Seguridad de Lainformacion
Sistema de Seguridad de Lainformacion
Sistema de Seguridad de Lainformacion
Sistema de Seguridad de la
Información
Sistema de Seguridad de la Información
1. Conceptos y Definiciones Básicas
Confidencialidad
Disponibilidad Integridad
Es una normativa que brinda un resúmen sólido de todas las normativas aplicadas a todo el
Sistema de Gestión de Seguridad de Compartamos Financiera.
2. Activos de Información
2.1. ¿Qué son los activos de información?
Cualquier activo que se utiliza para la operación y cumplimiento de los objetivos propuestos por
la financiera.
Todo activo de información debe ser identificado y clasificado en función a los niveles requeridos
de confidencialidad, integridad y disponibilidad, requerimientos legales, normativos y de negocio.
2.2. ¿Cuáles son los recursos de información?
• Uso Interno: Información sensible que no es necesaria para la ejecución de los procesos
críticos de Compartamos Financiera.
Deberás terminar todas las sesiones de las aplicaciones y programas de información que
están activas.
El uso del correo electrónico y mensajería instantánea de Compartamos Financiera debe ser
únicamente para fines estrictamente laborales. Si el colaborador necesita enviar comunicaciones
externas o registrarse en sitios web públicos para fines personales, debe utilizar sus servicios de
comunicación personal.
En caso de adjuntar información confidencial y/o restringida deben estar autorizado por el Jefe
inmediato. La información confidencial y restringida siempre debe compartirse de manera segura.
Sí, los intentos de violación a los sistemas de seguridad y de control de acceso pueden ser
causal de amonestaciones.
3.5. Alguien usó mi cuenta para hacer una modificación en el Sistema. ¿Me
responsabilizo por ello?
3.6. ¿Dónde puedo leer más información sobre esta norma o en qué
documento de Compartamos se encuentra?
• Alteración de la Información.
• Fuga de Información en medio digitales y/o físicos.
• Técnicas de Ingeniería social (phishing).
• Ataques informáticos (virus, ransomware).
• Acceso o intento de acceso no autorizados a sistemas informáticos.
No, los accesos que no corresponde a tu función deberán ser reportados a tu jefe
inmediato o registrando un ticket por SysAid. Tener en cuenta que los accesos que no
corresponden a tu perfil, no hacer el uso de ellos, ni mucho menos probar las debilidades
de los sistemas informáticos.
4.5 ¿Dónde puedo leer más información sobre esta norma o en qué
documento de Compartamos se encuentra?
Es toda información sobre una persona natural que la identifica o la hace identificable a
través de medios que pueden ser razonablemente utilizados. A continuación, se
mencionan algunos datos personales que identifican o hacen identificables a una persona
física:
• Datos de Identificación: DNI, pasaporte, domicilio, teléfono, email.
• Datos de características personales: estado civil, nacionalidad, profesión.
• Datos de características social: pasatiempo, perteneciente a un club.
Son un conjunto de acciones a través de las cuales una persona física puede ejercer el control sobre
sus datos personales, y son:
Derecho de Acceso
Averiguar si tus datos personales están disponibles para tratamiento en el banco de datos de
cualquier empresa y con qué fines son usados.
Derecho de Rectificación
Actualizar o completar los datos personales faltantes, erróneos o falsos.
Derecho de Cancelación
Solicitar la eliminación de tus datos personales del banco de datos de la empresa cuando estos
hayan dejado de ser necesarios para la finalidad brindada.
Derecho de Oposición
Restringir el uso de tus datos personales para otros motivos que no sean los acordados o no
aceptar que tus datos estén disponibles para tratamiento en el banco de datos de la empresa.
El consumidor o persona física puede reportar llamadas, mensajes y/o correos electrónicos al
Ministerio de Justicia y/o Indecopi para que investiguen a la empresa por incumplimiento de
tratamiento de datos personales. Las sanciones impuestas a las empresas por incumplimiento
han pasado a llegar a 100 UIT hasta 500 UIT dependiendo de la gravedad.
Algunos de los casos de sanciones por incumplimiento son los siguientes por el Ministerio de
Justicia:
Empresa Año Monto de Sanción Motivo
No atender dentro del tiempo estipulado el derecho de
Google Perú
2015 65 UIT cancelación y no informar a la Autoridad Nacional de
S.R.L.
Protección de Datos Personales acerca del retraso.
No registrar banco de datos personales ni declarar flujo
Inverfit S.A.C. trasfronterizo, dar tratamiento a datos personales sin
2018 22 UIT
(Golds Gym) solicitar autorización y obstaculizar el ejercicio de
fiscalización de la ANPDP.
Sentinel Perú Dar tratamiento a datos personales sin el
2019 18 UIT
S.A. consentimiento del titular.
Para más detalles acerca de los derechos ARCO y politica de Privacidad de Proteccion de Datos
Personales:
https://www.compartamos.com.pe/Peru/Transparencia
6. Protección de los Datos Tarjetas
6.1 Introducción
Es un estándar internacional compuesto por una serie de controles físicos, lógicos, administrativos
y documentales cuyo objetivo es gestionar la seguridad de los sistemas y las redes que procesan,
almacena y/o transmiten datos de tarjetas de pago.
Los principales datos por proteger son los que se muestran a continuación:
6.4 ¿Cuáles son los principales beneficios de cumplir con la norma PCI DSS?
Este compuesto por personas, procesos y tecnologías en el cual se procesan, almacenan y/o
transmiten datos de titulares de tarjetas y/o datos confidenciales de autenticación.
La aplicabilidad de los controles del estándar PCI-DSS, también se deben incluir a todos los demás
componentes del sistema que provean seguridad, que impacten la seguridad, que estén
conectados o que provean segmentación al entorno de datos del titular de la tarjeta.
6.6 ¿Dónde puedo leer un poco más sobre esta norma o en qué documento de
Compartamos?
Si, es de uso obligatorio para todo el personal de la Financiera, que en encuentre en horario de
trabajo.
En nuestra documentación oficial publicada en la ruta compartida del disco L, lo puedes encontrar como:
NR-SI-03 – Seguridad de Personal