Politicas de Seguridad PDF

Nom
bre del
EMISIN CLASIFICACIN
SERIAL N
20/09/06
USO GENERAL
NORMATIVA
S/S

Preparado por:
Arquitectura y Gestin de
Seguridad Lgica
Revisado por:
G/B (Ej.) Wilmer Barrientos
Gerente Corporati vo de Prevencin y
Control de Prdidas
Aprobado por:
Ing. Rafael Ramrez
Ministro de MEMPEP y Presidente
de PDVSA
Versin:

v-1.0
Fecha de vigencia:
26/11/07
Fecha ltima revisin:
27/07/06
Pgina N:
1/39
Pol t i c as de Segur i dad de I nf or mac i n de PDVSA
Nor mat i va

Preparado por:
Seguridad Lgica
Revisado por:
Control de Prdidas
Aprobado por:
Ing. Rafael Ramrez
de PDVSA
Versin:

v-1.0
Fecha de vigencia:
26/11/07
27/07/06
Pgina N:
2/39
Polticas de Seguridad de Informacin de Petrleos de Venezuela C.A,

INTRODUCCIN
Las normas que integran las Polticas de Seguridad de Informacin sern de
obligatorio cumplimiento para el personal de Petrleos de Venezuela S.A. y de sus
empresas filiales y es, as mismo, responsabilidad de los niveles supervisorios
respectivos ejecutar y hacer cumplir estas disposiciones regulatorias de los aspectos
relacionados con la seguridad de los activos de informacin pertenecientes a, o bajo
custodia de, la Corporacin.
La Gerencia de Seguridad Lgica de la Gerencia Corporativa de Prevencin y
Control de Prdidas (PCP), ejercer la custodia de las referidas normas y ser
responsable de definir procedimientos de control especficos, as como de
administrar, implementar y mantener medidas de supervisin y vigilancia de acceso a
los Activos de Informacin y suministrar formas de recuperacin, en concordancia
con las instrucciones emanadas de los Gerentes Propietarios de los Activos de
Informacin.
De igual manera, queda establecido que estas Polticas se debern aplicar
independientemente de la manera en que se representa la informacin, la tecnologa
usada para manipular la informacin, la ubicacin de la informacin o la
categorizacin de la informacin.

Gerencia Corporativa de Prevencin y Control de Prdidas
Trabajo, Honestidad, Excelencia

La Corporacin se reserva el derecho de cambiar estas Polticas en cualquier
momento y sin previo aviso

Preparado por:
Seguridad Lgica
Revisado por:
Control de Prdidas
Aprobado por:
Ing. Rafael Ramrez
de PDVSA
Versin:

v-1.0
Fecha de vigencia:
26/11/07
27/07/06
Pgina N:
3/39

POLTICAS DE SEGURIDAD DE INFORMACIN

CAPTULO 01
PROTECCIN DE LA PLATAFORMA TECNOLGICA
SECCIN 01
Proteccin de la Plataforma Tecnolgica
PSI-010101: Declaracin de Seguridad: Los Activos de Informacin de la
Corporacin debern estar debidamente protegidos contra acciones o eventos que
perjudiquen los principios y estndares establecidos de seguridad de informacin.
PSI-010102: Regulacin sobre Aspectos de Seguridad de Informacin: La
Corporacin, a travs de la Gerencia Responsable de la Seguridad de la Plataforma
Tecnolgica, deber regular las actividades inherentes y conexas con la Seguridad
de la Plataforma Tecnolgica.
PSI-010103: Responsabilidades Legales en Materia de Seguridad: La
Corporacin, en defensa de sus Activos de Informacin, proceder de acuerdo al
Ordenamiento J urdico y a los Tratados Internacionales de la Repblica. En virtud de
lo cual, ante la presencia de un evento o incidente que pudiera afectar la Seguridad
de los Activos de Informacin, de su propiedad o bajo su custodia, iniciar a travs
de la Gerencia Corporativa de Prevencin y Control de Prdidas (PCP), las
investigaciones respectivas y, en caso de evidenciarse un supuesto delito,
contactar, previa opinin de la organizacin jurdica de la Corporacin, a los
organismos competentes del Estado para que stos efecten las actuaciones
correspondientes en aplicacin de las disposiciones legales que regulan la materia.

Preparado por:
Seguridad Lgica
Revisado por:
Control de Prdidas
Aprobado por:
Ing. Rafael Ramrez
de PDVSA
Versin:

v-1.0
Fecha de vigencia:
26/11/07
27/07/06
Pgina N:
4/39
CAPTULO 02
CLASIFICACIN DE ACTIVOS DE INFORMACIN
SECCIN 01
Clasificacin de Activos de Informacin
PSI-020101: Clasificacin de Activos de Informacin: Todo Activo de Informacin
perteneciente a, o bajo la custodia, de la Corporacin, deber ser clasificado de
acuerdo a la normativa de clasificacin vigente en materia de Proteccin de Activos
de Informacin de la Corporacin.
PSI-020102: Asignacin de Propiedad de Informacin: La responsabilidad de
proteccin, resguardo y custodia sobre cada Activo de Informacin de la Corporacin
deber ser asignada a un Gerente Propietario.
PSI-020103: Rotular Activos de Informacin: Todo Activo de Informacin de la
Corporacin deber ser rotulado de manera que todos los usuarios puedan tener
conocimiento acerca de la propiedad, clasificacin y valor de dicha informacin.
PSI-020104: Inventario de Activos de Informacin: La Gerencia Responsable de
la Plataforma Tecnolgica deber crear mecanismos que permitan mantener un
inventario vigente de los Activos de Informacin de la Corporacin.
PSI-020105: Tratamiento y Resguardo de los Activos de Informacin: Todo
Activo de Informacin deber ser protegido, custodiado y resguardado de
conformidad con los niveles de clasificacin que le fueron asignados, utilizando para
ello los mtodos y/o tcnicas de seguridad aprobados por la Corporacin.

Preparado por:
Seguridad Lgica
Revisado por:
Control de Prdidas
Aprobado por:
Ing. Rafael Ramrez
de PDVSA
Versin:

v-1.0
Fecha de vigencia:
26/11/07
27/07/06
Pgina N:
5/39
CAPTULO 03
CONTROL DE ACCESO A LA INFORMACIN Y SISTEMAS
SECCIN 01
Control de Acceso a la Informacin y Sistemas
PSI-030101: Administracin del Control Acceso: El Control de Acceso a la
Informacin y Sistemas deber ser administrado por el personal autorizado debida y
formalmente por la Gerencia Responsable de la Seguridad de la Plataforma
Tecnolgica a solicitud del Gerente Propietario, respetando los perfiles
organizacionales de la Corporacin, de conformidad con los Acuerdos de Servicio,
los eventuales Estados de Excepcin y las prioridades del Negocio.
PSI-030102: Control de Acceso al Usuario: El acceso de los usuarios a la
Informacin y Sistemas deber ser permitido cuando est debidamente justificado
por el Gerente Propietario, autorizado debida y formalmente por el Administrador
Responsable de esta informacin y/o sistemas y procesado por la Gerencia
Responsable de la Seguridad de la Plataforma Tecnolgica, respetando los roles y
perfiles organizacionales de la Corporacin. Todas las referidas autorizaciones
debern efectuarse por escrito.
PSI-030103: Proteccin de Equipos de Tecnologa de Informacin
Desatendidos: Todo Equipo de Tecnologa de Informacin desatendido deber estar
protegido fsica y lgicamente, de acuerdo a su clasificacin.
PSI-030104: Administracin del Control de Acceso a la Red: El Control de
Acceso a la Red deber ser administrado por personal autorizado debida y
Tecnolgica, a solicitud del Gerente Propietario, respetando los perfiles
organizacionales de la Corporacin, de conformidad con los Acuerdos de Servicio,
los eventuales Estados de Excepcin y las prioridades del Negocio.
PSI-030105: Control de Acceso al Sistema Operativo: El acceso al Sistema
Operativo deber ser permitido slo a aquellas personas autorizadas, en forma
escrita, por la Gerencia Responsable de la Plataforma Tecnolgica, en concordancia
con la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la
Corporacin y cuyas funciones del cargo lo requieran.
PSI-030106: Mecanismos de Identificacin y Autenticacin: Las personas
designadas por la Gerencia Responsable de la Plataforma Tecnolgica debern ser
responsables del diseo, elaboracin y verificacin de mecanismos de identificacin

Preparado por:
Seguridad Lgica
Revisado por:
Control de Prdidas
Aprobado por:
Ing. Rafael Ramrez
de PDVSA
Versin:

v-1.0
Fecha de vigencia:
26/11/07
27/07/06
Pgina N:
6/39
y autentificacin confiables. Ser responsabilidad de la Gerencia Corporativa de
Prevencin y Control de Prdidas (PCP) hacer los respectivos requerimientos,
definir su especificacin funcional, efectuar las pruebas necesarias, certificar los
referidos mecanismos y lograr el uso eficiente de los mismos.
PSI-030107: Restriccin de Acceso a la Informacin: Las restricciones a la
informacin debern establecerse atendiendo los niveles apropiados asociados al
cargo y perfil organizacional y de acuerdo a la poltica de Control de Acceso, a fin de
minimizar los riesgos en seguridad de informacin.
PSI-030108: Monitoreo del Acceso y Uso del Sistema: Todo acceso a los recursos
de Tecnologa de Informacin deber ser registrado y monitoreado de acuerdo a las
mejores prcticas vigentes aceptadas por la Corporacin.
PSI-030109: Brindar Acceso a los Activos de Informacin: El acceso a los
Activos de Informacin deber ser controlado, asegurando su disponibilidad, slo al
personal autorizado debida y formalmente por el Gerente Propietario y avalado por la
respectiva Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica, de
conformidad con las Polticas de clasificacin de Activos de Informacin.
PSI-030110: Control del Acceso a Usuarios Remotos: El control de acceso a los
Activos de Informacin, en el caso de usuarios remotos, deber establecerse de
conformidad con su clasificacin, ser autorizado debida y formalmente por el
Gerente Propietario, avalado por la Gerencia Responsable de la Seguridad de la
Plataforma Tecnolgica y estar limitado al perfil de usuario, para no utilizar a estos
fines ms privilegios del necesario para lograr los objetivos especficos del Negocio.
PSI-030111: Administracin de Seguridad de Aplicaciones: Toda aplicacin
administrada por la Corporacin deber tener un Administrador de Seguridad
debidamente calificado y autorizado formalmente por la Gerencia Responsable de la
Seguridad de la Plataforma Tecnolgica, de conformidad con la poltica de
clasificacin de los Activos de Informacin y los Acuerdos de Servicio.
PSI-030112: Claves de Mximos Privilegios: Las Claves de Mximos Privilegios de
las aplicaciones y sistemas de la Corporacin debern tener el mximo nivel de
clasificacin establecido en la Corporacin. La Gerencia Responsable de la
Proteccin de los Activos de la Corporacin deber establecer los mecanismos de
asignacin, administracin, custodia y uso, de conformidad con los eventuales
Estados de Excepcin y las prioridades del Negocio.

Preparado por:
Seguridad Lgica
Revisado por:
Control de Prdidas
Aprobado por:
Ing. Rafael Ramrez
de PDVSA
Versin:

v-1.0
Fecha de vigencia:
26/11/07
27/07/06
Pgina N:
7/39
CAPTULO 04
PROCESAMIENTO DE INFORMACIN Y DOCUMENTOS
SECCIN 01
Redes
PSI-040101: Arquitectura y Configuracin de la Red: La arquitectura y
configuracin de la Red debern cubrir las necesidades y los procesos del Negocio,
manteniendo un alto nivel de desempeo.
PSI-040102: Administracin de la Red: Slo personal debidamente calificado y
autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnolgica y
avalado por la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica
de la Corporacin, deber administrar la Red de la Corporacin, de conformidad con
los Acuerdos de Servicio, los eventuales Estados de Excepcin y las prioridades del
Negocio.
PSI-040103: Administracin de la Plataforma de Seguridad: La Plataforma de
Seguridad de la Red de la Corporacin deber ser administrada slo por personal
Seguridad de la Plataforma Tecnolgica, de conformidad con los Acuerdos de
Servicio, los eventuales Estados de Excepcin y las prioridades del Negocio.
PSI-040104: Acceso Remoto a la Red: El Acceso Remoto a la Red y sus recursos
deber estar debidamente justificado por el demandante del servicio, autorizado
formalmente por el Gerente Propietario de la informacin, avalado por la Gerencia
Responsable de la Seguridad de la Plataforma Tecnolgica y procesado por la
Gerencia Responsable de la Plataforma Tecnolgica de la Corporacin.
SECCIN 02
Operaciones y Administracin de Sistemas
PSI-040201: Administracin de Sistemas: Los Sistemas de la Corporacin
debern ser administrados por personal debidamente calificado y autorizado
formalmente por el Gerente Propietario, en concordancia con la Gerencia
Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin y de
conformidad con los Acuerdos de Servicio establecidos.
PSI-040202: Control de Distribucin de Informacin: El Gerente Propietario, en
concordancia con la Gerencia Responsable de la Seguridad de la Plataforma

Preparado por:
Seguridad Lgica
Revisado por:
Control de Prdidas
Aprobado por:
Ing. Rafael Ramrez
de PDVSA
Versin:

v-1.0
Fecha de vigencia:
26/11/07
27/07/06
Pgina N:
8/39
Tecnolgica de la Corporacin, deber establecer los mecanismos que garanticen la
existencia de controles y reportes tcnicos que permitan efectuar una distribucin
adecuada de la informacin, a todas aquellas personas que formalmente autorice.
PSI-040203: Revisin de Registros de Eventos: Todo registro de eventos de
error, de excepcin y de seguridad de los sistemas en la Plataforma Tecnolgica de
la Corporacin deber ser revisado permanentemente, analizado, documentado y
resguardado de forma apropiada por personal debidamente calificado y autorizado
Tecnolgica.
PSI-040204: Programacin de Operaciones de Sistemas: La programacin de
operaciones de sistemas de la Corporacin deber ser formalmente planificada,
autorizada y certificada por personal debidamente calificado y autorizado
formalmente por el Gerente Propietario de la informacin, en concordancia con la
Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la
Corporacin. El diseo, desarrollo, prueba, documentacin y operacionalizacin le
corresponder a la Gerencia Responsable de la Plataforma Tecnolgica.
PSI-040205: Cambio y/o Mantenimiento de la Programacin de la Operacin de
los Sistemas: Toda modificacin y/o mantenimiento de la Programacin de
Operacin de los Sistemas deber contar con el aval de la Gerencia Responsable de
la Seguridad de la Plataforma Tecnolgica y se regir estrictamente por las Polticas
de Control de Cambio de la Corporacin.
PSI-040206: Revisin de Registros de Auditoria: Los registros de auditoria de los
Sistemas debern ser revisados permanentemente por el personal debidamente
calificado y autorizado formalmente por la Gerencia Responsable de la Seguridad de
la Plataforma Tecnolgica, de conformidad con el Acuerdo de Servicio con el
Gerente Propietario.
PSI-040207: Sincronizacin de Relojes de los Sistemas: Los Relojes de los
Sistemas debern estar sincronizados, especialmente entre las diversas plataformas
de procesamiento de la Corporacin.
PSI-040208: Atencin de Fallas de los Sistemas: Slo personal debidamente
calificado y autorizado formalmente deber atender las fallas de los sistemas de la
Plataforma Tecnolgica de la Corporacin, de conformidad con los Acuerdos de
Servicio celebrados entre el Gerente Propietario y la Gerencia Responsable de la
Plataforma Tecnolgica.
PSI-040209: Contratacin de Servicios Externos de Tecnologa de Informacin:
La contratacin y uso de servicios externos y de otros activos de Tecnologa de

Preparado por:
Seguridad Lgica
Revisado por:
Control de Prdidas
Aprobado por:
Ing. Rafael Ramrez
de PDVSA
Versin:

v-1.0
Fecha de vigencia:
26/11/07
27/07/06
Pgina N:
9/39
Informacin en la Corporacin, debern estar avalados por la Gerencia Responsable
de la Seguridad de la Plataforma Tecnolgica de la Corporacin y debern
contemplar clusulas y penalidades que garanticen el fiel cumplimiento de lo
estipulado y la confidencialidad de la informacin a la cual acceden.

SECCIN 03
Correo Electrnico e Internet
PSI-040301: Uso del Correo Electrnico de la Corporacin: El personal
autorizado slo deber hacer uso del correo electrnico de la Corporacin para fines
del Negocio, de conformidad con las normas y procedimientos relacionadas con la
recepcin, envo, reenvo, almacenamiento y retencin del mismo, para tal objeto
establecidas.
PSI-040302: Uso de Internet dentro de la Corporacin: El uso de Internet ser
permitido en la Corporacin, con el fin de formar al personal, innovar y prestar apoyo
en la implementacin de mejores prcticas en el sector petrolero. En aquellos casos
de requerimientos de acceso a la Internet de personas no autorizadas, deber
elevarse dicho requerimiento a la Gerencia Responsable de la Seguridad de la
Plataforma Tecnolgica de la Corporacin para su correspondiente anlisis y
eventual autorizacin.
PSI-040303: Descarga de Archivos e Informacin desde Internet: La descarga de
informacin y archivos desde Internet, deber estar directamente relacionada con el
rol que desempea el empleado y orientada exclusivamente a las actividades propias
del Negocio, de conformidad con la poltica de Uso de Internet dentro de la
Corporacin.
PSI-040304: Uso de Firmas Digitales: Las firmas digitales debern ser utilizadas
para el intercambio de informacin en la Corporacin, de conformidad con las
Polticas de Clasificacin de Activos de Informacin.
PSI-040305: Acceso a la Intranet: Slo personal autorizado debida y formalmente
por la gerencia que ejerza la respectiva custodia de las aplicaciones a ser utilizadas
en la Corporacin, en concordancia con la Gerencia Responsable de la Seguridad de
la Plataforma Tecnolgica de la Corporacin, podr acceder a la Intranet, de
conformidad al rol que desempea.
PSI-040306: Acceso a la Extranet: La Extranet es de uso masivo, es nuestro
mecanismo de divulgacin de informacin oficial al pas y al mundo, por lo tanto, su

Preparado por:
Seguridad Lgica
Revisado por:
Control de Prdidas
Aprobado por:
Ing. Rafael Ramrez
de PDVSA
Versin:

v-1.0
Fecha de vigencia:
26/11/07
27/07/06
Pgina N:
10/39
uso es extenso. Los niveles de autorizacin y control de acceso a la Extranet de la
Corporacin, debern realizarse con el aval de la Gerencia Responsable de la
Seguridad de la Plataforma Tecnolgica y de conformidad con las Polticas de
Administracin del Control de Acceso a la Red.
SECCIN 04
Dispositivos de Transmisin de Informacin
PSI-040401: Administracin de Dispositivos de Transmisin de Informacin:
Los Dispositivos de Transmisin de Informacin debern ser administrados y
controlados, en la Corporacin, de forma segura y eficiente, a travs de la Gerencia
Responsable de la Plataforma Tecnolgica.
PSI-040402: Uso de Dispositivos de Transmisin de Informacin: El uso de los
Dispositivos de Transmisin de Informacin en la Corporacin deber ser autorizado
debida y formalmente por la Gerencia Responsable de la Plataforma Tecnolgica,
previo aval de la Gerencia Responsable de la Seguridad de la Plataforma
Tecnolgica y de conformidad con las Polticas de Clasificacin de Activos de
Informacin.
SECCIN 05
Manejo de Informacin
PSI-040501: Transferencia y/o Intercambio de Informacin: Toda transferencia
y/o intercambio de informacin interna o externa de la Corporacin, a travs de
cualquier medio electrnico, mecnico o manual, debern ser autorizados
formalmente por el Gerente Propietario, en concordancia con la Gerencia
conformidad con las Polticas de Clasificacin de Activos de Informacin.
PSI-040503: Administracin de las Bases de Datos: Slo personal debidamente
calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma
Tecnolgica, en concordancia con la Gerencia Responsable de la Seguridad de la
Plataforma Tecnolgica de la Corporacin, ser responsable de la administracin de
las bases de datos, tomando en cuenta la seguridad de las mismas, de conformidad
con los Acuerdos de Servicio establecidos con el Gerente Propietario.
PSI-040504: Cambios de Emergencia en la Informacin: Slo el personal
Plataforma Tecnolgica podr ejecutar los cambios de emergencia en la informacin

Preparado por:
Seguridad Lgica
Revisado por:
Control de Prdidas
Aprobado por:
Ing. Rafael Ramrez
de PDVSA
Versin:

v-1.0
Fecha de vigencia:
26/11/07
27/07/06
Pgina N:
11/39
de la Corporacin, sin arriesgar la seguridad de sta, de conformidad con las
Polticas de Control de Cambios.
PSI-040505: Administracin de Directorios, Carpetas y/o Estructuras de
Informacin: Slo personal debidamente calificado y autorizado formalmente por la
Gerencia Responsable de la Plataforma Tecnolgica podr administrar los
directorios, carpetas y/o estructuras de informacin de la Corporacin, de
conformidad con lo establecido por el Gerente Propietario y los respectivos Acuerdos
de Servicio.
PSI-040506: Archivo Fsico de Documentos: El archivo fsico de documentos
deber realizarse por personal autorizado debida y formalmente por el Gerente
Propietario, de conformidad con las Polticas de Clasificacin de Activos de
Informacin, las ms adelantadas prcticas tecnolgicas, los aspectos legales, la
normativa interna y las caractersticas del respectivo Negocio.
PSI-040507: Preservacin de Informacin: La informacin creada y almacenada
por los sistemas de informacin de la Corporacin, deber preservarse de
conformidad con las Polticas de Clasificacin de Activos de Informacin y a los
Acuerdos de Servicio con el Gerente Propietario, en concordancia con la Gerencia
Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin, de
manera de cumplir con los aspectos legales, la normativa interna y las caractersticas
del respectivo Negocio.
PSI-040508: Establecer Nuevas Bases de Datos: Slo personal debidamente
Tecnolgica deber encargarse de la evaluacin, diseo y creacin de nuevas bases
de datos, de conformidad con las Polticas de Clasificacin de Activos de
Informacin, cumpliendo con los requerimientos del Gerente Propietario.
PSI-040509: Vinculacin de Informacin entre Documentos y Archivos: Toda
informacin vinculada con las actividades propias del Negocio, deber estar
disponible en su totalidad para evitar depender de la disponibilidad o integridad de
archivos de informacin externos o propiedad de terceros y/o relacionados.
PSI-040510: Administracin de Reportes Borradores o Preliminares: Toda
informacin de la Corporacin considerada borrador o revisin preliminar, deber
cumplir con las Polticas de Clasificacin de Activos de Informacin y ser suprimida
despus de emitirse el reporte definitivo.
PSI-040511: Administracin de Informacin de Proyectos relacionados con
Tecnologa de Informacin: Slo personal autorizado formalmente por la Gerencia
Responsable de la Plataforma Tecnolgica de la Corporacin y avalada por la

Preparado por:
Seguridad Lgica
Revisado por:
Control de Prdidas
Aprobado por:
Ing. Rafael Ramrez
de PDVSA
Versin:

v-1.0
Fecha de vigencia:
26/11/07
27/07/06
Pgina N:
12/39
Corporacin, deber administrar la informacin referente a los Proyectos
relacionados con Tecnologa de Informacin, de conformidad con las Polticas de
Clasificacin de Activos de Informacin.
PSI-040512: Uso de Nomenclatura Estndar para nombrar Archivos y Carpetas:
Slo personal debidamente calificado y autorizado formalmente por la Gerencia
Responsable de la Plataforma Tecnolgica y avalada por la Gerencia Responsable
de la Seguridad de la Plataforma Tecnolgica de la Corporacin, deber establecer
mecanismos que permitan crear una nomenclatura estndar para la identificacin de
los archivos y carpetas de la Plataforma Tecnolgica de la Corporacin.
PSI-040513: Uso de Encabezados y Pies de Pgina: Todo documento oficial
perteneciente a la Corporacin deber poseer encabezados y pie de pgina
estndar, segn la aplicacin a la cual pertenecen, autorizados por la Gerencia
Responsable de la Imagen Corporativa, de conformidad con las Polticas de
Rotulacin de Activos de Informacin y de la Clasificacin de Activos de Informacin,
del Ordenamiento J urdico y del Negocio.
PSI-040514: Administracin de Archivos Temporales: Los Archivos Temporales
generados por Sistemas Operativos y/o Aplicaciones instalados en la Plataforma
Tecnolgica de la Corporacin, con el propsito de registrar informacin tcnica,
debern ser administrados por personal autorizado formalmente por la Gerencia
Responsable de la Plataforma Tecnolgica, en concordancia con la Gerencia
Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin, de
conformidad con las Polticas de Monitoreo y auditoria de Informacin y slo sern
eliminados cuando se constate la prdida de su vigencia.

SECCIN 06
Respaldo, Almacenaje y Recuperacin
PSI-040601: Respaldo: Todos los sistemas, su data y/o documentos de usuario,
asociados, debern ser respaldados peridicamente por personal debidamente
Tecnolgica, con funciones excluyentes del personal que realiza el almacenaje y la
recuperacin, de conformidad con las Polticas de Clasificacin de Activos de
Informacin, los Acuerdos de Servicio con el Gerente Propietario en concordancia
Corporacin. la normativa interna y el Ordenamiento J urdico.

Preparado por:
Seguridad Lgica
Revisado por:
Control de Prdidas
Aprobado por:
Ing. Rafael Ramrez
de PDVSA
Versin:

v-1.0
Fecha de vigencia:
26/11/07
27/07/06
Pgina N:
13/39
PSI-040602: Almacenaje: Todos los respaldos de los sistemas, su data y/o
documentos de usuario asociados debern tener una copia y ser almacenados en
sitios separados bajo condiciones ambientales seguras, por personal debidamente
Tecnolgica, previo aval de la Gerencia Responsable de la Seguridad de la
Plataforma Tecnolgica de la Corporacin, con funciones excluyentes del personal
que realiza respaldos, de conformidad con las Polticas de Clasificacin de Activos
de Informacin, los Acuerdos de Servicio con el Gerente Propietario, normativa
interna y el Ordenamiento J urdico.
PSI-040603: Recuperacin: Todos los sistemas, su data y/o documentos de
usuario asociados debern ser recuperados cuando se requiera, por personal
Plataforma Tecnolgica, con funciones excluyentes de la funcin de respaldo, de
conformidad con las Polticas de Clasificacin de Activos de Informacin, los
Acuerdos de Servicio con el Gerente Propietario en concordancia con la Gerencia
Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin, la
normativa interna y el Ordenamiento J urdico.
PSI-040604: Hardware de Respaldo y Recuperacin: El Hardware de respaldo y
recuperacin de la Corporacin deber ser estndar, compatible con la arquitectura
de la Plataforma Tecnolgica y con capacidad de proceso simultneo de distintas
unidades de almacenamiento masivo, de conformidad con las necesidades del
Negocio.
PSI-040605: Software de Respaldo y Recuperacin: El Software de respaldo y
recuperacin de la Corporacin deber ser estndar, compatible con la arquitectura
de la Plataforma Tecnolgica, proveer capacidad de proceso simultneo de distintas
unidades de almacenamiento masivo y producir indicadores relevantes del proceso
realizado.
PSI-040606: Documentacin de Procesos de Respaldo y Recuperacin: Deber
mantenerse una documentacin detallada de los procesos de respaldo y
recuperacin, elaborada por personal debidamente calificado y autorizado
formalmente por la Gerencia Responsable de la Plataforma Tecnolgica, en
Tecnolgica de la Corporacin. Dicha documentacin deber contener indicaciones
del entorno donde los referidos procesos se desarrollan y las acciones a tomar en
caso de fallas, de conformidad con las normas y procedimientos establecidos para tal
fin.
PSI-040607: Ejecucin Programada de los Procesos de Respaldo y
Recuperacin: Deber mantenerse una ejecucin programada y automatizada de

Preparado por:
Seguridad Lgica
Revisado por:
Control de Prdidas
Aprobado por:
Ing. Rafael Ramrez
de PDVSA
Versin:

v-1.0
Fecha de vigencia:
26/11/07
27/07/06
Pgina N:
14/39
los procesos de respaldo y recuperacin, elaborada por personal debidamente
Tecnolgica de la Corporacin y avalada por la Gerencia Responsable de la
Seguridad de la Plataforma Tecnolgica de la Corporacin. Dicha ejecucin deber
contener indicaciones del entorno donde los referidos procesos se desarrollan y las
acciones a tomar en caso de fallas, de conformidad con la poltica de Documentacin
de Procesos de Respaldo y Recuperacin.
PSI-040608: Perodo de Retencin de Respaldo: Los respaldos y/o copias de
seguridad de la informacin de la Corporacin, debern ser retenidos por un perodo
de tiempo determinado en el momento de su generacin, de conformidad con las
Polticas de Clasificacin de Activos de Informacin, los Acuerdos de Servicio con el
Gerente Propietario, la normativa interna y el Ordenamiento J urdico.
PSI-040609: Etiquetado de los Respaldos: La identificacin para los respaldos y
los medios de almacenaje deber ser un estndar para toda la Corporacin, de

SECCIN 07
Manejo de Documentos
PSI-040701: Administracin de Documentos: Todo documento perteneciente a la
Corporacin deber ser administrado por personal autorizado debida y formalmente
por el Gerente Propietario, en concordancia con la Gerencia Responsable de la
Seguridad de la Plataforma Tecnolgica de la Corporacin y de conformidad con las
PSI-040702: Manejo de Copias de Documentos: Toda copia de documentos de la
Corporacin deber recibir el mismo tratamiento y resguardo que el respectivo
documento original y ser autorizada formalmente por el Gerente Propietario, de
PSI-040703: Autenticidad de Documentos: Los documentos que obligan o
comprometen a la Corporacin debern ser refrendados manual o electrnicamente
slo por personal autorizado debida y formalmente y, de conformidad con las
PSI-040704: Envo de Documentos: El envo de documentos que obligan o
comprometen a la Corporacin, deber ser aprobado por personal autorizado debida
y formalmente por el Gerente Propietario, de conformidad con las Polticas de

Preparado por:
Seguridad Lgica
Revisado por:
Control de Prdidas
Aprobado por:
Ing. Rafael Ramrez
de PDVSA
Versin:

v-1.0
Fecha de vigencia:
26/11/07
27/07/06
Pgina N:
15/39
Clasificacin de Activos de Informacin y Manejo de Documentos, manteniendo un
control y registro de su envo.
PSI-040705: Correspondencia Interna: Toda correspondencia interna de la
Corporacin deber ser identificada debidamente y manejada slo por personal
autorizado formalmente por el Gerente Propietario.
PSI-040706: Estilo y Presentacin de Reportes: Los documentos corporativos
debern elaborarse bajo un formato estndar acordado entre el Gerente Propietario y
la Gerencia Responsable de la Imagen Corporativa, de conformidad con las Polticas
de Clasificacin de Activos de Informacin.
PSI-040707: Transmisin o Transporte de Documentos: Todo documento deber
ser transmitido o transportado por personal autorizado debida y formalmente por el
Gerente Propietario, de conformidad con las Polticas de Clasificacin de Activos de
Informacin.
PSI-040708: Destruccin de Documentos: Todo documento que haya perdido
vigencia y/o valor para la Corporacin deber ser destruido por personal autorizado
debida y formalmente por el Gerente Propietario, de conformidad con los
mecanismos y normativas para tal fin establecidos.
SECCIN 08
Seguridad de la Informacin
PSI-040801: Uso de Tcnicas de Cifrado: El uso de tcnicas de cifrado para la
Corporacin deber ser administrado debidamente por la Gerencia Responsable de
la Plataforma Tecnolgica y autorizado formalmente por la Gerencia Responsable de
la Seguridad de la Plataforma Tecnolgica.
PSI-040802: Manejo de la Informacin: La Gerencia Responsable de la Proteccin
de los Activos de la Corporacin deber establecer mecanismos de divulgacin que
contribuyan a que todos sus empleados, terceros y/o relacionados, conozcan sus
compromisos legales y corporativos, en el manejo de la informacin que est bajo su
responsabilidad, de conformidad con las Polticas de Clasificacin de Activos de
Informacin.
PSI-040803: Intercambio de Informacin con Terceros y/o Relacionados: Toda
informacin perteneciente a la Corporacin que sea intercambiada con terceros y/o
relacionados, deber ser autorizada debida y formalmente por el Gerente Propietario,
en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma

Preparado por:
Seguridad Lgica
Revisado por:
Control de Prdidas
Aprobado por:
Ing. Rafael Ramrez
de PDVSA
Versin:

v-1.0
Fecha de vigencia:
26/11/07
27/07/06
Pgina N:
16/39
Tecnolgica de la Corporacin y de conformidad con las Polticas de Clasificacin de
Activos de Informacin.
PSI-040804: Manejo de Informacin de Clientes y Terceros: Toda informacin
sobre clientes, terceros y/o relacionados, que sea confiada a la Corporacin para
fines del Negocio, deber ser asignada a un Gerente Propietario, en concordancia
Corporacin, de acuerdo a los compromisos previamente establecidos y de
PSI-040805: Riesgos de Prdida y/o Dao de Informacin y Documentos: Toda
la Informacin de la Corporacin, en cualquiera de sus formas, deber estar
protegida contra cualquier evento que pueda atentar contra su integridad,
confidencialidad y disponibilidad.
PSI-040806: Proteccin de Informacin: El acceso a toda informacin de la
Corporacin o delegada a sta, deber ser protegido por la gerencia que ejercer la
custodia, en concordancia con la Gerencia Responsable de la Seguridad de la
Plataforma Tecnolgica de la Corporacin, con mecanismos de identificacin y
autentificacin, de conformidad con las Polticas de Clasificacin de Activos de
Informacin.
PSI-040807: Impresin de Documentos: Los documentos de la Corporacin, de
conformidad con la poltica de Clasificacin de los Activos de Informacin, debern
ser impresos y retirados inmediatamente de las impresoras, slo por personal
autorizado debida y formalmente por el Gerente Propietario.
SECCIN 09
Manejo y Procesamiento de Otra Informacin
PSI-040901: Eliminacin de Informacin en Medios de Almacenamiento de
Informacin a Desincorporar: La eliminacin de informacin contenida en medios
de almacenamiento a desincorporar, deber ser autorizada por el Gerente
Propietario, con el aval de la Gerencia Responsable de la Seguridad de la Plataforma
Tecnolgica de la Corporacin y realizada por personal autorizado debida y
formalmente por la Gerencia Responsable de la Plataforma Tecnolgica de la
Corporacin, de conformidad con las Polticas de Clasificacin de Activos de
Informacin, la normativa interna y del Ordenamiento J urdico.
PSI-040902: Uso de Dispositivos de Copiado: El uso de los Dispositivos de
Copiado en la Corporacin deber estar restringido por la Gerencia Responsable de
la Seguridad de la Plataforma Tecnolgica y slo ser autorizado para asuntos

Preparado por:
Seguridad Lgica
Revisado por:
Control de Prdidas
Aprobado por:
Ing. Rafael Ramrez
de PDVSA
Versin:

v-1.0
Fecha de vigencia:
26/11/07
27/07/06
Pgina N:
17/39
relacionados con el Negocio, por el personal debida y formalmente autorizado por el
Gerente Propietario de la informacin, de conformidad con las Polticas de
Clasificacin de Activos de informacin.
PSI-040903: Suministro de Informacin a los Medios de Comunicacin Social:
Slo personal autorizado debida y formalmente por la Gerencia Responsable de la
Imagen Corporativa podr suministrar informacin en nombre de la Corporacin, en
cualquiera de sus formas, a los Medios de Comunicacin Social.
PSI-040904: Necesidad de Control Dual y/o Segregacin de Tareas: El Gerente
Propietario deber asegurar la correcta segregacin de tareas en el uso y proceso de
la informacin que accede, mediante los sistemas instalados en la Plataforma
Tecnolgica de la Corporacin, de conformidad con las Polticas de Clasificacin de
PSI-040905: Escritorio Despejado: Todo el personal que labore en la Corporacin
es responsable de mantener sus escritorios despejados, no dejando expuesta
informacin clasificada perteneciente a la Corporacin.
PSI-040906: Movilizacin de Informacin Fuera de las Instalaciones de la
Corporacin: Todo personal que requiera movilizar informacin fuera de las
instalaciones de la Corporacin deber ser autorizado debida y formalmente por el
Gerente Propietario, en concordancia con la Gerencia Responsable de la Seguridad
de la Plataforma Tecnolgica de la Corporacin y tiene la estricta responsabilidad de
custodiarla y resguardarla, de conformidad con las Polticas de Clasificacin de

CAPTULO 05

Preparado por:
Seguridad Lgica
Revisado por:
Control de Prdidas
Aprobado por:
Ing. Rafael Ramrez
de PDVSA
Versin:

v-1.0
Fecha de vigencia:
26/11/07
27/07/06
Pgina N:
18/39
COMPRA Y MANTENIMIENTO DE SOFTWARE COMERCIAL
SECCIN 01
Compra e Instalacin de Software
PSI-050101: Requerimientos de Nuevo Software: Toda solicitud de nuevo
Software deber ser presentada por la Gerencia solicitante a la Gerencia
Responsable de la Plataforma Tecnolgica de la Corporacin, para su aprobacin,
con las correspondientes justificaciones y los requerimientos del Negocio, de
conformidad con las Polticas establecidas para tal fin.
PSI-050102: Evaluacin, Seleccin y Adquisicin de Software Comercial: Slo la
Gerencia Responsable de la Plataforma Tecnolgica de la Corporacin estar
autorizada para evaluar, seleccionar y adquirir Software comercial, de conformidad
con los requerimientos de la Gerencia solicitante, de la arquitectura de la Plataforma
Tecnolgica, de los aspectos de seguridad y de las Polticas de Control de Cambio.
PSI-050103: Uso de Software propiedad de Terceros: Todo Software propiedad
de terceros instalado en la Plataforma Tecnolgica de la Corporacin deber estar
autorizado debida y formalmente para su uso, mediante las licencias o convenios
necesarios, de manera de preservar los respectivos derechos de autor y el servicio
tcnico.
PSI-050104: Implementacin de Software: La implementacin de todo Software en
la Corporacin deber ser realizada slo por personal debidamente calificado y
autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnolgica,
con el aval de la Gerencia Responsable de la Seguridad de la Plataforma
Tecnolgica de la Corporacin, de conformidad con las Polticas de Control de
Cambio.

SECCIN 02
Actualizacin y Mantenimiento de Software
PSI-050201: Implantacin de Actualizaciones de Seguridad al Software: La
Gerencia Responsable de la Plataforma Tecnolgica deber crear mecanismos que
permitan la implantacin controlada y oportuna de las actualizaciones de seguridad,
sugeridas por el fabricante, al Software de la Plataforma Tecnolgica de la
Corporacin y realizada slo por personal debidamente calificado, de conformidad
con las Polticas de Control de Cambio.

Preparado por:
Seguridad Lgica
Revisado por:
Control de Prdidas
Aprobado por:
Ing. Rafael Ramrez
de PDVSA
Versin:

v-1.0
Fecha de vigencia:
26/11/07
27/07/06
Pgina N:
19/39
PSI-050202: Respuesta a las Mejoras recomendadas para el Software por el
Fabricante: La decisin de mejorar el Software, recomendado por el fabricante, en la
Plataforma Tecnolgica de la Corporacin, deber basarse en un anlisis tcnico
realizado por personal debidamente calificado y autorizado formalmente por el
de la Plataforma Tecnolgica de la Corporacin y de conformidad con las Polticas de
Control de Cambio.
PSI-050203: Implantacin de Mejoras del Software: La Gerencia Responsable de
la Plataforma Tecnolgica deber crear mecanismos que permitan la implantacin de
mejoras, sugeridas por el fabricante del Software, en la Plataforma Tecnolgica de la
Corporacin. Dichas mejoras debern ser evaluadas y probadas en un ambiente
apropiado de prueba y realizadas slo por personal debidamente calificado y
en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma
Tecnolgica de la Corporacin y de conformidad con las Polticas de Control de
Cambio.
PSI-050204: Interfaz de Sistemas y/o Software de Aplicacin: El desarrollo de
Software para interfaces deber ser realizado por personal debidamente calificado y
autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnolgica y
por el Gerente Propietario, en concordancia con la Gerencia Responsable de la
Seguridad de la Plataforma Tecnolgica de la Corporacin y de conformidad con las
Polticas de Control de Cambio.
PSI-050205: Soporte al Software Comercial: Toda aplicacin comercial instalada
en la Plataforma Tecnolgica de la Corporacin deber establecer en un Acuerdo de
Servicio que permita proveer soporte tcnico y deber ser administrada por la
Gerencia Responsable de la Plataforma Tecnolgica, con la aprobacin del Gerente
Propietario, en concordancia con la Gerencia Responsable de la Seguridad de la
Plataforma Tecnolgica de la Corporacin y de conformidad con las Polticas de
Control de Cambio.
PSI-050206: Implantacin de Mejoras al Software del Sistema Operativo: La
Gerencia Responsable de la Plataforma Tecnolgica deber crear mecanismos que
permitan la implantacin de mejoras, sugeridas por el fabricante del Software del
Sistema Operativo, en la Plataforma Tecnolgica de la Corporacin. Dichas mejoras
sern evaluadas, realizadas como proyectos formales y probadas en un ambiente
apropiado de prueba, solo por personal debidamente calificado y autorizado
formalmente por la Gerencia Responsable de la Plataforma Tecnolgica, avalado por
la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la
Corporacin y de conformidad con las Polticas de Control de Cambio.

Preparado por:
Seguridad Lgica
Revisado por:
Control de Prdidas
Aprobado por:
Ing. Rafael Ramrez
de PDVSA
Versin:

v-1.0
Fecha de vigencia:
26/11/07
27/07/06
Pgina N:
20/39
PSI-050207: Soporte para Sistemas Operativos: Todo Software de Sistema
Operativo instalado en la Plataforma Tecnolgica de la Corporacin deber contar
con un Acuerdo de Servicio que permita proveer un nivel apropiado de soporte
tcnico y deber ser administrado por la Gerencia Responsable de la Plataforma
Tecnolgica, con la aprobacin del Gerente Propietario, en concordancia con la
Corporacin y de conformidad con las Polticas establecidas para tal fin.
PSI-050208: Registro y Reporte de Fallas en el Software: Todo Software
instalado en la Plataforma Tecnolgica de la Corporacin requiere de un registro y
reporte de fallas, los cuales debern ser revisados por el personal debidamente
Tecnolgica, avalado por la Gerencia Responsable de la Seguridad de la Plataforma
Tecnolgica de la Corporacin. Dicho personal tiene la responsabilidad de reportar
las posibles desviaciones detectadas para su verificacin y acordar las acciones
correspondientes.
PSI-050209: Seguridad en el Ciclo de Vida del Desarrollo de los Sistemas: Para
todos los sistemas de aplicaciones de la Corporacin, los diseadores y
desarrolladores de sistemas debern establecer con la autorizacin formal de la
Corporacin, la seguridad apropiada desde el principio del proceso de diseo de los
sistemas, hasta su conversin en sistemas de produccin.
SECCIN 03
Otros Asuntos del Software
PSI-050301: Desincorporacin de Software: La Gerencia Responsable de la
Plataforma Tecnolgica deber crear mecanismos que permitan, previa solicitud de
la Gerencia Propietaria del proceso, la desincorporacin de Software de la
Plataforma Tecnolgica de la Corporacin. Dicha desincorporacin ser realizada
como proyecto especfico y slo por personal debidamente calificado y autorizado
formalmente por la Gerencia Responsable de la Plataforma Tecnolgica, en
Tecnolgica de la Corporacin y de conformidad con las Polticas de Control de
Cambio.

Preparado por:
Seguridad Lgica
Revisado por:
Control de Prdidas
Aprobado por:
Ing. Rafael Ramrez
de PDVSA
Versin:

v-1.0
Fecha de vigencia:
26/11/07
27/07/06
Pgina N:
21/39

CAPTULO 06
SEGURIDAD DE HARDWARE, PERIFRICOS Y OTROS EQUIPOS
SECCIN 01
Compra e Instalacin de Hardware
PSI-060101: Requerimientos de Nuevo Hardware: Toda solicitud de nuevo
Hardware deber ser presentada por la Gerencia solicitante a la Gerencia
Responsable de la Plataforma Tecnolgica, con las justificaciones respectivas y los
requerimientos del Negocio, en concordancia con la Gerencia Responsable de la
Seguridad de la Plataforma Tecnolgica de la Corporacin, de conformidad con la
Arquitectura de la Plataforma Tecnolgica de la Corporacin y de las Polticas
establecidas para tal fin.
PSI-060102: Evaluacin, Seleccin y Adquisicin de Hardware: Slo la Gerencia
Responsable de la Plataforma Tecnolgica de la Corporacin ser autorizada para
evaluar, seleccionar y adquirir Hardware, de conformidad con los requerimientos de
la Gerencia solicitante, en concordancia con la Gerencia Responsable de la
Seguridad de la Plataforma Tecnolgica de la Corporacin, de la Arquitectura de la
Plataforma Tecnolgica y de las Polticas de Control de Cambio.
PSI-060103: Instalacin de Nuevo Hardware: La instalacin de todo Hardware
deber ser realizada slo por personal debidamente calificado y autorizado
formalmente por la Gerencia Responsable de la Plataforma Tecnolgica, previa
autorizacin del Gerente propietario del proceso, en concordancia con la Gerencia
conformidad con las Polticas de Control de Cambio.

SECCIN 02
Documentacin de Hardware
PSI-060201: Manejo y Uso de la Documentacin del Hardware: La
documentacin del Hardware de la Plataforma Tecnolgica de la Corporacin deber
realizarse por personal debidamente calificado y autorizado formalmente por la
Gerencia Responsable de la Plataforma Tecnolgica, especificando y detallando los

Preparado por:
Seguridad Lgica
Revisado por:
Control de Prdidas
Aprobado por:
Ing. Rafael Ramrez
de PDVSA
Versin:

v-1.0
Fecha de vigencia:
26/11/07
27/07/06
Pgina N:
22/39
aspectos tcnicos, la vigencia y la disponibilidad para la operacin adecuada de la
gerencia que ejerza la respectiva custodia, en el ambiente apropiado de produccin.
SECCIN 03
Uso de Almacenamiento Seguro
PSI-060301: Administracin de Activos de Reposicin: Se debern crear
mecanismos adecuados y eficientes que permitan la administracin de los Activos de
Reposicin de la Plataforma Tecnolgica de la Corporacin, por personal
Plataforma Tecnolgica, en concordancia con la Gerencia Responsable de la
Seguridad de la Plataforma Tecnolgica de la Corporacin.
SECCIN 04
Otros Aspectos del Hardware
PSI-060401: Desincorporacin de Equipos: La desincorporacin de equipos de la
Plataforma Tecnolgica de la Corporacin deber ser autorizada formalmente por el
de la Plataforma Tecnolgica de la Corporacin y realizada por personal autorizado
debida y formalmente por la Gerencia Responsable de la Plataforma Tecnolgica, de
conformidad con las Polticas de Clasificacin de Activos de Informacin, de la
normativa interna y del Ordenamiento J urdico.
PSI-060402: Bitcora de Hardware: Deber crearse una bitcora detallada e
individual de cada Hardware instalado en la Plataforma Tecnolgica de la
Corporacin, bajo la responsabilidad de personal debidamente calificado y autorizado
formalmente por la Gerencia Responsable de la Plataforma Tecnolgica, de
PSI-060403: Mantenimiento del Hardware: Todos los equipos instalados en la
Plataforma Tecnolgica de la Corporacin debern contar con programas de
mantenimiento predictivos, preventivos y correctivos, los cuales sern realizados y
ejecutados por personal debidamente calificado y autorizado formalmente por la
Gerencia Responsable de la Plataforma Tecnolgica, avalado por la Gerencia
PSI-060404: Soporte de Entrenamiento para Hardware: Todo Hardware instalado
en la Plataforma Tecnolgica de la Corporacin deber contar con un Convenio de
Entrenamiento con el proveedor del Hardware, que permitir mantener vigente el

Preparado por:
Seguridad Lgica
Revisado por:
Control de Prdidas
Aprobado por:
Ing. Rafael Ramrez
de PDVSA
Versin:

v-1.0
Fecha de vigencia:
26/11/07
27/07/06
Pgina N:
23/39
conocimiento del personal de la Corporacin, atendiendo al rol que desempea en el
uso y/o administracin del Hardware, de conformidad con las Polticas establecidas
para tal fin.
PSI-060405: Instalacin, activacin y uso de Dispositivos de Transmisin de
Informacin: La instalacin, activacin y uso de dispositivos de transmisin de
informacin desde y hacia la Plataforma Tecnolgica de la Corporacin debern ser
justificados por el Gerente solicitante, evaluados por la Gerencia Responsable de la
Seguridad de la Plataforma Tecnolgica y autorizados formalmente por la Gerencia
Responsable de la Plataforma Tecnolgica, de conformidad con las Polticas para tal
fin establecidas.
PSI-060406: Instalacin, Activacin y Uso de Mdems: La instalacin, activacin
y uso de Mdems deber ser justificado por el Gerente solicitante, evaluado por la
Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica y autorizado
formalmente por la Gerencia Responsable de la Plataforma Tecnolgica.
PSI-060407: Instalacin, Activacin y Uso de Dispositivos de Copiado: La
instalacin, activacin y uso de Dispositivos de Copiado en la Corporacin deber
ser justificado por el Gerente solicitante, evaluado por la Gerencia Responsable de la
Seguridad de la Plataforma Tecnolgica y autorizado formalmente por la Gerencia
Responsable de la Plataforma Tecnolgica.
PSI-060408: Instalacin, Certificacin, Mantenimiento y/o Mejoras del Cableado
de Red: La Gerencia Responsable de la Plataforma Tecnolgica, en concordancia
Corporacin deber crear mecanismos de seguridad para la instalacin, certificacin,
mantenimiento, y/o mejoras del cableado de la Red de la Corporacin, de
conformidad con las Polticas diseadas para tal fin.
PSI-060409: Contratacin o Uso de Servicios de Cmputo Externo: Slo el
personal autorizado debida y formalmente por la Gerencia Responsable de los
Servicios de Plataforma Tecnolgica, en concordancia con la Gerencia Responsable
de la Seguridad de la Plataforma Tecnolgica de la Corporacin, podr contratar
servicios de cmputo externo, amparados bajo Contratos de Servicio que contengan
clusulas de confidencialidad, garantas, criterios de calidad y control de la
informacin, extensivo al personal vinculado con el servicio.
PSI-060410: Asignacin y Uso de Dispositivos Mviles de Computacin: La
Gerencia Responsable de la Plataforma Tecnolgica deber asignar los dispositivos
mviles de computacin de conformidad con las Polticas diseadas para tal fin y
con el rol que desempea en la Corporacin el personal solicitante, quien asumir la
responsabilidad por la informacin all contenida.

Preparado por:
Seguridad Lgica
Revisado por:
Control de Prdidas
Aprobado por:
Ing. Rafael Ramrez
de PDVSA
Versin:

v-1.0
Fecha de vigencia:
26/11/07
27/07/06
Pgina N:
24/39
PSI-060411: Traslado de Equipos: El traslado de equipos de la Plataforma
Tecnolgica de la Corporacin, dentro o fuera de sus instalaciones, deber ser
autorizado debida y formalmente por la Gerencia Responsable de la Plataforma
Tecnolgica, previo requerimiento del Gerente Propietario, en concordancia con la
Corporacin y de conformidad con las Polticas establecidos para tal fin.
PSI-060412: Control de Equipos No Pertenecientes a la Corporacin: El ingreso
y uso de equipos, no pertenecientes a la Corporacin, en sus instalaciones, deber
ser justificado previamente por el solicitante y autorizado, debida y formalmente por
la Gerencia encargada de la Proteccin de los Activos y la Gerencia de Adquisicin
de Tecnologa de Informacin, de conformidad con las Polticas establecidas para tal
fin.

CAPTULO 07
CONTROL DE LA SEGURIDAD DE INFORMACIN DEL COMERCIO
ELECTRNICO
SECCIN 01
Control de la Seguridad de Informacin del Comercio Electrnico
PSI-070101: Sistemas de Comercio Electrnico: Los Sistemas, incluyendo los
servidores Web, aplicaciones, bases de datos y cualquier otro elemento para el
Comercio Electrnico de la Corporacin, debern ser diseados, implantados y
colocados en ambiente de produccin slo por personal debidamente calificado y
dando prioridad a mecanismos de seguridad en la transmisin de informacin,
autorizados formalmente por la Gerencia Responsable de la Seguridad de la
Plataforma Tecnolgica de la Corporacin y de conformidad con las Polticas
PSI-070102: Uso de Proveedores de Servicios Externos para el Comercio
Electrnico: Slo el personal autorizado debida y formalmente por la Gerencia
Responsable de la Plataforma Tecnolgica podr contratar proveedores de servicios
externos para Comercio Electrnico, amparados por Contratos de Servicio que
contengan clusulas de confidencialidad y garantas. Dichos contratos debern ser
revisados y aprobados por la organizacin responsable de los aspectos jurdicos de
la Corporacin, en concordancia con la Gerencia Responsable de la Seguridad de la

Preparado por:
Seguridad Lgica
Revisado por:
Control de Prdidas
Aprobado por:
Ing. Rafael Ramrez
de PDVSA
Versin:

v-1.0
Fecha de vigencia:
26/11/07
27/07/06
Pgina N:
25/39

CAPTULO 08
DESARROLLO Y MANTENIMIENTO DE APLICACIONES PROPIETARIAS
SECCIN 01
Desarrollo de Aplicaciones
PSI-080101: Administracin de Aplicaciones en Ambiente de Produccin: Slo
el personal debidamente calificado y autorizado formalmente por la Gerencia
Responsable de la Plataforma Tecnolgica de la Corporacin ser el responsable de
la administracin del ambiente donde residen las aplicaciones en produccin, con
funciones excluyentes al personal que realiza la administracin de aplicaciones en el
ambiente de desarrollo, de conformidad con las Polticas establecidas para tal fin.
PSI-080102: Administracin de los Cdigos Fuentes de las Aplicaciones: Slo el
personal debidamente calificado y autorizado formalmente por la Gerencia
Responsable de la Plataforma Tecnolgica de la Corporacin ser el responsable de
la administracin de los cdigos fuentes de las aplicaciones que residen en el
ambiente de desarrollo, con funciones excluyentes al personal que realiza la
administracin de las aplicaciones en el ambiente de produccin, de conformidad con
las Polticas establecidos para tal fin.
PSI-080103: Desarrollo y Mantenimiento de Software de Aplicaciones: Todo
desarrollo y mantenimiento de aplicaciones deber ser autorizado por el Gerente
Propietario del proceso, en concordancia con la Gerencia Responsable de la
Seguridad de la Plataforma Tecnolgica de la Corporacin, realizado por personal
Plataforma Tecnolgica, con funciones excluyentes al personal que realiza la
administracin de las aplicaciones en el ambiente de produccin, implementndose
para ello procedimientos formales para el control de las versiones y registros de
auditorias, de conformidad con las Polticas de Control de Cambio.

Preparado por:
Seguridad Lgica
Revisado por:
Control de Prdidas
Aprobado por:
Ing. Rafael Ramrez
de PDVSA
Versin:

v-1.0
Fecha de vigencia:
26/11/07
27/07/06
Pgina N:
26/39
PSI-080104: Documentacin de Aplicaciones: Todo desarrollo o cambio de
aplicaciones de la Plataforma Tecnolgica de la Corporacin deber constar en una
documentacin detallada, vigente y contentiva de todas las fases de desarrollo o
cambio y, deber ser realizada y ejecutada por personal debidamente calificado y
con funciones excluyentes al personal que realiza la administracin de las
aplicaciones en el ambiente de produccin, de conformidad con las Polticas Control
de Cambio.
PSI-080105: Inventario de las Versiones Obsoletas de las Aplicaciones: Deber
constituirse un inventario que permita controlar y mantener el registro vigente de
todas las aplicaciones obsoletas de la Corporacin. Dicho inventario ser realizado
por personal debidamente calificado y autorizado formalmente por la Gerencia
Responsable de la Plataforma Tecnolgica, con funciones excluyentes al personal
que realiza la administracin de las aplicaciones en el ambiente de produccin, de
PSI-080106: Inventario de Aplicaciones en Produccin: Deber constituirse un
inventario que permita controlar y mantener el registro vigente de todas las
aplicaciones en produccin de la Corporacin. Dicho inventario ser realizado por
Responsable de la Plataforma Tecnolgica, con funciones excluyentes al personal
que realiza la administracin de las aplicaciones en el ambiente de produccin, de
PSI-080107: Solicitud de Mejoras a las Aplicaciones: Todas las solicitudes de
mejoras a las aplicaciones operativas en la Plataforma Tecnolgica de la
Corporacin debern ser justificadas, realizadas y presentadas por el Gerente
Propietario del proceso, ante la Gerencia Responsable de la Plataforma Tecnolgica,
de conformidad con las Polticas de Control de Cambio.
PSI-080108: Evaluacin de Desarrollo de Nuevas Aplicaciones: La evaluacin
para el desarrollo de nuevas aplicaciones de la Corporacin deber ser realizada por
Responsable de la Plataforma Tecnolgica, de conformidad con las Polticas de
Control de Cambio.
PSI-080109: Segregacin de Funciones: La Gerencia Responsable de la
Plataforma Tecnolgica de la Corporacin, en concordancia con la Gerencia
Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin,
deber implementar una segregacin de funciones, responsabilidades u otras
medidas compensatorias de control que garanticen que ninguna persona individual
tendr el control exclusivo de los activos de informacin bajo su responsabilidad.

Preparado por:
Seguridad Lgica
Revisado por:
Control de Prdidas
Aprobado por:
Ing. Rafael Ramrez
de PDVSA
Versin:

v-1.0
Fecha de vigencia:
26/11/07
27/07/06
Pgina N:
27/39
SECCIN 02
Evaluacin y Entrenamiento
PSI-080201: Control de Calidad de la Aplicacin en Produccin: Todos los
cambios y desarrollo de aplicaciones de la Corporacin debern ser evaluados en un
ambiente apropiado de prueba por personal debidamente calificado y formalmente
autorizado por la Gerencia Responsable de la Plataforma Tecnolgica, con funciones
excluyentes del personal de desarrollo y produccin. Dichas evaluaciones debern
contar con la participacin y aprobacin del Gerente Propietario solicitante de la
aplicacin, en concordancia con la Gerencia Responsable de la Seguridad de la
PSI-080202: Uso de Data para Pruebas: El uso de data de produccin para
realizar pruebas de nuevas aplicaciones solo ser permitido, previa autorizacin
formal del Gerente Propietario y aval de la Gerencia Responsable de la Seguridad de
la Plataforma Tecnolgica, si dicha data son transferidos al ambiente apropiado de
prueba, con los controles adecuados para la seguridad de la informacin, de
PSI-080203: Entrenamiento en Nuevas Aplicaciones: Debern establecerse y
asegurarse mecanismos que permitan suministrar los conocimientos suficientes y
necesarios al personal formalmente autorizado por la Gerencia Responsable de la
Plataforma Tecnolgica, acerca de la funcionalidad y operatividad de las nuevas
aplicaciones.
SECCIN 3
Otros Desarrollos de Software
PSI-080301: Desarrollo de Aplicaciones por Externos: Toda aplicacin que
requiera ser desarrollada por proveedores externos para la Plataforma Tecnolgica
de la Corporacin, deber establecerse en un Convenio de Servicio que permita
proveer un nivel apropiado de soporte tcnico, el cual deber ser administrado por la
Gerencia Responsable de la Plataforma Tecnolgica, con la aprobacin del Gerente
Propietario, en concordancia con la Gerencia Responsable de la Seguridad de la
Plataforma Tecnolgica de la Corporacin y de conformidad con las Polticas de
seguridad establecidas para tal fin.

Preparado por:
Seguridad Lgica
Revisado por:
Control de Prdidas
Aprobado por:
Ing. Rafael Ramrez
de PDVSA
Versin:

v-1.0
Fecha de vigencia:
26/11/07
27/07/06
Pgina N:
28/39

CAPTULO 09
CONSIDERACIONES RELACIONADAS CON LAS INSTALACIONES
SECCIN 01
Consideraciones Relacionadas con las Instalaciones
PSI-090101: Clasificacin de reas Fsicas con Activos de Informacin: Todas
las reas fsicas con Activos de Informacin de la Corporacin debern ser
clasificadas de acuerdo al valor y confidencialidad de los activos a proteger y a la
criticidad de los servicios que prestan, de conformidad con las Polticas de
Clasificacin de Activos de Informacin.
PSI-090102: Proteccin Fsica de las reas para Instalacin de Activos de
Informacin: Las reas donde se encuentran Activos de Informacin de la
Corporacin debern ser protegidas, contra amenazas y riesgos naturales y/o
ambientales, de conformidad con su clasificacin y con las Polticas establecidas
para tal fin.
PSI-090103: Acceso Fsico de personal a las reas de Instalacin de Activos de
Informacin: El acceso fsico del personal a las reas donde se encuentran Activos
de Informacin de la Corporacin deber ser estrictamente controlado con rigurosas
tcnicas de identificacin por la Gerencia Responsable de la Proteccin de los
Activos de la Corporacin, de conformidad con las Polticas de Clasificacin de reas
Fsicas con Activos de Informacin.
PSI-090104: Acceso de Terceros a las reas de Instalacin de Activos de
Informacin: Todo acceso de terceros a las reas donde se encuentran Activos de
Informacin de la Corporacin deber ser estrictamente controlado por el personal
responsable de las reas a visitar.

CAPTULO 10
ASPECTOS DE SEGURIDAD RELACIONADOS CON EL PERSONAL
SECCIN 01

Preparado por:
Seguridad Lgica
Revisado por:
Control de Prdidas
Aprobado por:
Ing. Rafael Ramrez
de PDVSA
Versin:

v-1.0
Fecha de vigencia:
26/11/07
27/07/06
Pgina N:
29/39
Aspectos de Seguridad Relacionados con el Personal
PSI-100101: Trminos y Condiciones de Confidencialidad y Cumplimiento: Los
Trminos y Condiciones para el proceso de ingreso y/o permanencia del personal de
la Corporacin debern incluir, segn su rol en la misma, los acuerdos vigentes de
confidencialidad y el cumplimiento de las polticas, estndares, normas y
procedimientos de Seguridad de Informacin de la Corporacin.
PSI-100102: Resguardo de los Mecanismos de Acceso: El personal deber
responsabilizarse por el resguardo, custodia e intransferencia del mecanismo de
acceso a las reas donde se encuentran instalados los Activos de Informacin de la
Plataforma Tecnolgica de la Corporacin, de conformidad con las Polticas
diseadas para tal fin.
PSI-100103: Reportes de Eventualidades en la Plataforma Tecnolgica: Todo el
personal de la Corporacin deber reportar inmediatamente a la Gerencia
Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin,
cuando tengan conocimiento o sospecha de cualquier eventualidad que pudiera
poner en riesgo la confidencialidad, integridad y disponibilidad de la informacin.
PSI-100104: Propiedad de los Derechos de Autora Intelectual: Todo el personal
perteneciente a, o relacionado con, la Corporacin debern firmar un compromiso
formal de respeto a los derechos de propiedad intelectual sobre el trabajo acometido
en la Corporacin durante el lapso del respectivo contrato y conforme al
Ordenamiento J urdico.
PSI-100105: Confidencialidad de las Contraseas y Claves de Seguridad: Todo
el personal perteneciente a, o relacionado con, la Corporacin con derecho a uso de
la Plataforma Tecnolgica, deber comprometerse formalmente a manejar las
contraseas y claves de seguridad, como elementos con el ms alto grado de
clasificacin en tanto que Activos de Informacin de la Corporacin, de conformidad
con las Polticas de Clasificacin de Activos de Informacin.
PSI-100106: Eliminacin de Privilegios y Accesos: La Gerencia Responsable de
la Administracin del Personal, en concordancia con la Gerencia Responsable de la
Seguridad de la Plataforma Tecnolgica de la Corporacin, deber establecer
mecanismos que permitan eliminar inmediatamente los privilegios y accesos a la
Plataforma Tecnolgica de la Corporacin, al momento de notificarse el egreso del
empleado o la terminacin de contratos.
PSI-100107: Concienciacin sobre Aspectos de Seguridad: La Gerencia
Responsable de la Proteccin de los Activos de la Corporacin, deber crear
mecanismos que permitan dar a conocer y mantener actualizados a todo el personal

Preparado por:
Seguridad Lgica
Revisado por:
Control de Prdidas
Aprobado por:
Ing. Rafael Ramrez
de PDVSA
Versin:

v-1.0
Fecha de vigencia:
26/11/07
27/07/06
Pgina N:
30/39
perteneciente a, o relacionado con, la Corporacin, sobre las polticas, estndares,
normas y procedimientos referidas a Seguridad en Tecnologas de Informacin y a
las normas jurdicas sobre la materia.
PSI-100108: Planes de Induccin al Personal: La Gerencia Responsable de la
Administracin del Personal deber establecer mecanismos que permitan incluir en
los Planes de Induccin a todo el personal perteneciente a, o relacionado con, la
Corporacin, la informacin relacionada con las polticas, estndares, normativa
interna y procedimientos referidas a Seguridad en Tecnologas de Informacin y al
marco legal que los sustentan.
PSI-100109: Entrenamiento en Seguridad de Informacin: La Gerencia
Responsable de la Seguridad de Plataforma Tecnolgica de la Corporacin deber
mantener actualizados los conocimientos en materia de Seguridad, al personal
tcnico y especializado, responsable de dicha rea.
PSI-110101: Declaracin de Principio de Monitoreo de la Plataforma
Tecnolgica: La Corporacin se reserva el derecho de ejercer constantemente la
funcin de Monitoreo en toda la Plataforma Tecnolgica.

CAPITULO 11
MONITOREO, INCIDENTES Y AUDITORIA
SECCIN 01
Monitoreo
PSI-110102: Monitoreo en la Plataforma Tecnolgica: La Gerencia Responsable
de la Seguridad de la Plataforma Tecnolgica deber coordinar las estrategias de
Monitoreo de la Plataforma Tecnolgica de la Corporacin.
SECCIN 02
Tratamiento de Incidentes
PSI-110201: Recoleccin, Proteccin y Preservacin de Evidencias: La
Corporacin, a travs de la Gerencia Responsable de la Seguridad de la Plataforma
Tecnolgica, deber coordinar mecanismos relacionados con la recoleccin,

Preparado por:
Seguridad Lgica
Revisado por:
Control de Prdidas
Aprobado por:
Ing. Rafael Ramrez
de PDVSA
Versin:

v-1.0
Fecha de vigencia:
26/11/07
27/07/06
Pgina N:
31/39
proteccin y preservacin de la evidencia de un posible incidente de seguridad
detectado en la Plataforma Tecnolgica.
PSI-110202: Tratamiento de Incidentes de Seguridad: La Corporacin deber
atender en forma inmediata los incidentes de seguridad de la Plataforma
Tecnolgica, a travs de la Gerencia Responsable de la Seguridad de la Plataforma
Tecnolgica.
SECCIN 03
Auditoria
PSI-110301: Auditoria de Registros: Todos los registros de operacin de los
diferentes componentes de la Infraestructura de la Plataforma Tecnolgica de la
Corporacin, debern ser auditados constantemente por la Gerencia Responsable de
la Seguridad de la Plataforma Tecnolgica, con funciones excluyentes del personal
que realiza la operacin.
SECCIN 04
Otros Aspectos
PSI-110401: Manejo de Informacin de Monitoreo, Incidentes y Auditoria: Toda
informacin vinculada al Monitoreo, Incidentes y Auditoria deber tener el ms alto
grado de clasificacin de los Activos de Informacin de la Corporacin.

CAPTULO 12
CONTINUIDAD DE LAS OPERACIONES DEL NEGOCIO
SECCIN 01
Continuidad de las Operaciones del Negocio
PSI-120101: Planes de Contingencia del Negocio: La Corporacin deber
disponer de mecanismos y estrategias que permitan el desarrollo, evaluacin

Preparado por:
Seguridad Lgica
Revisado por:
Control de Prdidas
Aprobado por:
Ing. Rafael Ramrez
de PDVSA
Versin:

v-1.0
Fecha de vigencia:
26/11/07
27/07/06
Pgina N:
32/39
continua y activacin de los Planes de Contingencia que logren restablecer
inmediatamente los procesos medulares del Negocio.

CAPTULO 13
CONTROL DE CAMBIOS
SECCIN 01
Control de Cambios
PSI-130101: Control de Cambios: Todo cambio al Software, Hardware, redes de
comunicacin y procedimientos relacionados realizados en la Plataforma Tecnolgica
de la Corporacin, deber seguir un proceso formal de Control de Cambios, previa
solicitud del Gerente Propietario y con la autorizacin formal de un Comit
Multidisciplinario que incluya a la Gerencia Responsable de la Seguridad de la
Plataforma Tecnolgica, de conformidad con las Polticas establecidas para tal fin.

Las normas que integran las Polticas de Seguridad de Informacin
entrarn en vigencia a partir de la fecha de su publicacin en la
Corporacin.
Dada, firmada y sellada en Caracas a los veinte das del mes de
Septiembre del dos mil seis.

El MINISTRO DE ENERGA Y PETRLEO Y PRESIDENTE DE PDVSA,
Ing. Rafael Ramrez
GLOSARIO

Preparado por:
Seguridad Lgica
Revisado por:
Control de Prdidas
Aprobado por:
Ing. Rafael Ramrez
de PDVSA
Versin:

v-1.0
Fecha de vigencia:
26/11/07
27/07/06
Pgina N:
33/39
Acceso Remoto: Es una tecnologa de redes que permite a los usuarios
distantes/externos tener acceso a redes empresariales a travs de Internet o
servidores de acceso remoto.
Activo de Informacin: Es la informacin misma en cualesquiera de sus formas y
modalidades; es decir, impresa, manuscrita, oral, electrnica y visual a la cual la
Corporacin, segn sus intereses, le ha atribuido un valor determinado en funcin a
la trascendencia de dicha informacin. Esta definicin incluye la Plataforma
Tecnolgica de la Corporacin.
Acuerdo de Servicio: Documento en el que de antemano se le informa al usuario
del alcance, responsabilidades y procedimientos relacionados con el servicio a
recibir.
Adecuado (a): Es el grado de mxima diligencia que el responsable de un proceso
deber demostrar en el manejo de los activos de Informacin.
Administrador del Sistema: Persona natural o jurdica que configura y mantiene en
correcto funcionamiento un sistema.
Autenticacin: Proceso que verifica la identidad y el perfil del usuario.
Clasificacin: Son diferentes niveles de confidencialidad o criticidad que se asignan
a los Activos de Informacin de acuerdo a su contenido estratgico, valor comercial,
valor de reposicin, repercusiones legales y su importancia para la continuidad
operacional y/o reanudacin de las operaciones y que tiene la finalidad de determinar
el grado de proteccin requerida.
Comercio Electrnico: Uso de tecnologas de comunicacin para transmitir
informacin del Negocio (Ej. Intercambio Electrnico de Datos (EDI)). El comercio en
Internet es un sub-conjunto del comercio electrnico.
Computacin Mvil: Es el uso combinado de mecanismos de comunicacin remota
y servidores de datos con dispositivos mviles, para cubrir las necesidades de
informacin de los usuarios, en caso de ausencia de stos.
Confidencialidad: Es el compromiso de discrecin, que la Corporacin exige a sus
empleados, contratados, terceros y/o relacionados, sobre los conocimientos,
procedimientos y documentos que comprenden los activos de informacin de su
propiedad o bajo su custodia. La confidencialidad es una consecuencia de la
seguridad de la informacin.
Continuidad del Negocio: Es el proceso mediante el cual se asegura la continuidad

Preparado por:
Seguridad Lgica
Revisado por:
Control de Prdidas
Aprobado por:
Ing. Rafael Ramrez
de PDVSA
Versin:

v-1.0
Fecha de vigencia:
26/11/07
27/07/06
Pgina N:
34/39
de las funciones medulares del Negocio, en el caso de ocurrir un desastre, mediante
la proteccin de su informacin contra eventualidades como actos terroristas,
desastres naturales o incluso errores de calculo humano, ataques de virus, entre
otros. Los factores a tenerse en cuenta son, qu tanto tiempo puede sobrevivir la
Corporacin sin acceso a su informacin y qu cantidad de informacin debe ser
recuperada en caso de darse una interrupcin del servicio.
Contrasea (Password): Secuencia alfabtica, numrica o combinacin de ambas,
protegida por reglas de confidencialidad, utilizada para verificar la autenticidad de la
autorizacin, expedida a un usuario, para acceder a la data o a la informacin
contenida en un sistema.
Control: Mecanismo de seguridad que verifica lo que un usuario puede hacer, una
vez que tenga acceso a los datos o recursos del sistema, en base a un determinado
perfil.
Control de Acceso: Proceso que autoriza y controla quin y cmo se tiene acceso a
los datos y a los recursos de un sistema.
Corporacin: PDVSA y sus empresas filiales.
Cuenta de Usuario: Representa toda la informacin que el sistema guarda acerca
de cada usuario. Est conformada por un nombre nico de identificacin de usuario y
una contrasea secreta.
Custodio: Es la persona designada por el propietario de la informacin para proteger
y almacenar la informacin de los sistemas y redes de la Corporacin, segn las
especificaciones dadas.
Data (datos): Hechos, conceptos, instrucciones o caracteres representados de una
manera apropiada para que sean comunicados, transmitidos o procesados por
personas o por medios automticos y a los cuales se les asigna o se les puede
asignar un significado.
Derecho de Autor: Son las normas jurdicas de proteccin para toda obra de ingenio
de carcter creador, ya sea de ndole literaria, cientfica, tcnica o artstica,
cualesquiera sea su gnero, forma de expresin, mrito o destino, que sea
susceptible de ser comercializada por terceras personas.
Desastre: Incidente que compromete parcial o totalmente la disponibilidad de los
sistemas informticos y los activos de informacin y que podra afectar las
operaciones de la Corporacin.

Preparado por:
Seguridad Lgica
Revisado por:
Control de Prdidas
Aprobado por:
Ing. Rafael Ramrez
de PDVSA
Versin:

v-1.0
Fecha de vigencia:
26/11/07
27/07/06
Pgina N:
35/39
Disponibilidad: Valor que mide el nivel de operatividad de los sistemas informticos
para los usuarios, en un periodo especfico.
Dispositivos de Copiado: Son todos aquellos equipos que permiten la reproduccin
de documentos, imgenes, entre otros; tales como fax, fotocopiadora, scanner e
impresoras.
Dispositivos Mviles: Son todos aquellos equipos de computacin de uso individual
de una persona, tanto en posesin como en operacin, suficientemente pequeos
para ser transportados y utilizados durante su transporte, tales como Pocket PCs,
Tablet PCs, Porttiles, SmartPhone, entre otros.
Dispositivos de Transmisin de Informacin: Son todos aquellos equipos de
comunicacin que permiten el intercambio de informacin, tales como Telfono Fijo,
Telfono Celular, Fax, Telefax, Radios, Beeper, Vdeo Conferencia, etc.
Documento: Registro incorporado en un sistema en forma de escrito, vdeo, audio o
cualquier otro medio, que contiene data o informacin acerca de un hecho o acto
capaz de causar efectos jurdicos.
Estado de Excepcin: Son circunstancias de orden social, econmico, poltico,
natural o ecolgico, que afecten gravemente la seguridad de la Nacin, de sus
ciudadanos o de sus instituciones. Art. 2 de la Ley Orgnica sobre Estados de
Excepcin.
Estndar: Comprende la descripcin de los mecanismos y productos requeridos
para el desempeo de las Polticas de seguridad.
Evento de Seguridad: Comportamiento anmalo que podra afectar la integridad,
confidencialidad y/o disponibilidad de los activos de informacin de la Corporacin.
Extranet: Es la red que permite a la Corporacin compartir informaciones con otras
empresas y clientes. La extranet transmite informacin por Internet y requiere que el
usuario tenga una contrasea para poder acceder a la data de los servidores
internos de la Corporacin.
Firewall: Dispositivo que acta como una barrera de proteccin, defendiendo una
red interna de ataques desde otras redes externas no confiables. Un Firewall,
adems, previene que personas no autorizadas tengan acceso a la red interna, pero
al mismo tiempo permite que los usuarios autorizados tengan libre acceso.
Firmware: Programa o segmento de programa incorporado de manera permanente
en algn componente de Hardware, con la finalidad de permitir su operatividad.

Preparado por:
Seguridad Lgica
Revisado por:
Control de Prdidas
Aprobado por:
Ing. Rafael Ramrez
de PDVSA
Versin:

v-1.0
Fecha de vigencia:
26/11/07
27/07/06
Pgina N:
36/39
Gerencia Responsable de la Plataforma Tecnolgica: Gerencia de
Automatizacin, Informtica y Telecomunicaciones.
Gerencia Responsable de la Proteccin de los Activos de la Corporacin:
Gerencia Corporativa de Prevencin y Control de Prdidas (PCP).
Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica: Gerencia
de Seguridad Lgica de la Gerencia Corporativa de Prevencin y Control de
Prdidas.
Gerencia Responsable de la Imagen Corporativa: Gerencia Corporativa de
Asuntos Pblicos.
Gerencia Responsable de Adquisicin de Tecnologa de Informacin: Bariven,
Filial de Petrleos de Venezuela.
Gerencia Responsable del Manejo de Personal: Gerencia Corporativa de
Captacin, Educacin y Desarrollo.
Gerente Propietario: Es el cargo de mayor nivel en una organizacin, a quien la
Corporacin ha delegado la autoridad y responsabilidad de implementar y mantener
la proteccin de los Activos de Informacin, de acuerdo a las normas y
procedimientos de la Corporacin.
Hardware: Equipos o dispositivos fsicos, considerados en forma independiente de
su capacidad o funcin, que forman un computador o sus componentes perifricos,
de manera que pueden incluir herramientas, implementos, instrumentos, conexiones,
ensamblajes, componentes y partes.
Identificacin: Proceso en el cual el usuario se da a conocer en el sistema para
ingresar fsica o lgicamente.
Informacin: significado que el ser humano le asigna a la data utilizando las
convenciones conocidas y generalmente aceptadas.
Informacin Confidencial: Informacin clasificada que pueda influir en la toma de
decisiones estratgicas para el Negocio de la Corporacin.
Informacin de Uso Interno: Informacin de uso exclusivo de la Corporacin que
describe cmo opera la organizacin y cuya divulgacin a entes externos puede
afectar de manera negativa el funcionamiento de sta. Ejemplo: Informacin sobre
los clientes de la Corporacin, Informacin sobre polticas, normas y procedimientos.

Preparado por:
Seguridad Lgica
Revisado por:
Control de Prdidas
Aprobado por:
Ing. Rafael Ramrez
de PDVSA
Versin:

v-1.0
Fecha de vigencia:
26/11/07
27/07/06
Pgina N:
37/39
Informacin Pblica: Informacin que puede ser divulgada libremente tanto al
personal de la Corporacin como a entes externos. Ejemplo: Tarifas y precios de
productos, publicidad de los productos ya existentes en el mercado.
Integridad: Atributo que garantiza que la informacin recibida sea exactamente igual
a la informacin transmitida. Tambin garantiza que la informacin recuperada de un
medio de almacenamiento o archivo sea exactamente igual a la informacin
almacenada, es decir que no ha sido daada o alterada durante su almacenamiento,
en forma accidental o intencional.
Internet: Red de alcance mundial que une gran cantidad de redes y por la cual
circula alto trfico de informacin.
Intranet: Es una infraestructura bien definida y limitada, basada en los estndares y
tecnologas de Internet, que soporta el intercambio de informacin dentro de una
organizacin.
Medio de Transmisin: Todo medio a travs del cual puede ser transmitida una
informacin. Se incluye en este concepto el cableado, fibra ptica, lneas telefnicas
y el espacio a travs del cual son transmitidas las ondas.
Modem: Se trata de las siglas: MOdulador-DEModulador. Es un acoplador que une
el computador con una red telefnica u otra red de transmisin de data. En el
proceso de emisin modula, de forma binaria, una seal y, en la recepcin, demodula
la seal transmitida y reconstruye la original.
Monitoreo: Es la accin de vigilar que tiene por objeto detectar anomalas o usos
indebidos en la Plataforma Tecnolgica.
Negocio: Son las actividades interrelacionadas que dan soporte a la operacin
comercial, tcnica y jurdica de la Corporacin, y que se vinculan a los procesos
medulares de la Corporacin, a saber: Exploracin y Produccin, Refinacin,
Comercializacin, y Gas.
Normas: Son disposiciones caracterizadas por su imperatividad, coercividad y
obligatoriedad.
Plan de Contingencia: Es el proceso mediante el cual se determinan las acciones
que aseguren la continuidad del Negocio y la recuperacin ante desastres.
Plataforma Tecnolgica: Son todos los medios utilizados para procesar, almacenar
y transmitir la informacin.

Preparado por:
Seguridad Lgica
Revisado por:
Control de Prdidas
Aprobado por:
Ing. Rafael Ramrez
de PDVSA
Versin:

v-1.0
Fecha de vigencia:
26/11/07
27/07/06
Pgina N:
38/39
Polticas de Seguridad: Es una declaracin de intenciones emanadas de la alta
direccin de la Corporacin, que cubre la seguridad de los activos de informacin y
que proporciona las bases para definir y delimitar las responsabilidades que se
requieran en las diversas actuaciones tcnicas y organizativas.
Prcticas: Describe en forma detallada la manera de implementar las actividades y
acciones de seguridad.
Procedimientos: Son el conjunto de actividades, que en forma cronolgica y en
orden lgico, se debern seguir para ejecutar determinadas acciones.
Programa: Plan, rutina o secuencia de instrucciones utilizados para realizar un
trabajo en particular o resolver un problema dado a travs de un computador.
Procesamiento de datos o de informacin: realizacin sistemtica de operaciones
sobre datos o sobre informacin, tales como manejo, fusin, organizacin o cmputo.
Pruebas de Penetracin: Es un conjunto de actividades sistemticas cuyo objetivo
es detectar y alertar sobre posibles fallas de seguridad, que podran ser utilizadas,
por personal interno o externo, para atacar y/o penetrar en un sistema.
Recuperacin: Es el plan que asegura el restablecimiento de los recursos
informticos a un estado operativo despus de una falla, incidente o desastre.
Respaldo (Backup): Copia de un recurso o data para permitir la recuperacin en el
caso de una prdida o dao del mismo.
Relacionado: Personas naturales o jurdicas que tienen relaciones contractuales o
no con la Corporacin.
Riesgo: Es la probabilidad de que ocurra un evento o posible incidente que pudiera
ocasionar prdida o dao al patrimonio de la Corporacin.
Seguridad: Condicin que resulta del establecimiento y mantenimiento de medidas
de proteccin que garanticen un estado de inviolabilidad, que no permitan influencias
o actos hostiles especficos, que pudieran propiciar el acceso a la data, de personas
no autorizadas, o que afecten la operatividad de las funciones de un sistema.
Sistema: Cualquier conjunto estructurado de recursos y procedimientos diseados
para el uso de tecnologas de informacin, unidos y regulados por interaccin o
interdependencia que cumplen una serie de funciones especficas, y combinan dos o
ms componentes interrelacionados, organizados en un paquete funcional, de
manera que estn en capacidad de realizar una funcin operacional o satisfacer un

Preparado por:
Seguridad Lgica
Revisado por:
Control de Prdidas
Aprobado por:
Ing. Rafael Ramrez
de PDVSA
Versin:

v-1.0
Fecha de vigencia:
26/11/07
27/07/06
Pgina N:
39/39
requerimiento dentro de unas especificaciones previstas.
Sistema de Informacin: Conjunto de aplicaciones que proporcionan informacin
para las decisiones y aplicaciones de carcter estratgico en la Corporacin.
Sistema Operativo: Conjunto de programas que se integran con el Hardware para
facilitar al usuario, el aprovechamiento de los recursos disponibles.
Software: Informacin organizada, en forma de programas de computacin,
procedimientos y documentacin asociados, concebida para realizar la operacin de
un sistema que provee instrucciones a los sistemas de cmputo, con el objeto que
dichos sistemas realicen funciones especficas.
Tecnologa de Informacin: Rama de la tecnologa que se dedica al estudio,
aplicacin y procesamiento de datos, lo cual involucra la obtencin, creacin,
almacenamiento, administracin, modificacin, manejo, movimiento, control,
visualizacin, distribucin, intercambio, transmisin o recepcin de informacin en
forma automtica, trata, as mismo, el desarrollo y uso del Hardware, Firmware,
Software, cualesquiera de sus componentes y todos los procedimientos asociados
con el procesamiento de datos.
Tcnicas de Cifrado: Mtodos de encriptar mensajes de forma que no pueda ser
descifrados por terceros.
Terceros: Es la relacin comercial y/o tcnica establecida por la Corporacin con
personas naturales o jurdicas bajo la modalidad de empresas mixtas, exploracin a
riesgo, ganancias compartidas, contratos de servicio, entre otros.
Usuario: Toda persona autorizada para utilizar los activos y servicios de informacin
en base al conocimiento requerido, atendiendo el cargo ejercido dentro de la
Corporacin.

Politicas de Seguridad PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Politicas de Seguridad PDF

Cargado por

Copyright:

Formatos disponibles

Nom

También podría gustarte