Poltica General de Seguridad de la

Informacin

Clasificacin del documento:

Confidencial

Clave:

SI-G

Versin del documento:

1.9

Fecha de ltima actualizacin:

09 de Febrero de 2007

Responsable del documento:

Seguridad de la Informacin

Autorizacin para publicacin:

Vicepresidente Sr.

Autorizacin de acceso:

Asociados de la Institucin, proveedores que

requieren acceso y con los que existe un acuerdo
de confidencialidad

Adelante
CONFIDENCIAL
Pgina 1 de 11
Programa de Seguridad de la Informacin, versin 1.16
Este documento no podr ser alterado y/o distribuido parcialmente y slo podr ser distribuido a personal autorizado

ndice
NDICE................................................................................................................................................................2
OBJETIVO.........................................................................................................................................................3
ALCANCE..........................................................................................................................................................4
ANTECEDENTES.............................................................................................................................................5
1.

ESTNDARES INTERNACIONALES Y REGULACIONES...............................................................................5

2.

JUSTIFICACIN........................................................................................................................................6

RESPONSABILIDADES...................................................................................................................................7
CUMPLIMIENTO.............................................................................................................................................8
SANCIONES.......................................................................................................................................................9
CONTENIDO...................................................................................................................................................10
1.

SOBRE CUESTIONES GENERALES...........................................................................................................10

2.

SOBRE LA INFORMACIN......................................................................................................................10

3.

SOBRE LA OPERACIN...........................................................................................................................11

4.

SOBRE LOS RECURSOS INFORMTICOS.................................................................................................11

Adelante
CONFIDENCIAL
Pgina 2 de 11
Programa de Seguridad de la Informacin, versin 1.16
Este documento no podr ser alterado y/o distribuido parcialmente y slo podr ser distribuido a personal autorizado

Objetivo
Esta poltica general tiene como propsito definir la filosofa de Seguridad de la
Informacin del el Banco. (al que en adelante nos referiremos en el presente documento y
dems normatividad derivada del mismo como la Institucin), con el fin de asegurar la
operacin de la Institucin en lo relativo al uso de Tecnologas de Informacin, conforme a
los requerimientos legales aplicables, las mejores prcticas y los intereses de la misma
Institucin y de sus clientes (a quienes en adelante se les denominar Usuarios Bancarios).

Adelante
CONFIDENCIAL
Pgina 3 de 11
Programa de Seguridad de la Informacin, versin 1.16
Este documento no podr ser alterado y/o distribuido parcialmente y slo podr ser distribuido a personal autorizado

Alcance
El presente documento aplica a toda la informacin generada, procesada o almacenada por
medios electrnicos, como parte de la operacin de la Institucin.
Quedan incluidos todos los recursos informticos involucrados en la operacin de la
Institucin, incluidos aquellos que estn en poder de proveedores y entidades con las cuales
existe una relacin.
Tambin se contemplan las responsabilidades en materia de Seguridad de la Informacin
por parte de asociados de la Institucin, las entidades con las cuales la institucin mantiene
alguna relacin y sus Usuarios Bancarios, con el propsito de proteger sus propios intereses
y los de la Institucin.
De igual forma, se contemplan las disposiciones de Seguridad de la Informacin para
instituciones financieras que marca la legislacin aplicable.

Adelante
CONFIDENCIAL
Pgina 4 de 11
Programa de Seguridad de la Informacin, versin 1.16
Este documento no podr ser alterado y/o distribuido parcialmente y slo podr ser distribuido a personal autorizado

Antecedentes
Mediante escrito con fecha del 18 de agosto de 2006 presentado ante la Secretara de
Hacienda y Crdito Pblico (SHCP), las sociedades HF Banco Wal-Mart, S.A. de C.V,
Arrendadora de Centros Comerciales, S. de R.L. de C.V. y Banco Wal-Mart de Mxico,
S.A. de C.V. esta ltima controlada indirectamente por Wal Mart Stores Inc., empresa
constituida bajo las leyes de los Estados Unidos de Amrica- solicitaron a travs de su
representante legal, C. Jos Luis Rodrguez Macedo Rivera, que otorgue, de conformidad
con la Ley de Instituciones de Crdito, su autorizacin para la organizacin y operacin de
una institucin de banca mltiple, cuya denominacin sera Banco Wal-Mart de Mxico
Adelante, S.A..
Tras las comunicaciones pertinentes entre dichas entidades y la SHCP, y entre la SHCP y la
Comisin Nacional Bancaria y de Valores (CNBV) y el Banco de Mxico, quienes
expresaron sus opiniones a la SHCP en esta cuestin, la SHCP resolvi el da 22 de
noviembre de 2006, mediante resolucin publicada en el Diario Oficial de la Federacin,
dar la autorizacin correspondiente.
En esta resolucin, qued establecido que la autorizacin a que se refiere estaba sujeta a
una serie de condiciones que se incluyen en dicha resolucin. Dentro de esta resolucin,
destacan los resolutivos sexto, fraccin II, y sptimo. El resolutivo sexto, fraccin II,
establece la siguiente condicin: Banco Wal-Mart de Mxico Adelante, S.A deber contar
con la infraestructura, incluyendo personal, y los controles internos necesarios para realizar
sus operaciones, independientes de los que utilice Banco Wal-Mart de Mxico SA. De C.V.,
o sus negocios afiliados o vinculados, tales como sistemas operativos, informticos,
contables y de seguridad. Por su parte, el resolutivo sptimo se refiere a las visitas de
inspeccin que la CNBV podr practicar a la Institucin, para verificar entre otras
cuestiones las medidas de seguridad
Con el propsito cumplir con la legislacin aplicable en la materia y mantener los altos
estndares de calidad y el compromiso con sus clientes, mismos que siempre han
caracterizado a Banco Wal-Mart y sus empresas afiliadas, la Institucin, a travs del rea de
Seguridad de la Informacin, desarroll la presente Poltica General de Seguridad de la
Informacin, as como un conjunto de polticas, procedimientos, estndares y guas,
basndose en mejores prcticas y estndares de Seguridad de la Informacin
internacionales.

1. Estndares internacionales y regulaciones

La presente poltica general y normatividad que de ella se derivan toman en consideracin
las mejores prcticas y estndares internacionales, entre los que se encuentran aquellos
definidos por:
ISO/IEC 17799:2005
ISO/IEC 27001:2005
Control Objectives for Information and related Technology (COBIT)
Information Technology Infrastructure Library (ITIL)
Adelante
CONFIDENCIAL
Pgina 5 de 11
Programa de Seguridad de la Informacin, versin 1.16
Este documento no podr ser alterado y/o distribuido parcialmente y slo podr ser distribuido a personal autorizado

International Information Systems Security Certification Consortium [(ISC)2]

National Institute of Standards and Technology (NIST)
Common Criteria (CC)
Payment Card Industry Data Security Standard (PCI DSS)

As mismo, la presente poltica general y la normatividad que de ella se deriva se apegan a

las regulaciones y leyes aplicables, que incluyen pero no se limitan a:
Cdigo de Comercio
Disposiciones de Carcter General Aplicables a las Instituciones de Crdito
Ley de Instituciones de Crdito
Manual de Seguridad y Proteccin Tipo, emitido por la SHCP
Acuerdo Basilea II
Sarbanes-Oxley Act of 2002
Gramm-Leach-Bliley Act (GLBA)
Fair and Accurate Credit Transactions Act of 2003 (FACTA)
Health Insurance Portability and Accountability Act (HIPAA)

1.1.

Justificacin

La presente poltica general se fundamenta en la legislacin aplicable que regula aspectos

de Seguridad de la Informacin en instituciones bancarias, y en particular, en las siguientes
disposiciones que establecen como requerimiento la existencia de medidas de Seguridad de
la Informacin dentro de estas instituciones:
Artculo 96 de la Ley de Instituciones de Crdito
Artculo 12 de las Disposiciones de Carcter General Aplicables a las Instituciones
de Crdito

Adelante
CONFIDENCIAL
Pgina 6 de 11
Programa de Seguridad de la Informacin, versin 1.16
Este documento no podr ser alterado y/o distribuido parcialmente y slo podr ser distribuido a personal autorizado

Responsabilidades
Es responsabilidad del todo el personal de la Institucin cumplir con la presente poltica y
aquellas polticas, estndares y procedimientos derivados de la presente.
Las responsabilidades de los Usuarios Bancarios y entidades con las cuales la Institucin
mantiene alguna relacin, en lo relativo a esta poltica y normatividad derivada de la
misma, estarn indicadas en los contratos que stos celebren con la Institucin.
El rea encargada de la Seguridad de la Informacin dentro de la Institucin ser
responsable de disear, implementar y administrar controles para el cumplimiento con esta
poltica general y la normatividad que de ella se deriva, ya sea directamente o a travs de
terceros.

Adelante
CONFIDENCIAL
Pgina 7 de 11
Programa de Seguridad de la Informacin, versin 1.16
Este documento no podr ser alterado y/o distribuido parcialmente y slo podr ser distribuido a personal autorizado

Cumplimiento
El rea de Auditoria Interna, verificar la existencia de controles adecuados para el
cumplimiento de la presente poltica.
Las autoridades competentes y unidades administrativas internas correspondientes vigilarn
que esta poltica general, los controles implementados para su cumplimiento y la
normatividad que se deriva de la misma, se apeguen a los requerimientos legales en materia
de Seguridad de la Informacin para Instituciones Bancarias.

Adelante
CONFIDENCIAL
Pgina 8 de 11
Programa de Seguridad de la Informacin, versin 1.16
Este documento no podr ser alterado y/o distribuido parcialmente y slo podr ser distribuido a personal autorizado

Sanciones
Toda violacin a esta poltica general o a las polticas, estndares y procedimientos
derivados de la presente ser objeto de las sanciones determinadas por la ley vigente en la
materia as como los contratos y regulaciones internas que correspondan, los cuales
incluyen pero no se limitan a:
Contratos comerciales
Contratos laborales
Acuerdos de confidencialidad
Reglamentos y polticas internas
En los casos de violaciones a la legislacin local y/o federal, los responsables sern
acreedores de las sanciones que determinen las autoridades competentes con base en dicha
legislacin. Dichas leyes incluyen pero no se limitan a:
Cdigo Penal Federal
Leyes estatales
Ley de Instituciones de Crdito
Disposiciones de Carcter General Aplicables a las Instituciones de Crdito
Cdigo de Comercio

Adelante
CONFIDENCIAL
Pgina 9 de 11
Programa de Seguridad de la Informacin, versin 1.16
Este documento no podr ser alterado y/o distribuido parcialmente y slo podr ser distribuido a personal autorizado

Contenido
1. Sobre cuestiones generales

1.1.

1.2.

la Institucin aplicar medidas de Seguridad de la Informacin para proteger sus

intereses, el de sus Usuarios Bancarios y el de entidades con las cuales mantenga
relaciones, as como para cumplir con la legislacin aplicable.
la Institucin contar con un rea encargada de la administracin, operacin y
dems actividades relacionadas con la Seguridad de la Informacin.
la Institucin identificar y analizar y clasificar riesgos relativos a la seguridad de
la informacin, y aplicar medidas de seguridad para minimizar estos riesgos, de
acuerdo con su clasificacin.
la Institucin fomentar una cultura de Seguridad de la Informacin entre sus
Usuarios Bancarios, su personal y entidades con las cuales mantenga relaciones.
la Institucin requerir a sus proveedores y entidades con las cuales mantenga
alguna relacin, que intervengan en la operacin o procesamiento de informacin
bancaria, mantengan niveles de seguridad adecuados y cumplan con la legislacin
aplicable en la materia de no ser as aplicar las sanciones correspondientes.
la Institucin estandarizar el uso de trminos y definiciones que se ocupen dentro
de esta poltica y normatividad derivada de la misma, con el objetivo de evitar
ambigedad en su interpretacin y mantener congruencia con trminos utilizados
por la legislacin aplicable.

Sobre la informacin
Toda informacin en poder de la Institucin que est relacionada con su operacin
deber ser clasificada de acuerdo a su nivel de importancia para el negocio,
utilizando los criterios que marque la legislacin aplicable o en su defecto criterios
Institucionales.
Toda informacin en poder de la Institucin que est relacionada con su operacin
deber contar con medidas de seguridad que protejan su integridad,
confidencialidad, disponibilidad y autenticidad, siendo estas medidas congruentes
con la clasificacin y relevancia de la informacin.
Toda informacin confidencial de Usuarios Bancarios y otras entidades con las
cuales exista algn tipo de relacin, que est en poder de la Institucin, deber
protegerse adecuadamente y estar disponible en los trminos que marcan la ley y los
contratos y acuerdos correspondientes.
Toda informacin de los asociados que laboran en la Institucin deber estar
disponible slo para sus propietarios y para quienes les ha sido autorizado por la
Institucin, y sta slo deber ser utilizada para los fines que la Institucin autorice.

Sobre la operacin
la Institucin aplicar medidas de Seguridad de la Informacin con el propsito de
asegurar la continuidad de las operaciones.
Adelante
CONFIDENCIAL
Pgina 10 de 11
Programa de Seguridad de la Informacin, versin 1.16
Este documento no podr ser alterado y/o distribuido parcialmente y slo podr ser distribuido a personal autorizado

1.3.

la Institucin aplicar medidas de Seguridad de la Informacin para prevenir,

identificar, controlar y solucionar incidentes de Seguridad de la Informacin que
pudieran afectar la operacin, con base en lo que indiquen la legislacin vigente y
los anlisis de riesgos correspondientes.
la Institucin aplicar medidas de Seguridad de la Informacin que afecten lo menos
posible a su operacin, usando como criterios los ndices de disponibilidad
requeridos por la legislacin aplicable y normatividad interna.
la Institucin, dentro del mbito de su competencia, har lo posible para proteger la
integridad, disponibilidad, confidencialidad y autenticidad de las comunicaciones
que establezca con los Usuarios Bancarios y sean relevantes para la operacin.

Sobre los recursos informticos

Ningn recurso informtico propiedad de la Institucin deber ser utilizado para
propsitos distintos de los que la Institucin le ha definido.
Todo recurso informtico propiedad de la Institucin deber estar protegido de
manera adecuada para preservar la integridad, disponibilidad y confidencialidad de
sus funciones, de acuerdo a su importancia para la operacin de la Institucin.
El uso e ingreso de todo recurso informtico que no sea propiedad de la Institucin
en instalaciones de la mencionada Corporacin, deber estar controlado.

Adelante
CONFIDENCIAL
Pgina 11 de 11
Programa de Seguridad de la Informacin, versin 1.16
Este documento no podr ser alterado y/o distribuido parcialmente y slo podr ser distribuido a personal autorizado