Information Security Policy

Due to the increasing value of the data that we collect, store, process and share with our partners, it is a
high priority for Cafe Rio to protect such data. Information systems, as outlined below, include
computers, servers, firewalls, routers, cell phones, voice-mail, printers, POS terminals, recipes and
recipe monitors, security cameras, video recorders, and alarm systems.
This policy applies to all Cafe Rio employees and representatives. Cafe Rio may change or amend this
policy at any time.
1.
2.
3.
4.
5.

6.
7.

8.

9.

10.

Cafe Rio team members and representatives must not attempt to gain access to Information
Systems, data or network resources for which they have not been given proper authorization.
Access to Information Systems and media containing sensitive data, without authorization, is
prohibited.
Authorized Users of Information Systems must use and maintain a password. This password
must be unique to each user and may not be shared, and must be safeguarded from disclosure.
If an employee password is accidentally shared or compromised, the employee must
immediately notify their supervisor and request a new password.
Back of the House access in restaurants is restricted to the following individuals:
a. Current employees (identified by uniform, identification documents, or visually).
b. Authorized vendors with ID card and company uniform.
c. Authorized Guests (must have approval from Area Coach or above).
Information Systems must be kept in a physically secure area (Limited Access Area).
Access to the any Limited Access Area is restricted to the following individuals:
a. Current employees (identified by uniform, identification documents, or visually).
b. Authorized vendors with ID card and company uniform.
c. Authorized Guests (must have approval from Area Coach or above).
Personal devices, including cell phones, media recorders and players (MP3 players, iPods),
personal computers, media storage (USB sticks, flash memory) digital cameras etc., may NOT be
plugged into any Information System or device. Only authorized devices may be plugged into
USB ports.
Surveillance Cameras must monitor the entry and exit points of Cafe Rio Limited Access Areas.
Cameras must not be moved or adjusted except by the Cafe Rio IT Department and/or
authorized Cafe Rio representative.
Credit Card data may only be recorded electronically (It may NOT be written down or copied
under any circumstances) through the use of the POS system for payment purposes. Credit
Card Data includes the following:
a. Primary Account Number (Credit Card Number)
b. Cardholder Name
c. Card Expiration Date
Revised 6/2015

d. Service or Security Code (3 to 4 digit security code on card)

Note: Cafe Rio strictly forbids the transmission of Cardholder data via Email, Text, Instant
Messaging, Fax, etc. If you observe a team member, customer or other individual transmitting
Cardholder data, you must immediately notify your supervisor or an HR representative, or
contact the Cafe Rio Help Desk at (801) 441-5300 or helpdesk@caferio.com.
Note: Cafe Rio strictly forbids the use of devices for the manual recording of Credit Card Data.
Knuckle Busters may NOT be used in any restaurant at any time.
11. Software or Operating System changes may only be performed by the Cafe Rio IT Department
and/or authorized Cafe Rio representative.
12. Any Breach or potential threat to Information System security must be immediately reported to
the Cafe Rio Help Desk at (801) 441-5300 or helpdesk@caferio.com. Cafe Rio employees should
remain vigilant to any suspicious activity that might compromise security at any time.

Poltica de Seguridad de la Informacin

Debido al creciente valor de la informacin que recaudamos, almacenamos, procesamos y compartimos

con nuestros socios, para Cafe Rio es de la mayor importancia proteger dicha informacin. Los Sistemas
de informacin, detallados a continuacin, incluyen computadoras, servidores, firewalls, enrutadores,
telfonos celulares, correo de voz, impresoras, terminales de puntos de venta (PDV), recetas y
monitores de recetas, cmaras de seguridad, grabadoras de video y sistemas de alarmas.
Esta poltica se aplica a todos los empleados y representantes de Cafe Rio. Cafe Rio puede cambiar o
modificar esta poltica en cualquier momento.
1. Los socios de equipo y representantes de Cafe Rio no debern intentar tener acceso a los
Sistemas de informacin, a sus datos o a su red de recursos sin la apropiada autorizacin.
2. Est prohibido el acceso sin autorizacin a los Sistemas de informacin y a los medios que
contengan informacin confidencial.
3. Los usuarios autorizados de los Sistemas de informacin debern usar y conservar su
contrasea. Esta contrasea debe ser exclusiva para cada usuario, y est prohibido compartirla,
y debe ser protegida de la divulgacin.
4. Si la contrasea de un empleado se comparte o se pone en riesgo accidentalmente, el empleado
debe notificar inmediatamente a su supervisor y solicitar una nueva contrasea.
5. El acceso a la cocina en los restaurantes est restringido a los siguientes individuos:
a. Empleados actuales (identificados por su uniforme, sus documentos de identificacin o
visualmente).
Revised 6/2015

6.
7.

8.

9.

10.

b. Proveedores autorizados con tarjeta de identificacin y uniforme de la compaa.

c. Invitados autorizados (debern obtener una autorizacin del entrenador del mercado o
una persona de cargo superior).
Los Sistemas de informacin de Cafe Rio se debern mantener en un rea fsicamente segura
(rea de acceso restringido).
El acceso al rea de acceso restringido se limita a los siguientes individuos:
a. Empleados actuales (identificados por el uniforme, documentos de identidad o
visualmente).
b. Representantes autorizados con tarjeta de identificacin y uniforme de la compaa.
c. Invitados autorizados (debern obtener una autorizacin del entrenador del mercado o
una persona de cargo superior).
Est prohibido conectar dispositivos personales, incluyendo telfonos celulares, reproductores y
grabadoras de medios (reproductores de MP3, iPods), computadores personales, unidades de
almacenamiento (dispositivo de almacenamiento USB, memorias flash), cmaras digitales, etc. a
dispositivos o Sistemas de informacin de la compaa. Solamente los dispositivos autorizados
se podrn conectar a los puertos USB.
Las cmaras de vigilancia debern supervisar los puntos de entrada y salida a las reas de
acceso limitado de Cafe Rio.. Las cmaras no se debern mover o ajustar, excepto por el
departamento de TI (tecnologa de la informacin) y/o representados autorizados de Cafe Rio.
Los datos de tarjeta de crdito, con el objeto de realizar pagos, solamente se pueden grabar
electrnicamente mediante el uso del sistema de PDV (NO se pueden escribir o copiar en
ninguna circunstancia). Los datos de la tarjeta de crdito incluyen los siguientes:
a. Nmero de cuenta principal (Nmero de la tarjeta de crdito).
b. Nombre del titular de la tarjeta.
c. Fecha de vencimiento de la tarjeta.
d. Cdigo de servicio o de seguridad (cdigo de seguridad de 3 a 4 dgitos que figura en la
tarjeta).
Nota: Cafe Rio prohbe estrictamente la transmisin de la informacin del titular de la tarjeta
mediante correo electrnico, mensajes de texto, servicios de mensajera, tele facsmil, etc. Si
usted observa un socio de equipo, cliente u otro individual transmitiendo informacin del
titular de la tarjeta, usted debe notificar inmediatamente a su supervisor o un representante
del Departamento de Recursos Humanos, o el Departamento de TI llamando al (801) 441-5300
o helpdesk@caferio.com.
Nota: Cafe Rio prohbe estrictamente el uso de dispositivos para el registro manual de los
datos de la tarjeta de crdito. Mquinas manuales para cobrar tarjetas de crdito o
terminales porttiles NO se pueden usar jams en ninguno de los restaurantes.

11. Solamente los representantes autorizados de Cafe Rio y/o empleados del Departamento de TI
podrn realizar cambios al software/programas o al sistema operativo.
Revised 6/2015

12. Cualquier violacin o amenaza potencial al Sistema de seguridad se deber informar de

inmediato al Departamento de TI llamando al (801) 441-5300 o enviando un correo electrnico
a helpdesk@caferio.com. Usted deber permanecer vigilante a cualquier actividad sospechosa
que en cualquier momento podra poner en riesgo nuestra seguridad.

I have received a copy of Cafe Rios Information Security Policy and I have read and understand the
policy. I agree to observe the terms and conditions of this policy.
Recib una copia de la Poltica de seguridad de la informacin de Cafe Rio y he ledo y comprendido la
poltica. Acepto cumplir con los trminos y condiciones de esta poltica.

Signed Name/Firma: _____________________________________________________________

Printed Name/Nombre con letra de imprenta: ________________________________________

Date/Fecha: ____________________________________________________________________

Revised 6/2015