POLITICA DE SEGURIDAD DE LA

INFORMACIÓN
Número: Tratamiento de la Información Fecha inicial: 19-11-2018
Nombre: Modificación:

Tabla de Contenidos

1 OBJETIVO ........................................................................................................................................................ 2

2 ALCANCE ......................................................................................................................................................... 2

3 RESPONSABILIDADES ................................................................................................................................. 2

4 DEFINICIONES ............................................................................................................................................... 2

4.1 Informacion ....................................................................................................................................................... 2

4.2 Responsable ....................................................................................................................................................... 2

4.3 Tipos de Información ........................................................................................................................................ 2

4.4 Titular de los datos ............................................................................................................................................ 3

4.5 Datos Sensibles .................................................................................................................................................. 3

4.6 Organismo de control ....................................................................................................................................... 3

4.7 Terceros ............................................................................................................................................................. 3

5 DISPOSICIONES ............................................................................................................................................. 3

5.1 Identificación de riesgos de la información ..................................................................................................... 4

5.2 Responsabilidad de la información .................................................................................................................. 4

5.3 Establecimiento de restricciones de acceso a la información ......................................................................... 4

6 REFERENCIAS ................................................................................................................................................ 5

7 HISTORIAL DE REVISIONES ...................................................................................................................... 6

Versión 1.0 Página 1 de 8

 POLITICA DE SEGURIDAD DE LA
INFORMACIÓN
Número: Tratamiento de la Información Fecha inicial: 19-11-2018
Nombre: Modificación:

1 OBJETIVO
El objetivo de la presente política es definir las pautas generales para identificar y clasificar datos e
información en todas sus formas, medios y estado, de acuerdo con su sensibilidad, criticidad y riesgo
devenidos de su exposición a personas/partes no autorizadas.

2 ALCANCE
Toda la información perteneciente a la empresa de seguros su alcance será el siguiente
 Todo dato o información relativa en forma directa o indirecta a las actividades de la Compañía,
independientemente de su estado y naturaleza, que se encuentre almacenada, en procesamiento
o en tránsito en activos de la Compañía o dentro de su ámbito de operación.

 Todo dato o información relativa en forma directa o indirecta a las actividad de la Compañía,
independientemente de su estado y naturaleza, que se encuentre almacenada, en procesamiento
o en tránsito en activos no pertenecientes a la Compañía, pero sí a sus empleados.

3 RESPONSABILIDADES
Es responsabilidad de la Gerencia de la compañía, Seguridad de la información y encargado del área de
sistemas de la compañía realizar una revisión de la política anualmente para incluir las mejoras que al
caso hubiese.
La empresa de seguros considera el incumplimiento de esta política como una falta seria, que puede dar
lugar a la aplicación de medidas disciplinarias, las mismas deben ser establecidas de acuerdo a la
gravedad del caso.
Todos los usuarios deben confirmar su adhesión a la política de Seguridad Informática y reportar cualquier
violación real o presumida, que se haya notado. En tal sentido cada usuario es responsable de dar aviso
a su superior inmediato ante cualquier ocurrencia o practica que no cumpla con las pautas, controles
implementados o procedimientos formalizados o no, inherentes a la seguridad.
Cabe destacar finalmente, que el presente documento, es de uso interno y exclusivo de la empresa, por
tal motivo el mismo no debe ser reproducido y distribuido fuera de la compañía.

4 DEFINICIONES

4.1 Informacion
Todo dato relacionado con los negocios de la compañía, cualquiera sea su forma, medio de comunicación
y/ o conservación, incluyendo:
 Contenido de formularios/ comprobantes propios y/o de terceros
 Datos contenidos en los sistemas y/o reportes impresos
 Datos contenidos en otros soportes magnéticos móviles y/o fijos
 Datos transmitidos vía oral

4.2 Responsable
Es la persona con “propiedad” sobre los datos del área. Se materializa en la figura del Gerente y
empleados de cada una de las diferentes áreas de las empresas.

4.3 Tipos de Información

Versión 1.0 Página 2 de 8
 POLITICA DE SEGURIDAD DE LA
INFORMACIÓN
Número: Tratamiento de la Información Fecha inicial: 19-11-2018
Nombre: Modificación:
Son los niveles estándares de clasificación de seguridad de información.

Se definen 4 niveles:

4.3.1 Nivel 0 – Público

Incluye toda aquella información que no posee asociado un riesgo significativo para la compañía.
Por ejemplo: información publicada en el sitio WEB de Internet, notas periodísticas, etc.

4.3.2 Nivel 1 – Interno

Incluye toda aquella información que se utiliza en las actividades laborales del día a día y que
puede tener asociados riesgos mínimos para la compañía. Por ejemplo: información publicada en
la Intranet, en carteleras, etc.

4.3.3 Nivel 2 – Confidencial

Incluye toda aquella información que puede presentar riesgos para la compañía, y cuyo acceso
debe ser expresamente autorizado por el responsable y restringido a un grupo reducido de
usuarios que la necesite para el desarrollo de sus tareas habituales. Por ejemplo: Base de datos
de RRHH, Informes de contabilidad y otro tipo de información crítica, etc.

4.3.4 Nivel 3 – Estrictamente Confidencial

Incluye toda aquella información que puede presentar riesgos importantes para la Compañía. Por
ejemplo: Planes de ventas, inversiones, clientes asegurados, montos asegurados etc.

4.4 Titular de los datos

Para la Ley de Habeas Data es la persona cuyos datos figuren en los archivos o bases de datos.

4.5 Datos Sensibles

Data son todos los datos personales que revelan origen racial y étnico, opiniones políticas, convicciones
religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.

4.6 Organismo de control

Data se define a la Dirección Nacional de Protección de Datos Personales dependiente de la Secretaría
de Justicia y Asuntos Legislativos del Ministerio de Justicia y Derechos Humanos de la Nación como
órgano de control de la ley.

4.7 Terceros
Se entiende por terceros a contratistas, proveedores, clientes, consultores, pasantes y todo el
personal que no forma parte de la nómina de empleados de la Compañía pero que interactúe con
ella.

5 DISPOSICIONES

Versión 1.0 Página 3 de 8

 POLITICA DE SEGURIDAD DE LA
INFORMACIÓN
Número: Tratamiento de la Información Fecha inicial: 19-11-2018
Nombre: Modificación:

5.1 Identificación de riesgos de la información

El RESPONSABLE DE LA INFORMACIÓN debe identificar los riesgos a los que está expuesta su
información, teniendo en cuenta la posibilidad de que personal interno involucrados realicen:
 Divulgación no autorizada
 Modificación indebida
 Destrucción de los soportes

5.2 Responsabilidad de la información

La responsabilidad de los datos no puede ser delegada. Sin embargo, el RESPONSABLE DE LA
INFORMACIÓN puede asignar un colaborador del área, ésta figura se define en el DELEGADO, quien
puede llevar a cabo las tareas operativas de administración y control de las medidas de seguridad
correspondiente a su operación; aunque la responsabilidad final sobre la información del área siempre
corresponde al RESPONSABLE DE LA INFORMACIÓN.

5.3 Establecimiento de restricciones de acceso a la información

Cada tipo de información debe contar con restricciones para su acceso:

5.4.1 Nivel 0 – Público

No es necesario establecer restricciones especiales, más allá de las recomendaciones sobre su
buen uso y conservación.

5.4.2 Nivel 1 – Interno

Se deben cumplir con las siguientes consideraciones:

5.4.2.1 Autorización
Los USUARIOS a los que, por la naturaleza de su trabajo, se les permita el acceso a esta
información, deben estar expresamente autorizados por los correspondientes
RESPONSABLES DE LA INFORMACIÓN.
El RESPONSABLE DE LA INFORMACIÓN debe definir los tipos de permisos para que los
usuarios puedan acceder a la información, ya sea de lectura, modificación y/o eliminación.

5.4.2.2 Conservación
Se deben implementar políticas de "escritorios limpios", conservando todo documento
impreso bajo llave, según lo definido en la Norma de Seguridad Física.

5.4.2.3 Rotulación
Cuando se utilicen medios removibles (disco, cinta, CD, pendrive, etc.) para almacenar o
transportar información, se deben rotular debidamente para indicar el nivel de sensibilidad de
su contenido (Confidencial, Estrictamente confidencial, etc.).

5.4.3 Nivel 2 – Confidencial

Además de cumplir con las consideraciones de los niveles anteriores, también se deben cumplir
con las siguientes:

5.4.3.1 Autorización
El RESPONSABLE DE LA INFORMACIÓN debe autorizar expresamente el uso de esta
información con propósitos de prueba en el desarrollo y/ o mantenimiento de sistemas.

5.4.3.2 Conservación
Versión 1.0 Página 4 de 8
 POLITICA DE SEGURIDAD DE LA
INFORMACIÓN
Número: Tratamiento de la Información Fecha inicial: 19-11-2018
Nombre: Modificación:
Este tipo de información no debe conservarse en los equipos de procesamiento individuales
sino exclusivamente en los equipos de procesamiento centralizados (servidores). Además,
debe incluirse en los procesos habituales de generación de copias de respaldo y planes de
recuperación del procesamiento.

5.4.3.3 Envíos
Se debe asegurar la existencia de controles sobre la integridad, exactitud, confidencialidad e
inviolabilidad de los datos transmitidos electrónicamente, que aseguren la correcta recepción
del envío por parte del destinatario.

5.4.3.4 Impresión
Se debe evitar la impresión de documentos más allá de lo imprescindible para efectuar las
tareas diarias y en lo posible a través de impresoras/ colas de impresión de acceso restringido.

5.4.3.5 Destrucción
Se debe destruir toda la información y sus correspondientes soportes lógicos y/ o físicos
cuando se considere en desuso, teniéndose en consideración los requerimientos legales.

5.4.3.6 Pérdida de información

Cuando se sospeche que haya habido pérdida de información, o divulgación a TERCERAS
PARTES no autorizadas, debe ser comunicado de inmediato al RESPONSABLE DE LA
INFORMACIÓN correspondiente.

5.4.4 Nivel 3 – Estrictamente Confidencial

Además de regirse por las consideraciones de los otros niveles inferiores, se deben cumplir con
las siguientes consideraciones expresas:

5.4.4.1 Encripción
Deben ser encriptados todos los archivos de datos sensibles, tanto de producción como de
cualquier otro ambiente, en cualquiera de las siguientes situaciones:
 Procesamiento diario
 Conservación en los Sistemas
 Transmisión electrónica a través de redes
 Generación de copias de respaldo
 Conservación en logs de eventos

5.4.4.2 Autorización
No está permitido su uso para propósitos de prueba en los desarrollos y/o implementaciones
de sistemas, salvo expresa autorización del RESPONSABLE DE LA INFORMACIÓN y cuando
la situación lo justifique.

5.4.4.3 Impresión
Para los reportes conteniendo información estrictamente confidencial se deben utilizar
impresoras dedicadas y de acceso físico restringido sólo a los usuarios autorizados.

5.4.4.4 Destrucción
Para la destrucción de los soportes impresos se deben utilizar trituradoras de papel. En el
caso que el soporte sea digital, el mismo se debe destruir tanto lógica como físicamente.

6 REFERENCIAS
Norma de Seguridad Física
Versión 1.0 Página 5 de 8
 POLITICA DE SEGURIDAD DE LA
INFORMACIÓN
Número: Tratamiento de la Información Fecha inicial: 19-11-2018
Nombre: Modificación:

7 HISTORIAL DE REVISIONES
Versión Fecha Autor Modificaciones
1.0 2019-11-18 Fernando Versión inicial.
Castro

Aprobaciones:

Gerente de Calidad Seguridad Informática y Software

XX-XX-XXX
Factory
Gerente de Sistemas XX-XX-XXX
Comité de Seguridad Informática XX-XX-XXX

Versión 1.0 Página 6 de 8