4147.010.29.

01

Administración de Riesgos de Operación

Políticas
Políticas Generales de Seguridad de la Información
Fecha de Vigencia: 16/07/2021
Fecha de Publicación: 15/07/2021

Derogó a la Norma 4207.010.27

1. Declaración Institucional
La información es un activo de gran importancia para el Banco de Crédito del Perú (en adelante BCP). Es
así que los recursos necesarios para la protección de información serán asignados de manera costo-
eficiente de acuerdo a su valor. Toda información propiedad del BCP está considerada por esta política,
independiente de su ubicación (almacenada o en tránsito) o su forma (físicamente escrita en papel,
almacenada en medio electrónico o hablada). La información propietaria del Banco de Crédito BCP sólo
se usará para servir las necesidades del negocio en interés del Banco y de nuestros clientes en el curso
de operaciones normales.

El propósito de esta Política de Seguridad de la Información no es imponer restricciones que vayan en

contra de la cultura de ética corporativa, la apertura, la honestidad, la confianza, la integridad y la equidad.
Establece las directivas y requerimientos necesarios para implementar un razonable nivel de protección
de la información, plataformas, sistemas de información y aplicativos informáticos dentro del Banco,
restringiendo el acceso, modificación y/o divulgación no autorizada de los activos de información, que
podrían afectar las operaciones y oportunidades de negocios de la organización.

2. Alcance
 La política de Seguridad de la Información del BCP, se encuentra alineada con la Norma Internacional
ISO 27001:2013 y la Política General de Ciberseguridad.
 Indicar el carácter universal de esta política para cada una de las partes interesadas, colaboradores
del Banco, trabajadores externos y proveedores de servicios que acceden a la información y recursos
del Banco.
 Incluye toda aquella información de propiedad del BCP producida para servir a sus procesos de
negocio. Del mismo modo incluye toda aquella información producida por terceros a pedido del BCP.
 La política de Seguridad de la Información del BCP tiene como alcance a los Datos, Documentos
digitales (DD), Documentos Físicos (DF), Aplicaciones TI y no TI.
 Se consideran como aplicaciones TI y No TI: Aplicaciones Stand Alone, Aplicaciones Móviles,
Aplicaciones en Cloud y Aplicaciones Web.

3. Objetivos
Establecer un marco referencial sobre el cual se administren de manera segura los activos de información
propiedad del BCP, que garantice la administración de activos de información con el mínimo de exposición
al riesgo aceptado por los Propietarios de Información.

La presente Política está diseñada y concebida para cumplir los requisitos de Seguridad de Información,
así como el cumplimiento de las leyes, regulaciones y normativas vigentes.

-1-
4. Lineamientos Generales
4.1. Características de la Seguridad de la Información
a) Para garantizar un adecuado Marco de Seguridad de la Información y su capacidad para lograr
resultados se debe tener en cuenta:
Aspectos y/o amenazas externas:

 La protección contra ataques cibernéticos

 La revisión y evaluación de servicios estratégicos o de alto riesgo subcontratados que
involucren custodia, procesamiento y/o almacenamiento de información de uso restringido.
 Prevención y contingencia ante desastres naturales.
 La protección de la información contra accesos externos no autorizados.

Aspectos y/o amenazas internas:

 La protección de la información contra accesos no autorizados.

 La protección contra la modificación no autorizada de información durante su procesamiento,
almacenamiento o transmisión.
 La protección contra la negación de servicio a usuarios autorizados o prestación de servicios
a usuarios no autorizados, incluyendo las medidas necesarias para la detección,
documentación y registro de tales amenazas.
 La protección de la privacidad de la información personal de los clientes
b) Todo personal del Banco y trabajadores externos que tengan acceso a la información y recursos
del Banco, son responsables de cumplir con las normas y políticas de seguridad de la información.

c) Toda información es propiedad de cada empresa del Grupo Crédito y subsidiarias Credicorp (en
adelante como Grupo Credicorp), independientemente del medio en la que ésta se almacene, y
por lo tanto debe ser protegida de modificación, eliminación y conocimiento por personas ajenas a
la organización o a las funciones asignadas. Incluso la información que se transmite por voz, cuyo
medio de transmisión es el aire, debe ser protegida manteniendo su integridad, confidencialidad y
privacidad.

4.2. Políticas Generales de Administración

a) Todos los activos definidos en esta Política deben tener un líder usuario o usuario propietario
(OWNER) quien será el responsable de cumplir los lineamientos dispuestos en la Política y Marco
de Seguridad de la Información relacionadas a ese activo de información en particular.
b) Los líderes usuarios o usuarios propietarios tienen la responsabilidad de determinar cómo serán
administrados los activos de información bajo su responsabilidad.
c) Los líderes usuarios o usuarios propietarios son responsables de la clasificación y gestión de los
riesgos del activo bajo su responsabilidad.
d) La administración de seguridad debe ser auditada y revisada para asegurar que los procesos a su
cargo se realicen de manera eficiente y efectiva.
e) La política “4207.010.27 Políticas Generales de Seguridad de la Información”, debe ser revisada
de forma anual o actualizarse según sea necesario, de manera que refleje los cambios en los
objetivos de la empresa o el entorno de riesgos.

5. Marco Metodológico
La política, normas y procedimientos de seguridad de la información se desarrollan para garantizar el nivel
de seguridad definido para los recursos de información. A continuación, se describen los 11 dominios para
contar con un proceso definido y formal para evaluar, implementar, mantener y administrar la Seguridad
de Información.

-2-
5.1. Políticas de Seguridad
a) Objetivos:
- Proporcionar dirección y apoyo gerencial para brindar seguridad de la información.
- El nivel gerencial debe establecer una dirección política clara y demostrar apoyo y compromiso
con respecto a la seguridad de la información mediante la formulación y mantenimiento de una
política de seguridad de la información a través de toda la organización.

b) Como condición a las políticas de seguridad, éstas deben ser aprobadas por funcionarios de
gerencia y del mismo modo comunicarlo a todos los colaboradores de manera pertinente, accesible
y comprensible.

c) Las políticas de seguridad deben incluir:

- Definición conceptual, objetivos y alcance generales de seguridad.
- Apoyo expreso a la dirección.
- Breve explicación de los valores de seguridad de la organización.
- Referencias a documentos que puedan respaldar la política.

5.2. Organización de Seguridad

a) Objetivos

- Establecer un marco gerencial para iniciar y controlar la implementación.

- Establecer adecuados foros de gestión de seguridad y responsabilidades para cada usuario en la
organización.
- Establecer una fuente de asesoramiento especializado en materia de seguridad y contactos con
organizaciones externas.

b) Los foros de gestión deben aprobar la política de seguridad de información, asignar funciones de
seguridad, actualizarse ante cambios, coordinar implementación, definir metodologías y procesos
específicos de seguridad, monitorear incidentes de seguridad, liderar proceso de concientización
de usuarios.

c) La organización de seguridad debe contemplar un enfoque multidisciplinario para garantizar su

éxito.

5.3. Seguridad de los Recursos Humanos

a) Para una adecuada gestión de la seguridad de los Recursos Humanos:
- La empresa debe definir puestos de trabajo y la asignación de recursos para reducir el riesgo de
error humano, fraude, robo o uso indebido de las instalaciones.
- La empresa debe contar con adecuados controles de verificación para la selección de personal
(Certificados de Buena conducta, comprobación adecuada de identidad, verificación de la
veracidad del currículo, revisión de patrimonio si el empleado accede a información sensible).
- Se debe capacitar apropiadamente al empleado en sus funciones y responsabilidades.
- Se debe llevar a cabo programas de capacitación en temas de seguridad de información.
- Se incorporará el Programa de Capacitación de Seguridad de la Información en el Plan de
Capacitación del Banco, que se desarrollará mediante la programación anual de cursos; de
acuerdo con procedimientos aceptados y empleados por la Gerencia Gestión del Aprendizaje.

-3-
 - El Programa de Capacitación de Seguridad de la Información comprenderá un conjunto de
acciones que permitirán:
o Generar en los colaboradores del Banco desde el más alto nivel de dirección hasta los
colaboradores temporales, una conciencia de seguridad y lograr su efectiva colaboración
en el uso adecuado de los Sistemas y la protección de los activos de información de la
institución.
o Mantener actualizados a los colaboradores con relación a las políticas, normas,
procedimientos y estándares de Seguridad de la Información de la organización y las
razones para ser utilizadas.
- Se deberá desarrollar permanentemente acciones de actualización al personal del Banco en
Seguridad de la Información, cuyos objetivos son:
o Identificar las responsabilidades de cada empleado para el aseguramiento de los activos
de información.
o Proporcionar conocimientos en Seguridad de la Información a los colaboradores para la
buena toma de decisiones.
- El Programa de Capacitación de Seguridad de la Información deberá asegurar que los
colaboradores y terceros entiendan sus responsabilidades con respecto a la seguridad de la
información.
- Se debe determinar los tipos de incumplimiento y la respectiva sanción legal y/o administrativa.
- La empresa debe implementar procedimientos definidos en caso de cese del personal, que incluye
aspectos como la revocación de los derechos de acceso y la devolución de activos de la
información (Formato de Devolución de activos). Política Desvinculación del personal
(5014.926.02)

5.4. Administración de Activos

a) Para una adecuada gestión de activos:
- Se debe mantener una adecuada protección de los activos de información de la organización.
- Se debe identificar los activos de información y asignarles un Propietario de Información.
- Se debe garantizar que los activos de información reciban el nivel adecuado de protección de
acuerdo con su clasificación.
- Los activos se priorizan para la protección en función de la clasificación de los datos que utiliza.
- Se debe identificar principales riesgos, amenazas y vulnerabilidades asociadas.

5.4.1. Políticas Generales de Clasificación de Recursos

a) El objetivo es definir un método de clasificación de los Activos de Información del BCP, para su
protección frente a pérdida, divulgación no autorizada o cualquier otra forma de uso indebido, ya
sea de modo accidental o intencionado.
b) Es responsabilidad del owner o dueño del activo de información asegurar la gestión e inventariado
de sus datos, documentos físicos, documentos digitales, aplicativos informáticos dentro y fuera de
la custodia de la División de Sistemas (APPIT, APP Táctica y User IT respectivamente).
c) Todos los colaboradores son responsables de clasificar sus datos asegurando la confidencialidad,
integridad y disponibilidad. Entiéndase como dato a todos los elementos de datos con valor para
la organización independiente de su formato y considerando su agregación (4180.223.01 - Política
de Clasificación de Datos).
d) Además, todo recurso o información agregada debe heredar la clasificación de los datos que
contiene.
e) Todo Activo definido en esta Política, debe tener un Owner (líder usuario, usuario propietario o
gerente de la unidad de negocios que administra un servicio o producto bancario).
f) Los líderes usuarios o usuarios propietarios determinarán los requerimientos de confidencialidad,
integridad, disponibilidad requerida para los recursos bajo su propiedad, en función a la
importancia de la información y de los riesgos a los cuales está expuesto.
g) La información adopta muchas formas, tanto en los sistemas como fuera de ellos. Puede ser:
 Almacenada, en los sistemas o en medios portables;

-4-
  Transmitida, a través de redes o entre sistemas;
 Impresa o escrita, en papel o hablada en conversaciones.
h) Las consideraciones de seguridad que se deben tener presente para clasificar la información son
las siguientes, de acuerdo con la 4180.223.01 - Política de Clasificación de Datos y la 4085.223.03
Norma de Clasificación de datos y activos de información y la 4085.223.02 Inventario de Datos y
Activos de Información

 Disponibilidad: Asegurar el acceso y uso de información en el momento necesario. Una

pérdida de disponibilidad es la disrupción de los sistemas.
 Confidencialidad: Preservar restricciones de autorización en el acceso a la información y
divulgación. Proteger la privacidad y propiedad intelectual de la información. La pérdida de
confidencialidad representa la exposición no autorizada de información.
 Integridad: Propiedad que salvaguarda la modificación o eliminación no autorizada de
información asegurando el “No repudio” y la autenticidad.

i) De acuerdo con estas consideraciones y la 4180.223.01 - Política de Clasificación de Datos, y la

la 4085.223.03 Norma de Clasificación de datos y activos de información y la 4085.223.02
Inventario de Datos y Activos de Información la información se clasifica en:

 Público: Data que no posee riesgo si se expone fuera de la organización o si se corrompe o

se pierde. Impacto Potencial bajo en las categorías de Seguridad, no genera pérdidas
financieras, legal o de negocio.
 Uso Interno: Si se pierde, corrompe o se divulga sin autorización es solo de importancia dentro
de la organización. No resultaría en una pérdida financiera, legal o de negocio tangible.
 Restringido: Si se pierde, corrompe o se divulga sin autorización produce un daño serio para
la reputación y/o posición de negocio de la organización. Resulta en una severa pérdida
financiera, legal o reputacional.

5.4.2. Políticas Generales de Acceso a Recursos

a) Es responsabilidad del owner o dueño del activo de información asegurar que sus activos
restringidos reciban un nivel de protección apropiado.
b) Todo acceso a los activos de información deberá estar protegido con mecanismos de control de
acceso.En caso de pérdida, asalto o robo de documentos con información de clientes o
colaboradores BCP, se deberá denunciar el hecho a las instancias correspondientes, indicando la
relación de clientes/colaboradores afectados.
c) En caso de que un proveedor sea víctima de robo, asalto o algún siniestro que en consecuencia
se pierda información de clientes o colaboradores BCP, el hecho debe ser denunciado, por el
mismo proveedor, a las instancias correspondientes; indicando la relación de
clientes/colaboradores afectados. Asimismo, deberá comunicar el hecho de forma inmediata a la
Unidad Usuaria BCP. Esto último, debe quedar especificado en una cláusula en el contrato con
dicho proveedor.

5.4.3. Políticas Generales de Evaluación y Tratamiento de Riesgo

a) Las Políticas Generales de Administración de Riesgos, establecen los procedimientos que rigen
la administración de riesgos en el BCP; entendiéndose por esta como el proceso de identificar,
medir, tratar, controlar y reportar los distintos tipos de riesgos que enfrenta el BCP, incluidos los
riesgos de Seguridad de Información.
b) Las Políticas Generales de Administración de Riesgos, son de aplicación integral a todo el BCP,
así como al personal externo que tengan acceso a la información y recursos del BCP.
c) La Política General de Administración de Riesgos de Operación (4202.101.01), establecen los
lineamientos generales para la administración del Riesgo de Operación.

-5-
d) Todo el personal del Banco y trabajadores externos deben conocer los criterios para poder
identificar los riesgos a los cuales se encuentran expuestos los documentos digitales, y aplicativos
informáticos dentro y fuera de la custodia de la División de Sistemas (APPIT, APP Táctica y User
IT respectivamente).
e) Todo el personal del Banco y trabajadores externos deben conocer los criterios para poder
identificar los riesgos a los cuales se encuentran expuestos los documentos físicos.
f) Todo el personal del Banco y trabajadores externos deben conocer la normativa vigente respecto
del Marco de Gobierno de Seguridad de la Información, así como cada una de sus
responsabilidades para el tratamiento de los riesgos.

5.4.4. Políticas Generales de Propiedad y uso de Recursos

De los Datos

De acuerdo con la 4180.223.01 - Política de Clasificación de Datos:

a) Todo dato con valor para la organización debe ser Inventariado y categorizado según los dominios
de información definidos por la Unidad de Gobierno de Información.
b) Todo dato con valor para la organización debe tener un Dueño responsable de garantizar las
propiedades de Seguridad (Confidencialidad, integridad y disponibilidad).

Para garantizar la eliminación segura de la información que no permita que tanto la información
lógica como física sea recuperada, deben seguirse los requisitos descritos en la 4180.223.03 -
Política de Borrado Seguro de Información y a la Política 4088.011.01 Destrucción de
Documentos

De las Aplicaciones

a) Todas las aplicaciones enmarcadas en la presente Política deben contemplar los requisitos
descritos en la 4180.650.01 - Política de Registros de Auditoría para una adecuada generación
de registros de auditoría que contengan información necesaria para identificar incidentes de
seguridad, violación de políticas, actividades fraudulentas, problemas de operación y eventos
críticos que permitan realizar un análisis forense (investigación por algún incidente).
b) Las Unidades de negocio que contraten servicios SaaS, PaaS e IaaS, deben seguir los requisitos
descritos en las 4180.244.01 - Políticas de Seguridad SaaS, 4180.244.02 – Políticas de Seguridad
para PaaS y 4180.244.03 – Políticas de Seguridad para IaaS respectivamente.
c) Las evaluaciones de riesgos de ciberseguridad a las aplicaciones desplegadas en producción
deben realizarse a través de las programaciones anuales: PAAERO (ARO) y a demanda. De
manera continua en cada cambio que se genere en los squads.
d) Toda aplicación debe ubicar sus componentes en segmentos de red seguro de acuerdo con la
Política de Seguridad de la red.
e) Toda aplicación clasificada como Restringida debe contar con un proceso de respaldo de acuerdo
con la 4180.223.04 - Política de Respaldo y Retención de Información

De los Usuarios

a) La responsabilidad del cumplimiento de las Normas es de todos los colaboradores, pero

especialmente del personal directivo que tiene bajo su responsabilidad como empleado la
coordinación y supervisión de todos los colaboradores a los que dirige.
b) Todos los usuarios de información, proveedores y otros individuos con acceso a información de
identificación individual deben mantener la privacidad de esta información constantemente.
c) Es responsabilidad del Banco hacia sus clientes, colaboradores, proveedores y socios de negocios
el mantener la privacidad de la información personal confidencial utilizada para el desarrollo del
negocio.

-6-
d) Todos los colaboradores deben seguir los requisitos especificados en la sección 4.1 Uso Aceptable
y Propiedad de la Información y 4.2 Seguridad Informática sobre la Información Propietaria, de la
4180.223.02 - Política de Uso Aceptable de Recursos Informáticos e Información.
e) Todos los colaboradores deben tomar en cuenta las actividades restrictivas sobre los Sistemas,
Red, Email, Comunicaciones, Redes Sociales, Mensajería Instantánea y dispositivos móviles
enmarcados en la 4180.223.02 - Política de Uso Aceptable de Recursos Informáticos e
Información.
f) Todos los colaboradores que tienen o son responsables de una cuenta, deben seguir los requisitos
descritos en la 4180.225.02 - Política de Gestión de Credenciales para una correcta gestión de
contraseñas.
g) Para traslados de documentos físicos al interior del Banco, se debe implementar la “Norma para
el envío o traslado de DF (al interior del BCP)”. (4075.011.02). El traslado externo de documentos
(fuera del BCP), debe efectuarse mediante procedimientos formales implementados por el Banco
(Norma Envío de Documentos Restringidos y valorados a clientes generados por las distintas
áreas y Sucursales de Lima Metropolitana y Callao 4035.011.07
h) El personal del Banco y trabajadores externos que se encuentren dentro de una instalación del
Banco, serán responsables de cumplir con los siguientes lineamientos:
- Mientras un documento físico (DF) no esté siendo utilizado, éste debe de permanecer
guardado bajo llave en el archivador (credenza, cajonera, armarios, entre otros) o sala de
archivo según corresponda.
- Mantener el escritorio y ambiente de trabajo, libre de documentos físicos (DF) durante
ausencia del personal.
- Los archivadores (credenza, cajonera, armario, entre otros) del ambiente de trabajo o del
escritorio, los archivadores y salas de archivos deben permanecer cerrados bajo llave
durante reuniones, al término de la jornada laboral o en otros tiempos prolongados de
ausencia del personal.

5.5. Sistema de Control de Accesos

a) Los procesos de autenticación y de autorización son dos procesos que todo sistema de información
debe tener, siempre que se deba controlar el acceso a la información y la ejecución de
determinados procesos relacionados (4180.225.01 - Política de Autenticación y Autorización).
b) Todos los tipos de aplicaciones enmarcadas en la presente Política deben seguir, de acuerdo con
su clasificación, los requisitos para autorización y autenticación de la 4180.225.01 - Política de
Autenticación y Autorización.
c) Así mismo, todos los tipos de aplicaciones enmarcadas en la presente Política, que almacenan y/o
procesan información, deben seguir los requisitos de la 4180.225.04 - Política de Control de
Accesos para garantizar la confidencialidad, integridad y disponibilidad de los datos de la
organización.
d) Además, como parte de la gestión de control de accesos se deben realizar las siguientes
actividades:
- Controlar el acceso a información.
- Impedir el acceso no autorizado a los sistemas de información.
- Definir apropiados mecanismos de autenticación para conexiones externas.
- Definir los apropiados mecanismos para impedir el acceso no autorizado a los equipos de
cómputo.
- Detectar y registrar actividades no autorizadas.
- Garantizar la seguridad de información cuando se utiliza computación móvil e instalaciones
de trabajo remotas.

e) Es responsabilidad del owner o dueño del activo de información asegurar que sus activos
restringidos reciban un nivel de protección apropiado.
f) Todo acceso a los activos de información deberá estar protegido con mecanismos de control de
acceso.

-7-
g) Para los accesos fuera de estándar:
 El único que puede autorizar accesos no estándar sobre un recurso es el “owner” del mismo.
 Cualquier pedido debe ser aprobado por el “owner” de la aplicación / información involucrada
y/o sus representantes formalmente designados.

h) Los controles para administrar adecuadamente la confidencialidad, integridad y disponibilidad de

la información y los sistemas que crean, colectan, usan, procesan, almacenan, mantienen,
divulgan o disponen información restringida deben seguir los requisitos descritos en la 4180.223.08
- Política de Privacidad y Confidencialidad de Datos.

5.6. Criptografía
a) Los mecanismos de protección a nivel de Cifrado y Enmascaramiento de los datos, así como la
administración de llaves criptográficas, deben seguir los requisitos descritos en la 4180.223.06 -
Política de Protección de Datos.
b) Todos los tipos de aplicaciones enmarcadas en la presente Política deben seguir los requisitos a
nivel de manejo y protección de contraseñas, así como la administración de cuentas privilegiadas
descritas en la 4180.225.02 - Política de Gestión de Credenciales.
c) Se debe asegurar el uso apropiado y eficaz de la criptografía para proteger la confidencialidad,
disponibilidad e integridad de la información.
d) Se debe administrar todas las aplicaciones y/o dispositivos que cumplan la función de sistemas de
seguridad de llaves criptográficas.
e) Los algoritmos de cifrado deben proporcionar fortalezas de seguridad aprobadas, lo
suficientemente robustas y difíciles de romper por atacantes que comprometan la protección que
el algoritmo proporciona. (4180.223.06 - Política de Protección de Datos)
f) Los algoritmos y las longitudes de llave utilizadas para una protección criptográfica deben estar
dentro del marco de tiempo estimado para considerarse seguro. (4180.223.06 - Política de
Protección de Datos)

5.7. Seguridad Física y Ambiental

a) Se debe impedir accesos no autorizados, daños e interferencia a las instalaciones e información
de la compañía.
b) Las instalaciones de procesamiento de información deberán estar protegidas contra daños,
accesos e intrusiones.
c) El perímetro de seguridad debe ser claramente definido.
d) Se debe implementar apropiados controles de acceso físico a las instalaciones.
e) Para la custodia de documentos físicos en instalaciones del Banco, se debe implementar la “Norma
de Seguridad Física para las Unidades BCP que custodian Activos de Información (DF, DD,)”.
(4088.010.04)

5.8. Seguridad de las Operaciones

a) Se deben contemplar los requisitos enmarcados en la 4180.223.04 - Política de Respaldo y
Retención de Información que permitan retener, respaldar y restaurar la información de forma
exitosa en caso de incidentes o ciberataques, brindando confiabilidad del proceso de ejecución de
las copias de respaldo
b) Además:
- Se debe garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de
información (estableciendo apropiados procedimientos para gestión y operación y/o implementar
segregación de funciones cuando corresponda).
- Establecer niveles adecuados de protección contra software malicioso.
- Minimizar el riesgo de fallas en los sistemas.

-8-
- Dar adecuada protección a los dispositivos de almacenamiento para así garantizar la disponibilidad
de servicio de la compañía.

c) Se deben contemplar los requisitos enmarcados en la 4180.223.04 - Política de Respaldo y

Retención de Información que permitan retener, respaldar y restaurar la información de forma
exitosa en caso de incidentes o ciberataques, brindando confiabilidad del proceso de ejecución de
las copias de respaldo

5.9. Seguridad en las Comunicaciones

a) Se deben contemplar los requisitos enmarcados en la 4180.223.07 - Política de Seguridad en la
Transferencia de Información, para todo intercambio de información a través de cualquier sistema
o red del Grupo Credicorp, incluyendo la transferencia interna y externa.
b) Para un acceso seguro a la red, tanto a usuarios como dispositivos, se deben contemplar los
requisitos descritos en la 4180.242.03 - Política de Acceso Seguro a Red.
c) Además:
- Se debe mantener la integridad y disponibilidad de los servicios de procesamiento y comunicación
de información.
- Se debe garantizar la seguridad de información de las redes y la adecuada protección de la
infraestructura de apoyo.
- Se debe impedir la perdida, modificación o uso inadecuado de la información que se intercambia
con otras organizaciones.

d) Para un acceso seguro a la red, tanto a usuarios como dispositivos, se deben contemplar los
requisitos descritos en la 4180.242.03 - Política de Acceso Seguro a Red.

5.10. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información

a) Para un correcto diseño, análisis, desarrollo, integración, prueba y despliegue de las aplicaciones
enmarcadas en la presente Política, que garanticen la confidencialidad, integridad y disponibilidad
de los mismos y de la información que trata, se deben contemplar los requisitos descritos en la
4180.224.01 - Política de Desarrollo de Software Seguro.
b) Para garantizar la seguridad del software de las aplicaciones enmarcadas en la presente Política,
durante su instalación y despliegue; operaciones y mantenimiento; y durante su retiro y
eliminación, se deben contemplar los requisitos descritos en la 4180.224.02 - Política de Software
Seguro.
c) Además:
- Se debe asegurar que la seguridad es incorporada a los sistemas de información (los
requerimientos de seguridad deben ser identificados y aprobados antes del desarrollo de los
sistemas de información).
- Prevenir la pérdida, modificaciones o uso inadecuado de los datos del usuario en los sistemas de
información.
- Las aplicaciones y sistemas de información deben contar con las apropiadas pistas de auditoria y
registros de actividad incluyendo la validación de datos de entrada, procesamiento interno y salida.
- Garantizar que los proyectos y actividades de soporte de TI se lleven a cabo de manera segura.
- Controlar el acceso a los archivos de sistema.
- Mantener la seguridad de los procesos de desarrollo y soporte, controlando el entorno de los
proyectos y el soporte de los mismos.
5.11. Relación con Proveedores
a) Con el fin asegurar y mantener las características de Seguridad de la Información del Banco
incluso en servicios que sean objetos de subcontración se tomará en cuenta las siguientes
consideraciones:

-9-
 - Mitigar los riesgos asociados con el servicio subcontratado a proveedores críticos.
- Asegurar la protección de los activos de la organización que sean accesibles a los proveedores.
- Establecer y acordar todos los requisitos de seguridad de la información pertinentes con cada
proveedor que pueda tener acceso, procesar, almacenar, comunicar o suministrar componentes
de infraestructura de TI para la información de la organización
- Mantener el nivel acordado de seguridad de la información y de prestación del servicio en línea
con los acuerdos con los proveedores
- Los contratos con los proveedores que traten documentos de Uso Restringido deberán incluir
cláusulas de Seguridad de la Información, Confidencialidad y Protección de Datos Personales
según corresponda, de acuerdo al formato de Contratos de Prestación de Servicios que se
encuentra publicado en el Portal Normativo del Banco.

b) Los proveedores críticos de subcontratación significativa que además traten con información de
uso restringido deberán ser evaluados y cumplir con los lineamientos de seguridad exigidos por el
banco.

c) La Norma de Formalización de Contratos con Proveedores de Bienes y Servicios contiene

información que permite cubrir estos aspectos (para mayor detalle revisar norma:
4147.010.05_Formalización de contratos con Proveedores de Bienes y Servicios).

6. Partes Interesadas
Las siguientes son las partes interesadas frente al Marco de Gobierno de Seguridad de la Información
y sus requerimientos:

Parte interesada Requerimiento

Cumplimiento de la legislación y regulación en temas

Ente Regulador relacionados a la seguridad de la información.

Contar con altos estándares de seguridad para el

desarrollo de las operaciones permitiendo que el
Alta Dirección Banco se mantenga líder en todos los segmentos y
productos que ofrece.

Contar con las condiciones adecuadas de seguridad

Colaboradores y trabajadores externos lógica y física para el cumplimiento de sus funciones.

Contar con la implementación de seguridad de la

información dentro del Banco para mejorar sus
Accionistas
ganancias.

Que el Banco gestione su información de forma

segura, de acuerdo a las cláusulas de
Clientes externos
confidencialidad que ellos han aceptado.

7. Glosario
a) Activo de Información: Información o soporte en ella reside, tiene un ciclo de vida y aplica a los
Datos, identidades, Aplicaciones, Software, Hardware, Redes, Documentos físicos (DF), Documentos
digitales (DD) entre otros, sean on-premise o cloud; independientemente de su ubicación ya sea dentro

- 10 -
 de las instalaciones de la organización o de un tercero que tengan un valor para la empresa y/o
soporten o sean parte de la actividad, proceso o giro de negocio de la organización y los requerimientos
legales. Y además deberá contar con un “Custodio del activo de información” y un “Owner o Dueño”.
b) Administrado: Actividad relacionada con la ejecución de controles para la gestión de la aplicación
como: mantenimiento al aplicativo, instalación de parches, gestión de accesos, entre otros.
c) Alojado: Ubicación física del activo de información el cuál puede ser bajo una infraestructura de la
División de Sistemas o bajo una infraestructura propia de la Unidad.
d) Aplicación: Programa de software que realiza una función específica directamente para un usuario y
puede ejecutarse sin acceso a los privilegios de control, supervisión o administración del sistema

e) Aplicación User IT: Activos de información desarrollados, instalados, administrados y/o actualizados
por la unidad usuaria fuera de la custodia de la División de Tecnología de Información, orientados al
procesamiento y administración de datos e información, lo cual involucra que es una aplicación
inventariada que cumple con los criterios del Check List User IT y se alinea con los estándares
tecnológicos y lineamientos de seguridad establecidos por el BCP

f) Aplicativo informático dentro de la custodia de la División de Sistemas (APPIT): Conjunto de

programas desarrollados, instalados, administrados y/o actualizados por la División de Sistemas para
brindar atención a los clientes con productos o servicios automatizados, así como ofrecer el soporte
necesario a toda la estructura administrativa, operativa y contable.

g) Confidencialidad: Preservar restricciones de autorización en el acceso a la información y divulgación.

Proteger la privacidad y propiedad intelectual de la información. La pérdida de confidencialidad
representa la exposición no autorizada de información.
h) Control: Todo mecanismo para manejar el riesgo; incluyendo políticas, procedimientos, lineamientos,
normas, entre otros.
i) Cloud:Un moelo para permitir el acceso a la red ubicuo, conveniente y bajo demanda a un grupo
compartido de recursos informátucos configurables (Por ejemplo, redes, servidores, almacenamiento,
aplicaciones y servicios) que se puedes aprovisionar y liberar rápidamente con un mínimo esfuerzo de
gestión o interacción del proveedor de servicios,
j) Custodio del Activo de Información: Mantiene y asegura alguna o todas las propiedades de la
información (confidencialidad, integridad, disponibilidad y privacidad) de un DF, DD y User IT y los
escenarios de custodia establecidos para su protección, según los requerimientos establecidos por el
Owner del activo.
k) Disponibilidad: Asegurar el acceso y uso de información en el momento necesario. Una pérdida de
disponibilidad es la disrupción de los sistemas
l) Dato: Todos los datos gestionados en el BCP que se usan como valores informativos (numérico,
alfanumérico o alfabético) y se utilizan en los procesos, informes, análisis, controles y toma de
decisiones.
m) Documento digital (DD): Todo activo de información que contenga datos en formato electrónico, y
que requiere de un dispositivo informático para su acceso y consulta. Se excluye de esta definición a
todo archivo digital que contenga lógica de programación en su contenido, como por ejemplo macros
en Excel.
n) Documento físico (DF): Todo activo de información que contenga datos registrados en un formato
tangible tales como comprobantes de caja, documentos de control operativo, documentos activos,
documentos pasivos, documentos para archivo físico, entre otros.
o) Escenario: Nivel de protección exigible por el Banco en función de las características de
administración (gestión) y alojamiento (custodia) del activo de información.
p) Escenario 1: Nivel de protección para todo Activo de Información administrado y alojado por la División
de Sistemas.
q) Escenario 2: Nivel de protección para todo Activo de Información administrado por la Unidad y alojado
por la División de Sistemas. En el caso que las actividades de administración de un aplicativo
informático sean compartidas entre la Unidad y la División de Sistemas, y este aplicativo esté alojado
en Sistema, se considerará el /User IT en el Escenario 2.
r) Escenario 3: Nivel de protección para todo Activo de Información administrado y alojado por la Unidad
(auto administrado).

- 11 -
s) Gestor de Riesgos No Financieros (Gestor RNF): Personal de apoyo, perteneciente a la unidad
usuaria, que facilite la generación del inventario de activos de información y coordinación de la gestión
y tratamiento de riesgos con su Unidad. Todo Gestor RNF deberá velar por la correcta identificación y
clasificación de los activos de información dentro de su Unidad, así como también, de mantener
actualizado el inventario donde dichos activos se encuentran registrados.
t) Gestor de aplicaciones de usuarios TI: Líder del equipo de especialistas de aplicaciones de la
unidad. Será el responsable de velar que los nuevos requerimientos tecnológicas o cambios en el
portafolio de las aplicaciones de su unidad, sean gestionados bajo el modelo de gobierno para
Aplicaciones (User IT), para lo cual deberá coordinar directamente con su bróker de sistemas, según
el flujo de atención definido en el Modelo de Gobierno para Aplicaciones (User IT). Este rol es
indispensable para la gestión de las aplicaciones de la unidad y es el responsable de las aplicaciones
User IT desde su concepción hasta su eliminación o pase formal a la División de Tecnologías de
Información.
u) Identidad: El conjunto de valores de atributos (es decir, características) por los caules una identidad
es reconocible y que, dentro del alcance de la responsabilidad de un administrador de identidad, es
suficiente para distinguir esa identidad de cualquier otra entidad.
v) Hardware: Los componente físicos de un sistema de información.
w) Información: Cualquier forma de registro electrónico, óptico, magnético o en otros medios, susceptible
de ser procesada, distribuida y almacenada,que son el elemento fundamental de los activos de
información.
La información adopta muchas formas, tanto en los sistemas como fuera de ellos. Puede ser:
 Almacenada, en los sistemas o en medios portables;
 Transmitida, a través de redes o entre sistemas;
 Impresa o escrita, en papel o hablada en conversaciones.
x) Integridad: Propiedad que salvaguarda la modificación o eliminación no autorizada de información
asegurando el “No repudio” y la autenticidad.
y) Owner o Dueño: Líder usuario o Gerente de la unidad responsable o LT responsable de los activos
de información de su Unidad, de la información de un activo. Los Owners o Dueños de activos son
formalmente los responsables identificar los requerimientos necesarios para mantener la seguridad de
los activos según su clasificación (preservación de confidencialidad, integridad, disponibilidad)
mientras estos sean desarrollados, producidos, mantenidos o usados.Y es el responsable del
Portafolio de aplicaciones de la Unidad a su cargo.
z) Privacidad: propiedad de la información, por la que se garantiza que la información propia e individual
del cliente es conocida sólo por individuos autorizados.
aa) Procesamiento de Datos: se entiende por procesamiento de datos (independientemente del medio
que los contenga), a la validación, transmisión (o distribución) y transformación de datos, ya sea que
se efectúe por el Banco o por contratación de servicios con otras empresas, de forma local o fuera del
país. Toda operación enmarcada bajo esta definición deberá contar con niveles de seguridad que
aseguren la confidencialidad, integridad, disponibilidad y privacidad de los datos, enmarcadas bajo las
directrices, lineamientos y regulaciones locales y la autorización del ente regulador en caso aplique.
bb) Proveedores Críticos (*): son todos aquellos proveedores adjudicados como resultado del proceso de
formalización de contratos, cuyos servicios han sido clasificados como estratégicos y de alto riesgo
para la organización.
cc) Proveedores críticos con acceso a información de uso restringido (*): son todos aquellos terceros
que tienen acceso a información de uso restringido del banco, los cuales están sujetos a cumplir con
los lineamientos de seguridad de la información exigidos por el banco. Se entiende también que
cualquier proveedor crítico con acceso a información de uso restringido, es una subcontratación
significativa.
dd) Redes: Sistema(s) de información implementado con una colección de componentes interconectados.
Dichos componentes pueden incluir enrutadores, concentradores, cableado, controladores de
telecomunicaciones, centros de distribución de claves y dispositivos de control técnico.
ee) Subcontratación (*): Se entiende por subcontratación a la modalidad de gestión mediante la cual una
empresa contrata a un tercero para que éste desarrolle un proceso que podría ser realizada por la
empresa contratante.

- 12 -
ff) Subcontratación significativa (*): es toda aquella subcontratación que, en caso de falla o suspensión
del servicio, puede poner en riesgo importante a la empresa, al afectar sus ingresos, solvencia o,
continuidad operativa.

(*) Para mayor detalle ver norma 4147.010.05 - Formalización de contratos con Proveedores de Bienes
y Servicios.

gg) Seguridad de la Información: Preservación de confidencialidad, integridad, disponibilidad y

privacidad de los activos de información.
hh) Sistema de información o Sistema de Procesamiento de Información o Aplicativo: Conjunto de
programas y/o equipos de cómputo desarrollados, instalados, administrados y/o actualizados para
brindar atención a los clientes con productos o servicios automatizados, así como ofrecer el soporte
necesario a toda la estructura administrativa, operativa y contable.
ii) Software: Programas informáticos y datos asociados que pueden escribirse o modificarse
dinámicamente durante una ejecución.
jj) Unidades: Toda Área o División del Banco que participe o apoye a las operaciones de los procesos
del negocio.
kk) Unidad de Negocio: estructura organizativa que agrupa los procesos de la empresa mediante los
cuales se crea, comercializa, y atiende productos y/o servicios de un mercado objetivo
ll) Unidad de Soporte: estructura organizativa que agrupa los procesos de unidades operativas, de staff
o apoyo que no pueden ser vinculados a una particular unidad de negocio o que cuyas operaciones
soportan a todas
mm) Ubicación Física: Ubicación física del activo de información el cuál puede ser bajo una
infraestructura de la Unidad de Sistemas o de una Unidad bajo la cual se encuentra emplazado y/o
custodiado algún activo de información.

Documento aprobado por:

Comité de Riesgos de Grupo Crédito S.A. en sesión del 03/02/2021
Melania Ramos Gerencia de Área Administración de Riesgos de Operación

- 13 -