1.

1 Descripción de la arquitectura presentada

En la arquitectura presentada se puede visualizar los servidores que maneja la organización

para el almacenamiento de la información que se tiene de los usuarios, así como el proceso
realizado para mantener segura cada una de las partes críticas, por medio del firewall y una
arquitectura sólida y bien distribuida.
Esta arquitectura hace uso de:
 Firewall: se utiliza para monitorear el tráfico de red haciendo uso de las reglas de seguridad.
 Api Connections: Se utiliza para el mantenimiento de los servidores sea eficiente y que
estos permitan hacer sus operaciones sin inconvenientes.
 Amazon S3: Se utiliza para la escalabilidad, disponibilidad y seguridad de datos; realiza
funciones que gestionen la optimización, organización y configuración de los accesos a los
datos almacenados.
 Balancer: Este distribuye el tráfico de la red a través de varios servidores, por lo que
aumenta la capacidad (usuarios concurrentes).
 Cloud Storage: Se utiliza para el almacenamiento de objetos, almacena los datos y se puede
recuperar con la frecuencia que se necesite.

1.2 Identificación de activos relevantes de la arquitectura y su descripción

Activos de la empresa:
 Datos digitales de los usuarios-cliente-cuentas:
Estos datos se encuentran en la base de datos de los usuarios, con lo que almacena
información del cliente como nombre y que cuenta usa para su conexión a la plataforma
 Datos digitales de plan-pago-datos-región:
En la base de datos para los planes que subministra la aplicación, almacena la información
que proporciona el usuario al registrar el plan elegido y su valor, también los datos que le
son solicitados.
 Activos tangibles de los pagos:
 Al tener la información de los pagos que se realizan se pueden sacar activos tangibles de
los pagos que serían datos financieros que tiene la organización ya que con estos datos
tienen que hacer sus estudios para tener conocimiento de cómo va financieramente la
empresa.
 Datos de las suscripciones:
Al tener las bases de datos de pagos se almacena la frecuencia en la que el usuario realiza
la acción de un pago para mantener la suscripción a la plataforma.
 Permisos de la aplicación:
Facilita la interacción con otras aplicaciones y así se puede conectar la cuenta de Spotify
con una aplicación tercera, puede que la aplicación tercera necesite determinados permisos
para funcionar.
 Información legal:

Al haberse suscripto a la plataforma el usuario debió de aceptar un acuerdo legal con la

organización debido a que a partir de realizar la acción de suscribirse sus datos quedan
almacenados.

 Restricción por suscripción:

El usuario podrá tener restricciones por el tipo de usuario debido que son diferentes
acciones que tener el usuario a usar por lo que sí es un usuario gratuito se limitará las
opciones de cambio de canción y quitar anuncios; al ser usuario de pago ya no tendrá esas
limitaciones y tendrá un amplio playlist.
 Método pago:
Se utilizan deferentes tipos de pagos para poder obtener un plan premium y estos métodos
de pago dependerán de la región o país de los usuarios por lo que podría variar.
1.3 Requerimientos obligatorios del SGSI identificados

Para los requisitos necesarios y obligatorios con la normatividad del SGSI, nos regiremos con;

 4.2.1 Establecer el SGSI: Este requerimiento nos ayudara a establecer el alcance del
negocio, basándose con las políticas del SGSI, lo que nos ayudara a identificar las
amenazas, vulnerabilidades. Lo cual esto tendrá un impacto en el desarrollo y análisis de
los riesgos
  4.3.1 General: Este requerimiento nos ayudara a documentar y plasmar los registros que se
tomen por medio de decisiones gerenciales, para establecer una organización adecuada
para el apoyado del desarrollo del negocio de la a paliación. Ya que a lo que se acuerde, y
este por escrito, nos ayudara a optimizar su productividad con las herramientas
estructuradas

 4.3.3 Control de registros: Este requerimiento se vinculará a un área de calidad, donde se

monitoreará, revisar y mantener bajo control todo tipo de movimiento trinacional, registro
de usuarios, permisos de la aplicación y demás temas interno etc. Se realizará seguimiento
por medio de Auditorias para validar y verificar que los registros almacenados estén
protegidos y no sean fraudulentos

2. RESPONSABLES

2.1 - Implementadores / Personal de Seguridad de la Información

En primera instancia, los responsables de implementar el SGSI deben contar con las
competencias necesarias, capacidades, habilidades y percepción para poder asegurar de manera
correcta la Seguridad de la Información. Para esto, se debe determinar las aptitudes de cada
miembro del equipo para así asignar un rol especifico en el proceso de implementación, así como
tener conciencia sobre la relevancia e importancia de las actividades a realizar, y de cómo estas
contribuirán en el cumplimiento de los objetivos establecidos para el SGSI.

2.2 - El Negocio
Para la correcta implementación del SGSI, es necesario involucrar al negocio, en especial,
a la alta gerencia, y, adicionalmente, a los usuarios de cada área, así como al usuario final que, en
este caso, utilizará la aplicación. En primera instancia, partiendo de estos puntos, la alta gerencia
es necesaria en la implementación, dado que, para cumplir con los requerimientos obligatorios del
SGSI, es necesario definir y establecer los controles para las áreas involucradas en el proceso. Es
decir, a nivel jerárquico o de organigrama, el proceso va en cascada desde la parte más alta hasta
la más baja. Con esto, se logra mantener actualizados a los usuarios del negocio, generando
conciencia y responsabilidad en el uso de las herramientas y la seguridad de la información. En
este caso, podemos ampliar un poco más el panorama de los responsables del negocio:
2.2.1 Alta Gerencia
Es fundamental en el proceso, dado que, bajo su cargo, cuentan con una serie de
responsabilidades necesarios para cumplir con los objetivos requeridos (proteger los
activos de información, garantizar las propiedades de seguridad de la información, etc.).
Por otra parte, deben estar al tanto del proceso, y, si es el caso, aprobar los recursos o
metodologías necesarias para la implementación,
2.2.2 Representante Área de Tecnología
En este caso, es importante que el área de tecnología se vea involucrada en la
implementación, dado que, para la correcta implementación, es necesario abarcar todos
los temas a nivel de tecnología: infraestructura (servidores, redes, integración, etc),
desarrollo, DBAs, HelpDesk, Desktop Support, entre otros, para así garantizar la
integridad, disponibilidad y confidencialidad en los sistemas de información.
2.2.3 Representante Área de Control Interno
Como parte de los procesos realizados en la implementación, es de vital importancia
tener auditorías internas por parte de control interno, con el fin de revisar el
cumplimiento de las normas establecidas para el SGSI, velar porque se eviten riesgos de
seguridad de la información y, en general, evidenciar mejoras al proceso.
2.2.4 Representante Área de Planeación
Es importante contar con la participación de la parte de planeación financiera y general
de la empresa, dado que con esto se puede ayudar a definir e implementar las políticas de
protección de datos y privacidad de la información sensible, y, por otra parte, validar los
posibles costos y gastos necesarios para la realización del proyecto.
2.2.5 Representante de Gestión de Calidad
Con el fin de determinar si se están cumpliendo los estándares, tiempos y objetivos del
SGSI, es necesaria la participación de la Gestión de Calidad del negocio.
2.2.6 Representante Área Jurídica
Por otra parte, la participación del área jurídica es fundamental para interponer todos los
temas legales y críticos necesarios en el proceso de implementación, o, en general, para
certificar que a nivel jurídico se estén cumpliendo los objetivos establecidos, así como la
documentación respectiva.
2.2.7 funcionarios y Usuarios Finales
Como peldaño final, y quizás el más importante, se encuentran los funcionarios de la
organización y los usuarios finales que utilizarán la aplicación. Es importante que en esta
parte los miembros de esta sección tomen conciencia del proceso, y de la criticidad del
cuidado, gestión y uso de los sistemas y activos de información de la organización.
 3. REFERENCIAS A OTRAS POLÍTICAS, LINEAMIENTOS Y
NORMAS EN LAS CUALES SE SOPORTAN O TIENEN RELACIÓN

3.1 Referencias a otras políticas

 Seguridad y protección de datos.
 Confidencialidad
 Autenticación
3.2 Lineamientos
Spotify
1. Derechos y controles sobre tus datos personales: En las leyes de privacidad donde se
incluye el reglamento general de protección de datos otorga derechos a las personas sobre
sus mismos datos personales.
1.1 Porque Spotify recopila y usa datos personales:
- Lo hacen principalmente para proporcionar dicho servicio.
 - Comprenda, diagnostique, solucione problemas y corrija los errores del servicio de Spotify.
Evaluar y desarrollar nuevas funciones, tecnologías y mejoras para el servicio de Spotify.
- Utilizarlos con fines de marketing, promoción y publicidad. Cumplir con las obligaciones
legales y los requisitos reglamentarios.
- Cumpla con las obligaciones contractuales de terceros, como nuestros acuerdos con los
propietarios de contenido de Spotify, y tome las medidas adecuadas en los informes de
infracción de propiedad intelectual y contenido inapropiado. Establecer, ejercer o defender
reclamaciones legales.
- Llevar a cabo la planificación, elaboración de informes y previsiones comerciales. Procesar
pagos
- Detectar y prevenir el fraude, incluido el fraude de pagos y el uso fraudulento de los
servicios de Spotify
- Realizar investigaciones y encuestas
(Centro de privacidad, s. f.)
2. El uso del servicio: Se inicia por la creación de la cuenta, luego a los derechos de uso del
servicio de Spotify, pasa al pago y la cancelación, continua con el derecho de revocación,
pautas del usuario, cuentas de marcas y finaliza con el control de exportación y
sanciones.
3. Directrices de usuario: Estas guías de usuario se aplican a su uso del sitio web, las
aplicaciones y los servicios de Spotify incluyendo el acceso a todo tipo de material y
contenido disponible en dichos servicios.

(Escuchar es todo, s. f.)

Amazon
1. Seguridad y protección de datos
1.1 Seguridad de AWS
1.2 Protección de datos
2. Uso de los servicios ofrecidos
2.1 En general: Usted podrá acceder y usar los Servicios de conformidad con el presente
Contrato. Algunos Servicios Ofrecidos podrán estar sujetos a Contratos de Nivel de Servicios y
Términos de Servicios aplicables a ciertos Servicios Ofrecidos. Usted cumplirá con los términos
del presente Contrato y con todas las leyes, disposiciones y regulaciones aplicables al uso que haga
de los Servicios Ofrecidos
2.2 Su cuenta: Para acceder a los Servicios, usted deberá contar con una cuenta AWS
asociada con una dirección de correo electrónico y una forma de pago válidas. Salvo que esté
expresamente autorizado por los Términos de Servicio, usted solamente creará una cuenta por cada
dirección de correo electrónico.
 2.3 Contenido de terceros: El Contenido de Terceros podrá ser utilizado por usted a su
elección. El Contenido de Terceros se regirá por este Contrato, y cuando resulte aplicable, por
términos y condiciones independientes que acompañen dicho Contenido de Terceros y cuyos
términos y condiciones podrán incluir tarifas y cargos independientes.
3. Suspensión temporal
4. Vigencia y terminación

(CONTRATO DE USUARIO AWS, s. f.)

4. Referencias

Escuchar es todo. (s. f.-b) Spotify. Recuperado de https://www.spotify.com/co/legal/end-user-

agreement/#7-acerca-de-estos-t%C3%A9rminos

CONTRATO DE USUARIO AWS. (s. f.). https://d1.awsstatic.com/legal/aws-customer-

agreement/AWS_Customer_Agreement_Spanish_Translation_ES-ES_2022-05-06.pdf

Centro de privacidad. (s. f.). Spotify. https://www.spotify.com/co/privacy