EVALUACION

Materia
PREGUNTA

¿La empresa cuenta con políticas y normas de seguridad de la información,

documentadas, basadas en el estándar internacional ISO 27001, oficialmente
aprobadas e informadas adecuadamente a la organización?

¿Las normas o políticas están vigentes, actualizadas, se cumplen (hay

procedimientos formales que aseguran su cumplimiento) e incluyen todos los
aspectos relevantes de acuerdo a las pautas establecidas por los organismos
reguladores y/o de las mejores prácticas de la industria?

¿Sus procesos y/o metodologías, se encuentran alineadas y/o certificadas, bajo

algún estándar formal (Cobit, ISO, Itil, Mastercard, Visa, PCI DSS, etc.)?
1.-Políticas, normas y
estándares de seguridad

¿El alcance del punto 1.3 cubre procesos que tengan relación con el servicio que
su empresa presta a Transbank?

¿En su empresa existen estándares de seguridad aprobados y documentados, para

la configuración de servidores, comunicaciones y dispositivos móviles, de manera
que se controle que las herramientas de procesamiento de información operen
bajo una configuración de seguridad definida, revisada y verificable?
 ¿En su empresa se realizan auditorías computacionales o revisiones orientadas a la
2.- Cumplimiento de evaluación de riesgos de seguridad de la información por entidades
normas independientes, en especial sobre los procesos que manejan información sensible
de sus clientes?

¿La empresa puede asegurar que todos los empleados que tienen acceso o
manejan información material o digital de sus clientes, han sido capacitados o
instruidos en los temas de seguridad de la información tales como: - Clasificación
de la información, - Creación y manejo de password, - Manejo de Información
sensible, - Uso de recursos informáticos, - Virus informáticos, - Uso de Internet, e-
mail, incidentes de Seguridad de la Información?
3.- Capacitación

¿La empresa confecciona y ejecuta de forma programada y periódica (a lo menos

una vez cada año), planes de concientización a sus colaboradores internos acorde
a sus roles y responsabilidades, propiciando la comprensión y adhesión a la
normativa de seguridad y continuidad vigente, garantizando la confidencialidad,
integridad y disponibilidad de la información relativa a Transbank?

¿En su empresa tienen un procedimiento formal y documentando para

entregar/eliminar/modificar acceso lógico a los sistemas y aplicaciones que
contienen o procesan información?

¿Dicho procedimiento incluye una verificación periódica independiente de las

autorizaciones vigentes (Certificación de Usuarios y Perfiles?
4.- Accesos restringidos

¿Existen políticas, normas y/o una unidad encargada de verificar que los usuarios
mantengan accesos bajo la premisa de "Necesidad mínima de conocer", y que
dichos accesos además, no presenten problemas de segregación funcional dentro
de las responsabilidades otorgadas por la organización?

¿En su empresa existen controles establecidos para la identificación, registro,

5.- Seguridad de redes monitoreo y bloqueo de ataques informáticos o acceso de intrusos a la red
interna de la empresa?
¿En su empresa se realiza una actualización permanente y oportuna de los
sistemas y aplicaciones, a través de la instalación de parches y actualizaciones
6.- Parches de seguridad provistas por los proveedores correspondientes?
¿En su empresa el plazo para la aplicación de los parches de seguridad depende de
la criticidad de la vulnerabilidad?
 7.- Administración de En caso que otros proveedores presten servicios a su empresa, y que esos
proveedores tengan acceso o manejen información de sus clientes, ¿Su empresa
Contratos con dispone de controles que permitan identificar, monitorear y mitigar riesgos en
Subcontratistas seguridad de la información sobre los procesos externalizados?

¿La seguridad física de los centros de cómputos o sectores en donde se alojan los
servidores que mantienen y procesan información de clientes, poseen los
controles de acceso físico, de supervisión y monitoreo, tal que impida que
personal no autorizado pueda acceder, manipular, conectar/extraer dispositivos
a/desde los equipos o instalaciones?

¿Los sectores o lugares donde se conservan o mantienen los medios de respaldo

con la información digital de los clientes, poseen controles de acceso físico,
8.- Seguridad Física bitácoras de registro, supervisión y monitoreo, tal que se tiene un control
apropiado de quienes acceden a los medios de almacenamiento?

¿La seguridad física de las áreas donde se maneja o almacena información

material o impresa de los clientes, posee los controles de acceso físico, de
supervisión y monitoreo, tal que impida que personal no autorizado pueda
consultar, fotografiar, fotocopiar o sustraer documentación de los clientes?

¿La empresa tiene controles para prevenir y proteger a los sistemas, aplicaciones,
bases de datos o las redes de la empresa de potenciales ataques de virus o
programas maliciosos que pudiesen acceder a través de Internet, correo
electrónico, mensajería electrónica, medios removibles de almacenamiento
empleados en los desktop, notebook u otros dispositivos del personal de la
empresa?
9.- Vírus o códigos
maliciosos ¿En su empresa se realizan periódicamente -a lo menos una vez al año- test de
penetración (Ethical Hacking) y análisis de vulnerabilidades sobre sus
aplicaciones?
¿En su empresa se cuenta con software antivirus y antimalware,
permanentemente activo y actualizado y se encuentra en todas las estaciones de
trabajo o servidores?

¿Existen y se aplican procedimientos de control de cambios de manera que cubran

los cambios en los sistemas, aplicaciones, e infraestructura tecnológica,
incorporando la realización de pruebas, el cumplimiento de las aprobaciones
10.- Control de cambios establecidas en cada una de las etapas del ciclo de vida del proyecto?

¿Se considera la notificación y debida coordinación con Transbank en forma previa

a la puesta en producción de un cambio y/o modificación relevante en los
sistemas, aplicaciones e infraestructura tecnológica?
¿Los accesos, operaciones, transacciones realizadas por los usuarios sobre
información de sus clientes generan registros de auditoría (trazabilidad), tal que se
pueda conocer la actividad/ operación realizada, la fecha-hora, sistema-aplicación
a la que se conectó cada usuario?

¿Los accesos, operaciones, transacciones realizadas por los administradores o

súper-usuarios de los sistemas, aplicaciones, bases de datos, dispositivos de redes,
11.- Registros de auditoría generan registros de auditoría (Log), tal que se pueda conocer la actividad/
operación realizada, la fecha-hora, sistema-aplicación a la que se conectó cada
súper-usuario?

¿Los registros de auditoría generados por los distintos sistemas, se encuentran

bajo un modelo de segregación funcional, que permite mitigar adecuadamente el
riesgo de alteración y/o eliminación de esta información, por parte de cualquier
actor interesado?
 ¿El ambiente o dominio de producción de la empresa está aislado o protegido del
12.- Aislamiento del acceso desde otros ambientes internos (desarrollo y QA) y externos (Internet) a
través de firewall, de manera que existen controles que impiden que alguien no
ambiente de Producción identificado o no autorizado pueda acceder a la data manejada en ambiente de
producción?

¿Cómo lineamiento base, puede la empresa proveedora asegurar que ningún dato
13.- Seguridad de la facilitado a ella relacionado a un ambiente productivo, es utilizado en ambiente de
QA?
Información en ambiente
QA
¿Dispone de información homologada que permite garantizar la calidad de las
pruebas y que dicha información es de carácter ficticio?

14.- Inventario de equipos ¿Existe un control de inventario que incluya el registro y monitoreo sobre el
y medios de ingreso/actualización/eliminación de los equipos o medios que almacenan o
almacenamiento respaldan información de los clientes?

¿Existen procedimientos para la eliminación de equipos y medios de respaldo, de

15.- Eliminación de medios manera que cualquier dispositivo o medio de almacenamiento que se dé de baja,
o equipos se tire a la basura o remate, no contenga información de los clientes, ni tampoco
la información pueda ser recuperada por terceras personas?
 SEGURIDAD INFORMACION (General)

ACION DIAGNO

REQUISITOS MSTI

a- Establecer Politica de Seguridad de la Informacion de Alto Nivel.

b- La Politica SI debe ser aprobada por la Gerencia.

c- Las politicas se deben publicar y comunicar a todas las partes interesadas.

a- La politica debe estar vigente e implementada en todas las areas de la
organización.

b- Las Politicas debe ser revisada regularmente a intervalos planeados o si

ocurre cambios significativos para asegurar la conveniencia, adecuacion y
eficacia.

c- Deben existir procedimientos formales que aseguren el cumplimiento de las

Politicas (evaluacion de las politicas para asegurarse de su conveniencia,
adecuacion y eficacia)

a- Los procesos y/o metodologías deben estar alineadas y/o certificadas, bajo
algún estándar formal:
- Cobit,
- ISO 9001,20000, 22301 y 27001,
- Itil,
- PCI DSS

a- El alcance de la alineacion de la metodologia y/o certificaciones deben

tener relación con el servicio que se prestan a Transbank

a- Se deben establecer estándares de seguridad aplicables a los ámbitos

indicados
a- Los estándares de seguridad deben estar documentados, revisados y
aprobados por los niveles pertientes
b- Los estándares de seguridad se deben publicar y comunicar a todas las
partes interesadas.
c- Los estándares de seguridad debe estar vigente e implementada en todas
las areas de la organización.

d- Los estándares de seguridad debe ser revisada regularmente a intervalos

planeados o si ocurre cambios significativos para asegurar la conveniencia,
adecuacion y eficacia.

e- Deben existir procedimientos formales que aseguren el cumplimiento de

las los estándares de seguridad (evaluacion de las politicas para asegurarse de
su conveniencia, adecuacion y eficacia).
a- Deben realizarse auditorías computacionales o revisiones orientadas a la
evaluación de riesgos de seguridad de la información por entidades
independientes, en especial sobre los procesos que manejan información
sensible.

a- Elaborar Plan de Capacitacion incluyendo los ambitos indicados.

b- Capacitar o instruir al personal que tiene acceso o maneja información

material o digital de clientes en los ámbitos indicados.

a- Incluir en el Plan de Capacitación la concientización de la Seguridad de la

Inforamción y la continuidad del negocio, tomando en cuenta los roles y
responsabilidades.

a- Elaborar Procedimiento formal y documentado que contemple la entrega,

eliminacion y modificacion de accesos logicos a los sistemas y aplicaciones
que contienen procesan informacion.

b- El procedimiento debe ser revisado y aprobado por los niveles pertinentes.

c- El procedimiento se debe publicar y comunicar a todas las partes
interesadas.

a- Dentro del procedimiento debe incluirse el ambito de verificacion

periodica.

a- Establecer las políticas de Seguridad de la Información específicas

relacionadas a lo menos:
a1- Acceso físico
a2- Acceso lógico

b- Las políticas SI especificas debe ser aprobadas por los niveles pertinentes.

c- Las politicas se debe publicar y comunicar a todas las partes interesadas.

d- Debe existir una unidad encargada de verificar lo indicado.

a- Debe existir controles establecidos para la identificación, registro, monitoreo y

bloqueo de ataques informáticos o acceso de intrusos a la red interna de la empresa

a- Debe realizarse una actualización permanente y oportuna de los sistemas y

aplicaciones, a través de la instalación de parches y actualizaciones provistas por los
proveedores correspondientes
a- Debe realizarse periódicamente -a lo menos una vez al año- test de penetración
(Ethical Hacking) y análisis de vulnerabilidades sobre las aplicaciones

a- Se debe contar con un software antivirus y antimalware, permanentemente activo

y actualizado y se encuentra en todas las estaciones de trabajo o servidores

a- Debe existir procedimientos de control de cambios de manera que cubran los

cambios en los sistemas, aplicaciones, e infraestructura tecnológica, incorporando la
realización de pruebas, el cumplimiento de las aprobaciones establecidas en cada una
de las etapas del ciclo de vida del proyecto

a- Debe existir la notificación y debida coordinación con Transbank en forma previa a

la puesta en producción de un cambio y/o modificación relevante en los sistemas,
aplicaciones e infraestructura tecnológica
a- El ambiente o dominio de producción debe estar aislado o protegido del acceso
desde otros ambientes internos (desarrollo y QA) y externos (Internet) a través de
firewall de manera que existen controles que impiden que alguien no identificado o
no autorizado pueda acceder a la data manejada en ambiente de producción?

B- Deben existir controles que impiden que alguien no identificado o no autorizado

pueda acceder a la data manejada en ambiente de producción de la compañía.

a- La empresa debe asegurar que ningún dato facilitado en un ambiente productivo,

es utilizado en ambiente de QA

a- Disponer de información homologada que permite garantizar la calidad de

las pruebas y que dicha información es de carácter ficticio
a- Debe existir un control de inventario que incluya el registro y monitoreo sobre el
ingreso/actualización/eliminación de los equipos o medios que almacenan o
respaldan información de los clientes

a- Debe existir procedimientos para la eliminación de equipos y medios de respaldo

de manera segura
MACION (General)

DIAGNOSTICO
SISTEMA
LABORATORIO TRANSACCIONALES VENTA
PLAN DE TRABAJO STATUS