Política de seguridad WELLK

1. INTRODUCCIÓN

La presente Política pública de Seguridad y Privacidad de la información establece los principios, compromisos y lineamientos generales mediante los cuales Wellk protege la información y los datos personales que gestiona, en cumplimiento de su misión, sus objetivos estratégicos y sus obligaciones legales y contractuales. Esta política se publica con el fin de garantizar la transparencia frente a clientes, usuarios, proveedores, autoridades y demás partes interesadas, y constituye el marco de referencia para la implementación, operación, mantenimiento y mejora continua del Sistema de Gestión de Seguridad y Privacidad de la Información (SGSPI). Wellk adopta esta política conforme a las mejores prácticas internacionales, alineándose con el Esquema Nacional de Seguridad (ENS), la norma ISO/IEC 27001 y la norma ISO 27701.   

2. OBJETIVO

Este documento es de carácter público y refleja el compromiso de Wellk con la seguridad de la información y la protección de la privacidad. El objetivo de la presente política es establecer el compromiso público de Wellk con la adecuada gestión de la seguridad de la información y la protección de los datos personales, asegurando los principios de confidencialidad, integridad, disponibilidad, autenticidad, trazabilidad y privacidad, así como el respeto de los derechos de los titulares de la información  

 3. ALCANCE
Esta política aplica a toda la información y a todos los datos personales tratados por Wellk, independientemente de su naturaleza, formato, medio de almacenamiento o canal de transmisión. Es de obligatorio cumplimiento para:

    – Gerencia, 

    – Trabajadores y colaboradores, 

    – Proveedores, 

    – Personas físicas o jurídicas que accedan o utilicen los sistemas de información de Wellk. 

El alcance incluye procesos, activos de información, infraestructuras tecnológicas, servicios en la nube, redes, aplicaciones y servicios gestionados directa o indirectamente por Wellk. 

 

 4. MARCO NORMATIVO Y DE REFERENCIA

La presente política se fundamenta en los siguientes marcos normativos y de buenas prácticas, con especial alineación al Esquema Nacional de Seguridad Nivel Alto:
    – Esquema Nacional de Seguridad (ENS), Real Decreto 311/2022, Nivel Alto.
    – ISO/IEC 27001 – Sistemas de Gestión de Seguridad de la Información.
    – ISO/IEC 27002 – Controles de seguridad de la información.
    – ISO/IEC 27701 – Sistemas de Gestión de Información de Privacidad.
Legislación vigente en materia de protección de datos personales, ciberseguridad, continuidad del negocio y seguridad de la información aplicable a Wellk.

 

 5. GLOSARIO

Para efectos de esta política, se adoptan, entre otros, los siguientes conceptos:
    – Activo de información: información o recurso que tiene valor para Wellk y debe ser protegido.
    – Confidencialidad: propiedad que garantiza que la información no sea divulgada a personas no autorizadas.
    – Integridad: propiedad que asegura la exactitud y completitud de la información.
    – Disponibilidad: propiedad que garantiza que la información esté accesible cuando sea requerida.
    – Riesgo: posibilidad de que una amenaza explote una vulnerabilidad y genere un impacto negativo.
    – Incidente de seguridad de la información: evento que compromete o puede comprometer la seguridad o la privacidad de la información.
    – Datos personales: cualquier información vinculada o que pueda asociarse a una persona física identificada o identificable.

 6. POLÍTICA GENERAL DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN

La información es considerada uno de los principales activos de Wellk y, como tal, debe ser protegida mediante controles administrativos, técnicos y organizativos apropiados.
Wellk orienta sus esfuerzos a preservar la seguridad y privacidad de la información durante todo su ciclo de vida, promoviendo una cultura de seguridad, responsabilidad y cumplimiento entre todas las partes interesadas.

 

 7. POLÍTICAS ESPECÍFICAS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN

Criterios generales
    – El acceso a los sistemas de información se gestiona bajo el principio de mínimo privilegio.
    – La administración de accesos y perfiles es responsabilidad de las áreas autorizadas.
    – Los servicios en la nube solo se utilizarán cuando existan garantías contractuales y técnicas adecuadas.
    – Los activos tecnológicos serán gestionados durante todo su ciclo de vida.

 

Uso de internet

El uso de internet y de los servicios de red debe estar alineado con las funciones del negocio, respetando las restricciones y controles de seguridad establecidos por Wellk.

 

Bases de datos 

Las bases de datos serán administradas de forma segura, garantizando su integridad, confidencialidad y disponibilidad, y aplicando criterios de retención y eliminación conforme a los fines definidos.

 

Copias de seguridad (backup) 

Wellk implementa mecanismos de respaldo periódico de la información crítica, garantizando su recuperación ante incidentes, fallos o desastres.

 

Acceso remoto 

El acceso remoto a los sistemas de información se realizará únicamente mediante mecanismos seguros, autenticados y autorizados. 

 

Política de autenticación multifactor 

El acceso a sistemas críticos requerirá mecanismos de autenticación robustos, incluyendo autenticación multifactor cuando aplique. 

 

Política de dispositivos móviles (equipos de trabajo). 

El uso de dispositivos móviles para el tratamiento de información corporativa estará regulado y sujeto a controles de seguridad. 

 

Trabajadores 

Todas las personas con acceso a la información de Wellk son responsables de cumplir esta política y las normas internas asociadas. 

 

Mejora continua 

Wellk revisa periódicamente su SGSPI para asegurar su eficacia y alineación con el contexto interno y externo. 

 

Recursos compartidos 

El uso de carpetas y recursos compartidos debe responder exclusivamente a fines laborales y conforme a los criterios de clasificación de la información.

 

Seguridad en la nube 

La información almacenada o procesada en la nube será protegida mediante controles de cifrado, monitoreo y respaldo. 

 

Gestión de incidentes de seguridad y privacidad 

Wellk dispone de procedimientos para detectar, reportar, gestionar y aprender de los incidentes de seguridad y privacidad.

 

 8.SANCIONES POR INCUMPLIMIENTO

El incumplimiento de esta política podrá dar lugar a medidas disciplinarias, contractuales o legales, de acuerdo con la normativa vigente y los procedimientos internos de Wellk.

 

 9. ACUERDOS DE CONFIDENCIALIDAD

Todas las personas que accedan a información de Wellk deberán suscribir acuerdos de confidencialidad y compromisos de seguridad y privacidad.

 

10. EMISIÓN Y REVISIÓN DE LA POLÍTICA

La presente Política Pública de Seguridad y Privacidad de la Información entra en vigor a partir de su aprobación por la alta dirección y será revisada periódicamente para garantizar su adecuación y mejora continua.