Conformidad y Seguridad

La 2CLIX sabe que su seguridad y privacidad son importantes y se preocupa mucho por ello.

El objetivo de este documento es definir los parámetros y requisitos legales, normativos y contractuales a los cuales debe adherirse el Sistema de Gestión de Seguridad de la Información (SGSI) de 2CLIX TECNOLOGIA EIRELI.

Este documento es aplicable a todos los demás documentos, procesos y actividades que componen el SGSI.

El acceso a esta documentación es PÚBLICO.

LEYES, NORMAS Y CONTRATOS

Los controles relacionados con la Seguridad de la Información deben basarse y ser coherentes con los requisitos de los clientes, con las buenas prácticas definidas en normas y, principalmente, con las leyes del sector.

De esta manera, es necesario tener cuidado con posibles conflictos entre estas fuentes de requisitos al definir políticas, procesos o controles para la Seguridad de la Información. El mecanismo utilizado por la organización para definir la prioridad de cada requisito fue la creación de una jerarquía entre estos tipos de fuentes, enumeradas a continuación en orden de mayor a menor prioridad:

  • Leyes locales: la organización tiene su sede en Brasil, así como la mayor parte de sus clientes y colaboradores; por lo tanto, las leyes brasileñas deben ser la prioridad en lo que se refiere a los requisitos de seguridad de la información.
  • Leyes internacionales: como la organización posee clientes internacionales que siguen legislaciones relacionadas con la seguridad de la información y datos, es importante considerar estas leyes como requisitos para el mantenimiento de la Seguridad de la Información.
  • Requisitos contractuales: la contratación de nuestros servicios muchas veces viene acompañada de alineamientos entre los equipos de seguridad del cliente y de la organización. Estos alineamientos frecuentemente incluyen requisitos mínimos de seguridad definidos en contrato que deben implementarse para mantener la conformidad en la relación cliente-organización.
  • Requisitos normativos: existen diversas normas de seguridad de la información que exigen el cumplimiento de varios controles. Estas normas deben seguirse tanto con la intención de obtener certificaciones como para mantener buenas prácticas. Sin embargo, su carácter internacional y generalista puede entrar en conflicto con legislaciones locales o con particularidades contractuales, por lo que ocupan el nivel más bajo de la jerarquía.

Ámbito de Leyes y Normas

Existen diversas leyes nacionales relacionadas con la seguridad de la información en diferentes áreas. Las leyes nº 12.737 del 30 de noviembre de 2012 y nº 14.155 del 25 de mayo de 2021 tratan sobre delitos cibernéticos y sus penalidades. La ley nº 12.527 del 18 de noviembre de 2011 trata del acceso a las informaciones presentes en instituciones públicas.

Para organizaciones privadas, las leyes que más definen requisitos y obligaciones en materia de seguridad de la información son la ley nº 12.965 del 23 de abril de 2014, que establece la definición de internet ante la ley brasileña y los derechos y deberes de ciudadanos e instituciones. En 2018, la ley nº 13.709 del 14 de agosto fue aprobada, ampliando los requisitos y obligaciones sobre la seguridad de datos personales y definiendo los derechos de los ciudadanos sobre sus propios datos.

Además de las leyes relacionadas con datos y seguridad, la organización también debe cumplir legislaciones correlatas como:

Ley nº 9.610 (19/02/1998): derechos de autor,

Ley nº 8.078 (11/09/1990), nº 10.741 (01/10/2003) y nº 14.181 (01/07/2021): protección del consumidor.

A nivel internacional, están las leyes regionales de privacidad, como el GDPR (General Data Protection Regulation) de Europa, que deben ser observadas durante la expansión internacional del Portal de la Calidad.

La norma principal en la cual se basa esta documentación es la ISO/IEC 27000 y sus correlatas, especialmente la 27001 y la 27002.

LGPD Y PROTECCIÓN DE DATOS PERSONALES

Inventario de Datos

El mantenimiento y control de los tipos de datos recibidos por los clientes y usuarios se realiza mediante un inventario de datos. Como existe la posibilidad de crear campos personalizados, pueden generarse campos conteniendo Datos Personales o Sensibles. En estos casos, mensualmente se genera una lista de los campos creados para garantizar visibilidad sobre los datos presentes en la plataforma y validar si los marcadores de cifrado están correctamente implementados.

Señalización de Datos Sensibles

Todos los campos estándar del sistema se refieren solo a datos personales básicos como nombre o códigos internos. Sin embargo, los usuarios pueden crear campos personalizados o importar campos según la integración utilizada.

Para reducir riesgos, durante la importación de datos, todos los campos creados serán clasificados automáticamente como Datos Sensibles y almacenados cifrados.

En campos creados manualmente, el usuario podrá definir si el campo contiene datos sensibles. Campos creados sin esta señalización deberán pasar por una confirmación secundaria antes de ser creados.

Datos marcados como “sensibles” serán almacenados cifrados. Durante las revisiones del inventario, si un revisor identifica campos que reciben datos sensibles pero no están marcados, podrá solicitar ajustes.

Cifrado

La base de datos utiliza cifrado tipo Rijndael, mientras que la copia de seguridad utiliza AES-256.

Las claves se almacenan en un cofre electrónico con acceso exclusivo del CEO y Director del equipo de Administración. Las claves deben actualizarse cada dos años.

La transmisión de datos utiliza HTTPS y protocolo TLS 1.2+, garantizando transmisión cifrada.

Atención a Solicitudes del Titular

El titular puede solicitar sus derechos de acceso a los datos utilizados en el Portal de la Calidad a través de un formulario enviado al DPO o soporte.
Enlace para completar el formulario.

GESTIÓN DE DOCUMENTOS

Este documento es válido a partir de su aprobación más reciente y está bajo responsabilidad del equipo de proyectos de 2CLIX TECNOLOGIA EIRELI. El ciclo de actualización es anual y debe llevarse a cabo de acuerdo con la evaluación de eficacia y adecuación de este documento frente a las demás políticas y procesos de la empresa.

Para garantizar una evaluación clara y consistente, los siguientes criterios serán utilizados:

  • Alteraciones relevantes en legislación, normas o contratos;
  • Conflictos de requisitos causados por priorización incorrecta;
  • Incidentes de seguridad derivados de no conformidades legales, contractuales o normativas;
  • Redundancias o procesos repetidos derivados de interpretaciones conflictivas.

Los registros de incidentes relacionados a este documento serán archivados en una carpeta específica en el directorio de documentos de 2CLIX TECNOLOGIA EIRELI.

Newsletter

Convierte tu atención en resultados.

Recibe consejos y contenidos exclusivos sobre monitoreo de calidad, gestión de CX y eficiencia en el servicio.

Al hacer clic en "Suscribirme", confirmas que aceptas nuestros Términos y Condiciones.

Scroll al inicio