Menu

Política de Seguridad de la Información y Cibernética

Home / Política de Seguridad de la Información y Cibernética

Política de Seguridad de la Información y Cibernética

Código del documento: SGSI-DOC-05-01 | Versión: 3.0 | Vigente hasta: 19/05/2026

Objetivo

Esta política orienta a Compass en la gestión de la seguridad de la información y la cibernética, demostrando el compromiso de la organización con la protección de la información corporativa y otros activos de información. Forma parte del conjunto de políticas asociadas con el Sistema de Gestión de Seguridad de la Información requerido por la norma ISO/IEC 27001.

Alcance y Público Objetivo

Esta política orienta el comportamiento de todos los agentes vinculados a Compass en lo que respecta a la Seguridad de la Información y Cibernética. Se aplica a todos los usuarios de datos e información de Compass, incluyendo a cualquier persona u organización que tenga o haya tenido vínculo con Compass, tales como empleados, exempleados, proveedores de servicios, exempleadores de servicios, colaboradores, excolaboradores, que hayan tenido, tengan o vayan a tener acceso a la información de Compass y/o que hayan utilizado, utilicen o vayan a utilizar recursos informáticos comprendidos en la infraestructura de Compass.

Política de Seguridad de la Información y Cibernética

La Política de Seguridad de la Información y Cibernética de Compass tiene como principales compromisos:

• Establecer directrices que permitan a los empleados y proveedores de servicios de Compass adquirir conocimiento y conciencia relacionados con la Seguridad de la Información y la Cibernética;

• Asegurar la disponibilidad, confidencialidad e integridad de los datos, la información y los sistemas de información utilizados;

• Prevenir, identificar y reducir las vulnerabilidades presentes en el entorno cibernético de la empresa y tratar oportunamente los incidentes ocurridos para evitar impactos negativos en las operaciones y en la calidad de los servicios prestados a nuestros clientes;

• Cumplir con los requisitos establecidos en las obligaciones legales, reglamentarias, contractuales y otras;

• Promover la mejora continua del Sistema de Gestión de Seguridad de la Información, revisando fallas o puntos débiles y adaptándolo a los cambios de los entornos internos y externos.

A continuación, destacamos las principales directrices que Compass debe seguir para proteger su información.

Directrices

D1 – Consideramos la información como un activo esencial para todos los procesos de negocio de la organización y debe ser protegida contra diversos tipos de amenazas.

D2 – Alineamos la gestión de la seguridad de la información y cibernética con nuestros negocios.

D3 – Tratamos la información durante todo su ciclo de vida de manera ética y responsable.

D4 – Garantizamos la confidencialidad, integridad y disponibilidad de la información en todo su ciclo de vida: producción, manipulación, reproducción, transporte, transmisión, almacenamiento y eliminación.

D5 – Aplicamos protección a los activos de información de forma compatible con su criticidad para nuestras actividades, abarcando todos los procesos, sean o no informatizados, incluyendo el uso de la computación en la nube.

D6 – Identificamos, analizamos, evaluamos y tratamos los riesgos que involucren los activos de información mediante evaluaciones periódicas a intervalos regulares.

D7 – Adoptamos mecanismos de protección contra el uso indebido, fraudes, daños, pérdidas, errores, sabotajes, robo y ataques cibernéticos, durante todo el ciclo de vida de la información.

D8 – Monitoreamos de forma continua los activos de información y utilizamos procesos, controles y tecnologías para la prevención y respuesta a ataques cibernéticos.

D9 – Cumplimos con el principio de segregación de las funciones de desarrollo y uso de los activos de información en la gestión de la seguridad de la información y cibernética.

D10 – Identificamos y definimos al menos un gestor de la información y le asignamos responsabilidades sobre la información durante todo su ciclo de vida.

D11 – Difundimos la cultura de seguridad de la información y cibernética mediante un programa permanente de sensibilización, concienciación y capacitación.

D12 – Preservamos nuestros requisitos de seguridad de la información y cibernética en la contratación de servicios o personas y en la relación con colaboradores, proveedores, terceros, socios, contratistas y practicantes.

D13 – Concedemos a empleados y terceros únicamente el acceso a la información necesaria para el desempeño de sus funciones y asignaciones previstas en contrato o por disposición legal.

D14 – Identificamos individualmente a cada usuario mediante el control de acceso y, en los casos debidamente comprobados de uso indebido de la información corporativa, lo responsabilizamos junto con el administrador que le otorgó el acceso.

D15 – Analizamos los incidentes de uso indebido de la información corporativa desde los aspectos legales y disciplinarios, imputando la responsabilidad correspondiente, y desde el aspecto técnico, corrigiendo las vulnerabilidades.

D16 – Analizamos críticamente los cambios que puedan afectar la seguridad de la información, antes de su implementación, y tomamos las acciones necesarias para mitigar los posibles efectos adversos a través de la planificación y gestión de cambios.