👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
TSC: Seguridad (Common Criteria): Principio 14 del Marco COSO, CC6.5 y CC6.7.
TSC: Confidencialidad: C1.2.
TSC: Privacidad: P2.1 y P5.2.
TSC: Integridad del Procesamiento: PI1.2, PI1.3 y PI1.5.
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a establecer y documentar los lineamientos de seguridad para todo el ciclo de vida de la información en tu empresa. Esta política define las reglas sobre cómo se debe manejar la información para garantizar en todo momento su Confidencialidad, Integridad del Procesamiento, Privacidad y Seguridad, cumpliendo así con múltiples Trust Service Criteria de SOC 2.
¿Qué tengo que hacer? 🚀
Para realizar esta actividad, primero debes identificar las acciones de tratamiento que realizas con la información (física y digital). Tu política debe establecer los controles para las siguientes acciones:
Intercambio o transferencia
Esto ocurre cuando la información necesita ser compartida con terceros. Los lineamientos de seguridad deben garantizar que la transferencia se realice de forma segura para proteger la información en tránsito.
Lineamientos clave: Exigir el uso de canales de comunicación seguros (por ejemplo, SFTP, HTTPS), la aplicación de cifrado en la información sensible antes de su envío y el uso de métodos de autenticación robustos. Esto es vital para mantener la integridad de los datos durante la transferencia (PI1.2). Si se permite el uso de medios físicos extraíbles (USB, discos duros), se deben definir controles para su protección, en línea con CC6.7.
Si permites el uso de medios extraíbles como USB, discos duros, etcétera, debes documentar también el “Procedimiento de Transferencia de Información (por medios extraíbles)”.
Carga (o Importación)
Esto ocurre cuando se carga información a un sistema, servidor o base de datos. Los lineamientos deben enfocarse en proteger la información durante este proceso.
Lineamientos clave: Utilizar métodos de cifrado para proteger la información durante el proceso de carga y asegurar que los sistemas de destino tengan los controles de acceso adecuados para protegerla una vez importada.
Almacenamiento
Es fundamental definir medidas de seguridad para proteger la información mientras está en reposo.
Lineamientos clave: Implementar un adecuado control de accesos, generar copias de seguridad periódicas (alineado al “Procedimiento de Gestión de Backups”) y definir el período de retención. La protección de los datos almacenados contra acceso o alteración no autorizados es un requisito directo del criterio PI1.5. Para la información personal, el período de retención debe ser el mínimo necesario para cumplir con la finalidad informada, como lo exige el criterio P5.2.
Eliminación
Esto ocurre cuando la información ya no es necesaria. Se deben implementar métodos de borrado seguro para prevenir la recuperación no autorizada.
Lineamientos clave: Utilizar técnicas como la sobreescritura, el borrado criptográfico o la destrucción física (por ejemplo, trituración de documentos). Este proceso es crítico para cumplir con los criterios C1.2 (Disposición de Información Confidencial) y P5.2 (Disposición de Información Personal).
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu política fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Asegura la consistencia con tu aviso de privacidad: Las reglas que definas en esta política (especialmente sobre retención y eliminación de datos personales) deben ser consistentes con lo que le prometes a tus usuarios en tu “Aviso de Privacidad”. Un auditor de SOC 2 verificará esta coherencia.
Comienza identificando los formatos de información que manejas en la empresa (físicos y digitales). Esto te ayudará a definir los lineamientos más adecuados para su protección.
Complementa esta política con lo establecido en la “Política de Seguridad de la Información” y la “Política de Tecnología y Operaciones de TI”.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.