OBJETIVO
La Política de Seguridad de la Información (PSI) tiene como objetivo establecer principios, directrices y responsabilidades para garantizar la confidencialidad, integridad, disponibilidad y privacidad de la información manejada por las empresas que conforman el Grupo OSTEC, respetando la autonomía operativa y legal de cada organización. La PSI se basa en las mejores prácticas internacionales en seguridad de la información, especialmente en la familia de normas ISO/IEC 27000, como la ISO/IEC 27001, que establece los requisitos para un Sistema de Gestión de la Seguridad de la Información (SGSI), y la ISO/IEC 27701, que amplía el alcance a la protección de datos personales (SGSP), en consonancia con la legislación vigente, como el Reglamento General de Protección de Datos (RGPD). Los objetivos de la Política de Seguridad de la Información son:
a) establecer principios y directrices para proteger los activos de información y el conocimiento generado o recibido;
b) Establecer directrices generales para la seguridad y la privacidad de la información, contribuyendo a la gestión eficiente de los riesgos, limitándolos a niveles aceptables, así como preservando los principios de confidencialidad, integridad, disponibilidad, privacidad y autenticidad de la información;
c) Establecer competencias y responsabilidades en materia de seguridad y privacidad de la información;
d) orientar el desarrollo de políticas o normas necesarias para la aplicación efectiva de la seguridad y la privacidad de la información;
e) Promover la alineación de las acciones de seguridad de la información y privacidad con las estrategias de planificación organizativa del Grupo OSTEC.
ALCANCE
En el marco del Sistema de Gestión de la Seguridad de la Información y del Sistema de Gestión de la Privacidad de la Información de las empresas que conforman el Grupo OSTEC, esto se aplica a los siguientes elementos:
a) todos los usuarios de la información que tengan acceso a activos de información o recursos tecnológicos;
b) todo tipo de información procesada, incluidos los datos personales de clientes, empleados, socios, proveedores y cualquier otro dato confidencial, de propiedad exclusiva o sensible;
c) todos los sistemas de información, dispositivos, redes, servidores, aplicaciones, bases de datos y cualquier otro recurso tecnológico utilizado en el procesamiento de la información;
d) todos los procesos y procedimientos relacionados con la gestión de la seguridad de la información y la protección de datos personales, incluyendo el desarrollo, operación, mantenimiento y eliminación de activos de información;
e) todas las instalaciones físicas, incluidas oficinas, centros de datos y cualquier otro lugar donde se almacenen, procesen o transmitan activos de información;
f) Todos los proveedores de servicios externos y socios comerciales que tengan acceso a información y sistemas, o que presten servicios fundamentales para sus actividades u operaciones.
DEFINICIONES
Para una comprensión clara y coherente de esta Política de Seguridad de la Información, se adoptan las siguientes definiciones:
a) Activo de información:Cualquier información o recurso que tenga valor para la organización y requiera una protección adecuada.
b) Confidencialidad:La propiedad de garantizar que la información no se ponga a disposición ni se divulgue a personas, entidades o procesos no autorizados;
c) Integridad: propiedad de exactitud e integridad de la información;
d) Disponibilidad: propiedad de ser accesible y utilizable a demanda por una entidad autorizada;
e) Privacidad: control sobre la recopilación, almacenamiento, uso y compartición de datos personales, de conformidad con las leyes aplicables;
f) Datos personales: información relativa a una persona física identificada o identificable;
g) Datos personales sensibles: datos personales relativos al origen racial o étnico, creencias religiosas, opiniones políticas, afiliación a un sindicato u organización religiosa, filosófica o política, datos relativos a la salud o la vida sexual, datos genéticos o biométricos, cuando estén vinculados a una persona física;
h) Sistema de gestión de la seguridad de la información (SGSI): un conjunto de políticas, procesos, procedimientos y controles diseñados para gestionar y proteger los activos de información de una organización.
i) Sistema de Gestión de la Privacidad de la Información (IPMS): un conjunto de políticas, procesos y controles implementados para gestionar y proteger los datos personales, garantizando el cumplimiento de la legislación de privacidad aplicable y protegiendo los derechos de los interesados.
RESPONSABILIDADES
La estructura de gestión de seguridad y privacidad de la información consta de:
a) Alta dirección:Responsable de garantizar el compromiso con la seguridad y la privacidad de la información en las empresas que conforman el Grupo OSTEC, asegurando el cumplimiento de esta Política y proporcionando los recursos necesarios para su implementación y mejora continua;
b) Comité de Seguridad y Privacidad de la Información:responsable de la gobernanza de la seguridad y la privacidad de la información, incluida la revisión periódica de esta Política y el seguimiento de las iniciativas relacionadas con el Sistema de Gestión de la Seguridad de la Información (SGSI) y el Sistema de Gestión de la Privacidad de la Información (SGPI);
c) Gerentes:Aquellos responsables de garantizar que los miembros de su equipo conozcan y cumplan esta Política, promuevan las mejores prácticas en seguridad y privacidad de la información y fomenten la participación en iniciativas de concientización y capacitación;
d) Responsable de Protección de Datos (RPD):Responsable de orientar a la organización en materia de protección de datos personales y prácticas de privacidad, actuando como punto de contacto con las autoridades competentes y los interesados, y supervisando el cumplimiento de la legislación aplicable;
e) Responsable de seguridad de la información:Responsable de coordinar las actividades relacionadas con la seguridad y la privacidad de la información, apoyando la implementación de esta Política y la gestión de los riesgos e incidentes de seguridad de la información;
f) Usuarios de la información:Todas las personas físicas u organizaciones que tengan acceso a los activos de información o a los recursos tecnológicos de las empresas que conforman el Grupo OSTEC son responsables de cumplir con esta Política y de contribuir a la protección de la confidencialidad, la integridad, la disponibilidad y la privacidad de la información, informando de inmediato sobre cualquier incidente o sospecha de violación de la seguridad.
PAUTAS
Las prácticas de seguridad de la información y privacidad de las empresas que conforman el Grupo OSTEC se rigen por los principios que gobiernan el buen gobierno corporativo y la responsabilidad corporativa, incluidas las siguientes directrices:
a) Confidencialidad:El acceso a la información debe restringirse únicamente a las personas autorizadas y solo cuando sea necesario para el desempeño de sus funciones.
b) Integridad:La información debe protegerse contra alteraciones no autorizadas, garantizando su exactitud y fiabilidad.
c) Disponibilidad:La información y los sistemas deben estar disponibles para los usuarios autorizados siempre que sea necesario para las actividades de la organización.
d) Privacidad:para garantizar que el tratamiento de datos personales se lleve a cabo de forma responsable y de conformidad con la legislación aplicable en materia de protección de datos;
e) Continuidad de los procesos y servicios esenciales:Garantizar que cada empresa del Grupo OSTEC establezca y mantenga prácticas de continuidad del negocio capaces de preservar o restablecer procesos y servicios críticos, teniendo en cuenta los requisitos empresariales, las exigencias legales y reglamentarias, así como las necesidades y expectativas de los clientes, incluso ante incidentes de seguridad de la información y privacidad;
f) Proporcionalidad de las medidas de protección: Garantizar que las medidas de seguridad y privacidad de la información se definan e implementen de manera proporcional a los riesgos identificados y a la criticidad de los activos de información.
g) Acceso a la información, protección de datos personales y privacidad:Garantizar que el acceso a la información y el tratamiento de datos se realicen de forma responsable, equilibrando las necesidades empresariales con la protección de los datos personales y el respeto a la privacidad de las personas, de conformidad con la legislación aplicable;
h) Responsabilidad del usuario:Todos los usuarios de la información son responsables de utilizar los activos de información y los recursos tecnológicos de forma segura y de conformidad con esta Política y demás documentos aplicables sobre seguridad y privacidad de la información.
• Las empresas que conforman el Grupo OSTEC deben garantizar que los empleados, los proveedores de servicios y los terceros que tengan acceso a la información o a los sistemas estén debidamente informados y comprometidos a cumplir con esta Política y demás documentos aplicables sobre seguridad de la información y privacidad.
i) Gestión de incidentes de seguridad y privacidad de la información:Garantizar que los incidentes y sucesos relacionados con la seguridad de la información y la privacidad se notifiquen, registren y gestionen de forma adecuada y con prontitud, de acuerdo con los procesos definidos por las empresas que conforman el Grupo OSTEC.
j) Alineación estratégica:para garantizar que las prácticas de seguridad y privacidad de la información estén alineadas con la planificación estratégica de las empresas que conforman el Grupo OSTEC, garantizando la coherencia con los objetivos comerciales y otros documentos aplicables sobre seguridad y privacidad de la información;
k) Cumplimiento de la legislación y las normativas:Para garantizar que las prácticas de seguridad y privacidad de la información cumplan con las leyes y regulaciones aplicables, incluida la Ley General de Protección de Datos (LGPD) y otros requisitos legales pertinentes;
l) Educación y comunicación:Fomentar una cultura de seguridad y privacidad de la información mediante programas continuos de sensibilización, formación y comunicación, garantizando que los empleados y socios conozcan sus responsabilidades y las mejores prácticas en materia de seguridad y privacidad de la información;
m) Mejora continua:Promover la mejora continua de las prácticas de seguridad y privacidad de la información, teniendo en cuenta la evolución de las amenazas, los riesgos y las tecnologías utilizadas;
Las directrices presentadas constituyen la base de la seguridad de la información y la gestión de la privacidad en las empresas que conforman el Grupo OSTEC, y guían el desarrollo, la implementación y el mantenimiento de las políticas y demás documentos aplicables.
DOCUMENTOS COMPLEMENTARIOS
La Política de Seguridad de la Información forma parte del conjunto de documentos que conforman la Gestión de la Seguridad de la Información y la Privacidad en las empresas que integran el Grupo OSTEC.
La aplicación de las directrices establecidas en esta Política se lleva a cabo mediante políticas, procesos, procedimientos y demás documentos aplicables en materia de seguridad y privacidad de la información, que definen los controles y las prácticas necesarias para la protección de los activos de información.
Estos documentos deben prepararse y mantenerse de conformidad con la legislación aplicable, los requisitos reglamentarios y las mejores prácticas en materia de seguridad y privacidad de la información.
DELEGADO DE PROTECCION DE DATOS
Seguridad América SSL Ltda. Nombra como Responsable de la Protección de Datos a don Diego López Aedo. registrada con el número RUT 76.223.328-2, con sede en la ciudad de Santiago de Chile, en la Avenida Isidora Goyenechea 2800, comuna de Las Condes. Representada legalmente por Victor González y Francisco Santibañez y el responsable de protección de datos suplente es Mauricio González Maulen, a quien puede contactar por correo electrónico a dpo@seguridadamerica.com.
DISPOSICIONES FINALES
a) Esta Política deberá revisarse periódicamente o siempre que se produzcan cambios relevantes en los requisitos legales o reglamentarios o en las actividades de las empresas que conforman el Grupo OSTEC.
b) El incumplimiento de esta Política puede dar lugar a la adopción de las medidas administrativas oportunas, de conformidad con la normativa interna de las empresas que integran el Grupo OSTEC y la legislación aplicable.
c) Las preguntas, comunicaciones o solicitudes relacionadas con esta Política de Seguridad de la Información pueden enviarse al Grupo OSTEC a través del canal institucional designado para tal fin, por correo electrónico: dpo@grupoostec.com.
NATURALEZA DE LOS CAMBIOS
Tabla – Historial de revisiones
Fecha | Revisión | Descripción | Modificado por | Aprobado por |
23/09/2024 | 00 | Redacción inicial del documento | Daniel Cadorin | Comité SGPI |
10/03/2026 | 01 | Revisión general y actualización de la Política de Seguridad de la Información, incluyendo ajustes en la estructura, responsabilidades, directrices y alineación con las prácticas de gobernanza de la seguridad de la información y la privacidad. | Daniel Cadorin | Comité SGPI |
24/03/2026 | 01 | Actualización en Seguridad América II | Mauricio González | Comité SGPI |