Politicas de uso de tecnologia

[pic 1]

PRH-02-02

Política de Uso de Tecnología

CUADRO DE CONTROL DE FIRMAS

OBJETO[pic 2][pic 3]

Audatex México depende de forma crítica de sus sistemas de informática y comunicación. La tecnología es el corazón de nuestro negocio, el almacenamiento y procesamiento de la información de nuestros clientes y sus negocios con nosotros. Una amenaza directa para la seguridad de nuestros sistemas significa una amenaza directa para nuestro negocio.

La presente política sirve de punto de referencia sobre los principales lineamientos  que aplican en la gestión de los recursos y herramientas tecnológicos que proporciona la Compañía.

ÁMBITO DE APLICACIÓN

Esta política es de obligado conocimiento, cumplimiento y aplica para todos los empleados de Audatex LTN y Autoclaims México a nivel nacional durante su pertenencia a esta empresa.

DOCUMENTOS RELACIONADOS

Doc. PRH-02-01 “Acuerdo de Confidencialidad”

Doc. PRH-02-02 “Conocimiento de política de uso de tecnología” Doc. PRH-02-03 “Definición de páginas y protocolos restringidos” Doc. PRH-02-04 “Solicitud de acceso a internet”

DEFINICIONES

Empleado: término que se utiliza en la presente política para mencionar a todas aquellas personas contratadas por Servicios Corporativos Audatex y Autoclaims servicios. Incluye a los becarios que realizan prácticas profesionales.

Terceros: término que se utiliza para hacer referencia a todas aquellas personas contratadas a través de salarios asimilados, consultores, subcontratados, comisionistas y proveedores.

Seguridad de la Información: Se refiere a tres conceptos que son confidencialidad de la información, Integridad en el uso de la información y disponibilidad de la información y los sistemas.

Información Sensible: Se refiere a cualquier tipo de dato, documento, proceso y/o sistema que por su relevancia para el negocio debe ser resguardado y cuyo acceso y divulgación debe ser limitada al menor número de personas posibles para salvaguardar su integridad y para asegurar su confidencialidad.

Información de dominio público: Se refiere a cualquier tipo de dato, documento, proceso y/o sistema cuya divulgación puede ser realizada abiertamente y sin restricciones a cualquier grupo de personas y/o entidades.

Confidencialidad: se refiere a la limitar el acceso a la información a tan sólo aquellas personas autorizadas. Se entiende aquella información que si se pone a disposición de los competidores o el público en general resultaría ventajosa para los competidores o iría en detrimento de Audatex, sus accionistas, clientes o empleados.

Integridad: se refiere a la exactitud de la información; garantizando que la información no ha sido manipulada o alterada por un tercero.

Disponibilidad: garantizar que la información y los sistemas de información se encuentren accesibles y puedan ser utilizados en cualquier momento y en la forma requerida

I&S: Área del departamento de IT responsable de la Infraestructura y Seguridad de los sistemas.

Log-in ID/Clave de Usuario: Cadena de caracteres alfanuméricos que identifica de manera única a una persona para proporcionarle acceso a la información y/o sistemas de información.

Contraseña: Cadena de caracteres alfanuméricos y especiales que permite identificar plenamente a una persona al acceder a la información y/o sistemas de información.

Delincuencia Informática: Acto criminal en el que el objetivo del delito es el equipo de computación, software o datos (por ejemplo, el robo de equipos o de un virus). Esto incluye el acceso no autorizado a los sistemas de información de Audatex México.

Credenciales: conjunto de información proporcionada por el empleado para validar y autorizar su acceso a los recursos informáticos de la empresa. Normalmente las credenciales corresponden a la pareja del login ID y contraseña asignada al empleado.

Recursos/Activos Informáticos: Todos aquellos dispositivos electrónicos y/o de comunicaciones, sistemas y/o programas en los cuales se almacena, procesa y/o distribuye información sensible y de dominio público.

POLÍTICA

1. RESPONSABILIDAD

1. Cada gerente de área tiene la responsabilidad sobre los activos informáticos de su área de trabajo y debe asegurarse de que sus empleados entiendan y cumplan con las políticas y procedimientos establecidos por Audatex México.

1. Es responsabilidad de todos los empleados de Audatex México garantizar que la seguridad y los controles establecidos en la presente política se implementen y cumplan en sus áreas de acuerdo con un comportamiento profesional y siguiendo las normas y procedimientos de la Compañía.

1. Todos los empleados y terceros se comprometerán por escrito a través del “Acuerdo de Confidencialidad” (Doc PRH-02-01) a conservar y dar buen uso de los recursos informáticos de la empresa de acuerdo con los lineamientos de la presente política. De igual forma deben firmar el documento de “Conocimiento de política de uso de tecnología” (Doc PRH-02-02) que certifica la lectura y comprensión de la presente.

1. Los empleados y terceros deben:

• Reportar de forma inmediata a su supervisor cualquier incidente sospechoso que represente una amenaza a la seguridad de la información.
• Proteger la información de Audatex y mantener las  condiciones de seguridad en todo momento.
• Conocer y entender qué tipo de información debe ser protegida.
• Seguir los  procedimientos  publicados  con relación al  uso de  la  información sensible.

1. La información sensible por ningún motivo debe ser entregada a personas ajenas a la compañía sin previa  autorización por escrito. El proporcionar información confidencial a personas ajenas se considera como una falta grave que, dependiendo de la gravedad del caso, podría tener como consecuencia la rescisión de contrato, terminación del contrato de servicios (en el caso de terceros) o inclusive acción legal.

1. Los sistemas, datos y programas sólo se deben acceder cuando el empleado o el tercero cuente con la autorización por escrito del área de I&S para hacerlo.

1. CONTRASEÑAS

1. El log-in y la contraseña de cada empleado y/o tercero son estrictamente personales e intransferibles. Es responsabilidad del empleado y/o tercero mantener sus contraseñas en secreto.

1. Las contraseñas son utilizadas para controlar el acceso a los sistemas de información y para establecer un registro de las operaciones que el usuario realice con dicha contraseña.

1. Queda prohibido proporcionar dichas claves y contraseñas a otras personas. Las acciones realizadas por otras personas bajo sus credenciales será responsabilidad exclusiva del dueño de dicha contraseña.

1. Para elegir una contraseña los empleados y/o terceros deberán seguir los siguientes lineamientos:

• Elegir una contraseña que sea difícil de descubrir (por ejemplo no aplican nombres de esposas, hijos, fechas de nacimiento del empleado, etc.)
• Utilizar un mínimo de 8 caracteres; o Utilizar numéricos y alfanuméricos; o No repetir caracteres;
• Evitar el uso de nombres, temas o palabras comunes;
• En caso de tener que escribir la contraseña se debe disfrazar de modo que sólo usted pueda conocerla; no la escriba en ambos en el mismo lugar, intercale o agregue caracteres a la misma, etc.

1. El empleado y/o tercero deberá cambiar su contraseña cuando el sistema se lo pida automáticamente, no debe dejar que expire el plazo para el cambio.

1. En caso de que el empleado y/o tercero tenga sospecha de que su contraseña pudo haber sido descubierta por otra persona deberá cambiarla inmediatamente aún cuando el sistema no se lo haya solicitado y notificarlo a su jefe inmediato y al área de I&S para iniciar las investigaciones pertinentes.

1. USO DE LOS RECURSOS INFORMATICOS

1. Todos los empleados y/o terceros con equipo de Audatex asignado tienen un log-in ID y una contraseña para ingresar a su equipo de cómputo.

1. Es responsabilidad del empleado no permitir que personas ajenas hagan uso de las herramientas tecnológicas de la empresa.

1. Se considerará una falta grave el ingresar a los recursos informáticos de otra persona sin su consentimiento por escrito aún cuando se trate del jefe directo del empleado y/o tercero.

1. Únicamente se podrá acceder a los recursos informáticos de un empleado y/o tercero por cuestiones de seguridad, alto riesgo en las operaciones o del negocio o en caso de que se esté llevando a cabo una investigación.

1. El Director de TI, la Dirección de RH y la Dirección General serán las únicas personas con la facultad de accesar los recursos informáticos de un empleado y/o tercero.

1. Es responsabilidad del empleado y/o tercero al momento de retirarse apagar su equipo así como al moverse de su lugar terminar su sesión o bloquear el acceso a sus recursos informáticos (con la tecla del símbolo de Windows + L).

1. En caso de que por cuestiones laborales el empleado y/o tercero deba dejar el equipo encendido deberá contar con la autorización por escrito de su jefe inmediato. En tal caso no deberán mantenerse encendidos y/o con sesiones abiertas por un periodo mayor a 5 días calendario. En todos los casos se deberá reiniciar los recursos informáticos.

1. COMPUTADORAS PERSONALES

1. Para el ejercicio de sus labores lo empleados deberán utilizar únicamente equipos y software con licencia y controlados por el área de I&S;

1. El equipo y software proporcionados por Audatex deberán ser utilizados sólo para los fines autorizados en la presente política.

1. No está permitido el uso de computadoras personales dentro de las instalaciones de Audatex así como no está permitido que se conecten equipos de cómputo personales a los recursos informáticos de Audatex.

...