THE FACTORY HKA CORP., empresa líder en facturación electrónica, se compromete a través de la implementación de un Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001 a salvaguardar sus activos de información, protegiéndolos a través de una cultura de seguridad de la información, garantizando su confidencialidad, integridad y disponibilidad, generando una adecuada gestión del riesgo, el cumplimiento de los requisitos legales, la oportuna gestión a los incidentes y una estrategia de seguridad basada en las mejores prácticas y controles, con el fin de resguardar los activos de información de las amenazas que se ciernen sobre ellos y reafirmar el compromiso institucional de mejora continua del sistema de gestión de la seguridad de la información.

La Dirección THE FACTORY HKA CORP., es consciente de que la información es un activo que tiene un elevado valor para la Organización y requiere, por tanto, una protección y gestión adecuada. En este sentido, establece como objetivos de base, punto de partida y soporte de los objetivos y principios de la seguridad de la información para todo empleado, los siguientes:

• ● La protección de los datos de carácter personal
• ● La salvaguarda de los registros de la organización
• ● La protección de los derechos de propiedad intelectual
• ● La documentación de la política de seguridad de la información
• ● La asignación de responsabilidades de seguridad
• ● La formación y capacitación para la seguridad de la información
• ● El registro de las incidencias de seguridad
• ● La gestión de la continuidad del negocio
• ● La gestión de los cambios que pudieran darse en la empresa referente a la seguridad

Esta política también contempla para los proveedores de bienes y servicios o cualquier persona que tenga una relación contractual con la empresa y que tengan acceso a los activos de información de THE FACTORY HKA CORP., sea cual fuere su nivel jerárquico, la obligación de la aplicación de las políticas definidas en este manual dentro de sus áreas de responsabilidad así como el cumplimiento por parte de su grupo de trabajo de los siguientes aspectos de la seguridad de la información:

• ● Toda relación contractual que establezca una persona natural o jurídica con THE FACTORY HKA CORP., deberá incluir un acuerdo de confidencialidad y una cláusula de cumplimiento de la política de seguridad de la información, y se debe incluir que THE FACTORY HKA CORP., podrá auditar el cumplimiento de lo establecido en dichos documentos, así como las penalizaciones con base en los daños potenciales ante la violación de la confidencialidad de la información. En este sentido, se debe dar cumplimiento a los lineamientos establecidos en el documento Compromiso de Confidencialidad Proveedores.
• ● Incluir dentro de los Contratos una cláusula que haga referencia al cumplimiento de la protección de Datos Personales.
• ● Es obligación, por parte de los empleados de la empresa proveedora, el reporte de cualquier anomalía que sea detectada para que su tratamiento sea oportuno y se prevengan incidentes de Seguridad.
• ● Si el proveedor es responsable por aplicaciones o servicios informáticos, estos deben cumplir con los requerimientos de protección de la Confidencialidad, Integridad y Disponibilidad definida por THE FACTORY HKA CORP., y que debe demostrar con base en el activo que va a ser manejado con uno o más de los siguientes controles:
  
  
  • o Monitoreo: Estar en capacidad de brindar los mecanismos para detectar incidentes de seguridad de la información sobre el funcionamiento de la aplicación con el que se presta el servicio a THE FACTORY HKA CORP., con un nivel ajustado a los requerimientos del activo involucrado en el servicio.
  • o Gestión de Vulnerabilidades: Mantener un proceso de revisión permanente de las posibles vulnerabilidades en las aplicaciones que son responsabilidad del proveedor y establecer el proceso de asesoría hacia THE FACTORY HKA CORP., con el fin de mitigar oportunamente los riesgos asociados con las vulnerabilidades identificadas.
  • o Control de acceso: Presentar los mecanismos de control de acceso a los servicios y los datos manejados con base en la Política de Control de Acceso (Política de Gestión de Contraseña) de THE FACTORY HKA CORP.
  • o Gestión de incidentes: Contar con un esquema de identificación, reporte, escalamiento, tratamiento y documentación de los incidentes que se presenten en el funcionamiento de la aplicación o servicio prestado.
  • o Soporte: El proveedor debe contar con los expertos idóneos para atender incidentes o eventos de seguridad de la información con base en el SGSI de THE FACTORY HKA CORP.
  • o Redundancia: Si los servicios provistos así lo requieren, el proveedor debe contar con sistemas redundantes que le permitan cumplir con los acuerdos de niveles de servicio acordados con THE FACTORY HKA CORP.
  • o Licenciamiento: Todas las aplicaciones y servicios prestados por el proveedor deben contar con el licenciamiento acorde con el marco legal y regulaciones que apliquen a THE FACTORY HKA CORP.

La Dirección THE FACTORY HKA CORP., mediante la elaboración e implantación del presente Sistema de Gestión de Seguridad de la Información, adquiere los siguientes compromisos:

• ● Desarrollar productos y servicios conformes con los requisitos legislativos, identificando para ello las legislaciones de aplicación a las líneas de negocio desarrolladas por la organización e incluidas en el alcance del Sistema de Gestión de la Seguridad de la Información.
• ● Establecimiento y cumplimiento de los requisitos contractuales con las partes interesadas.
• ● Definir los requisitos de formación en seguridad y proporcionar la formación necesaria en dicha materia a los Colaboradores de THE FACTORY HKA CORP., mediante el establecimiento de planes de formación, o cualquier otro grupo de interés que la empresa determine que es necesario aplicarles un plan de formación.
• ● Prevención y detección de virus y otro software malicioso, mediante el desarrollo de políticas específicas y el uso de software especializado para tal fin.
• ● Gestión de la continuidad del negocio, desarrollando planes de continuidad.
• ● Actuar en todo momento dentro de la más estricta ética profesional.

En caso de no cumplir con los parámetros que se establecen en la presente política de seguridad de la información, se podrán tomar las medidas necesarias de acuerdo a las posibles consecuencias generadas para la organización.

Las medidas correctivas por comportamientos inadecuados de los usuarios sobre los sistemas de información o por incumplimiento de las políticas establecidas por la empresa, serán tomadas por la Gerencia de Tecnología. Igualmente, si existe reiteración de los hechos, será informado al área de Administración, quienes actuarán de acuerdo con los procedimientos establecidos. En el caso de terceros (servicios internos o externos, proveedores o contratistas) se aplicarán las cláusulas existentes en los contratos y dada la gravedad de los hechos, se iniciarán las acciones respectivas, ante los Entes de Control correspondientes.

Esta política proporciona el marco de referencia para la mejora continua del Sistema de Gestión de Seguridad de la Información, así como para establecer y revisar los objetivos del Sistema de Gestión de Seguridad de la Información, siendo comunicada a toda la Organización a través de los canales de comunicación establecidos, siendo revisada anualmente para su adecuación y extraordinariamente cuando concurran situaciones especiales y/o cambios sustanciales en el Sistema de Gestión de Seguridad de la Información, estando a disposición del público en general.