INTRODUCCIÓN

OBJETIVO

El objetivo principal de esta Política es definir los principios y reglas básicos para la gestión de la seguridad de la información. El objetivo final es conseguir que los proveedores y terceros con quien trabaje CAPILLARY IO garanticen la seguridad de la información y minimice los riesgos derivados de un impacto provocado por una gestión ineficaz de la información.

GESTIÓN DE TERCEROS

OBJETIVO

El objetivo principal es mitigar los posibles riesgos asociados al acceso de la información, a los sistemas de información o a los recursos de CAPILLARY IO por parte de los proveedores de servicios, independientemente del tipo de servicio prestado, o de la relación que le une con CAPILLARY IO (legal, contractual o de cualquier otra índole no de carácter laboral), para proteger la confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad de la información de CAPILLARY IO y sus clientes.

CAPILLARY IO se reserva el derecho de modificar este documento cuando sea necesario. Los cambios realizados serán comunicados a todas las empresas prestadoras de servicios a las que aplica utilizando los medios que se consideren adecuados. Es responsabilidad de cada empresa proveedora asegurarse de que su personal haya leído y conozca las políticas de seguridad más recientes de CAPILLARY IO, así como obtener su compromiso de cumplir y respetar dichas regulaciones. En caso de incumplimiento de cualquiera de estas obligaciones, CAPILLARY IO se reserva el derecho de adoptar las medidas sancionadoras que se consideren pertinentes en relación con la empresa contratada, y que podrán dar lugar a la resolución de los contratos que tiene vigentes con dicha empresa.

PRINCIPIOS

  • Los proveedores de servicios proporcionará a CAPILLARY IO cuando así lo requiera, la relación de personas, perfiles, funciones y responsabilidades asociadas al servicio prestado, e informará de cualquier cambio (alta, baja, sustitución o cambio de funciones o responsabilidades) que se produzca en dicha relación.

  • Los proveedores de servicios deberán asegurarse de que todo su personal cuente con la educación y formación adecuada para el desarrollo del servicio prestado, tanto a nivel específico en materias correspondientes a la actividad asociada a la prestación del servicio, como en materia de seguridad de la información.

  • Como mínimo, los proveedores de servicios deben asegurarse de que todo el personal asociado con el servicio conozca y acepte cumplir las disposiciones de esta política. CAPILLARY IO podrá solicitar evidencia del proceso de información en cualquier momento.

  • Los proveedores de servicios deben permitir que CAPILLARY IO lleve a cabo las auditorías de seguridad solicitadas, colaborando con el equipo de auditoría y proporcionando todas las pruebas y registros necesarios.

  • El alcance y profundidad de cada auditoría será establecido expresamente por CAPILLARY IO en cada caso. Las auditorías se realizarán siguiendo el calendario acordado en cada caso con el prestador del servicio.

  • CAPILLARY IO se reserva el derecho de realizar auditorías extraordinarias adicionales, si existen causas específicas que lo justifiquen.

CONFIDENCIALIDAD DE LA INFORMACIÓN

Toda la información, documentación, programas y/o aplicaciones, métodos, organización, estrategias comerciales y actividades relacionadas con CAPILLARY IO o su negocio, a los que los proveedores de servicios tengan acceso para realizar el servicio, se considerará información confidencial, dependiendo de la cual, el acceso, intercambio y tratamiento de dicha información, se realizará siempre de conformidad con las finalidades previstas descritas en el contrato y manteniendo el correspondiente deber de secreto durante la duración del servicio y una vez finalizada la relación con CAPILLARY IO.

Todos los recursos e información a los que haya podido tener acceso o que haya sido necesario crear, modificar o copiar para el correcto desempeño del servicio le serán devueltos al finalizar el mismo. CAPILLARY IO podrá solicitar el borrado seguro de los dispositivos que hayan tenido acceso a la Información de CAPILLARY IO

El etiquetado está hecho para proteger en este escenario.

INTERCAMBIO DE INFORMACIÓN

Cualquier tipo de intercambio de información que se produzca entre CAPILLARY IO y los proveedores de servicios se entenderá realizado dentro del marco establecido en el correspondiente contrato, por lo que dicha información no podrá ser utilizada fuera de dicho marco ni para otros fines.

La distribución de información, ya sea en formato electrónico o físico, se realizará a través de los medios que se determinen en el contrato para tal efecto y con el exclusivo fin de facilitar las funciones asociadas a dicho contrato. Dependiendo del riesgo identificado, CAPILLARY IO se reserva el derecho de implementar medidas de control, registro y auditoría sobre estos recursos de difusión.

En relación con el intercambio de información en el marco del contrato, se considerarán no autorizadas las siguientes actividades:

  • Transmisión o recepción de material protegido por derechos de autor en violación de la Ley de Protección Intelectual.

  • Transmisión o recepción de toda clase de material pornográfico, de carácter sexual explícito, manifestaciones raciales discriminatorias y cualquier otra clase de manifestación o mensaje calificable como ofensivo o ilegal.

  • Transmisión o recepción de información sensible, salvo que la comunicación electrónica esté cifrada y el envío esté autorizado por escrito.

  • Transferencia de información protegida a terceros no autorizados.

  • Transmisión o recepción de solicitudes no relacionadas con el negocio.

  • Participación en actividades de Internet, como grupos de noticias, juegos u otras que no estén directamente relacionadas con el contrato.

  • Todas las actividades que puedan dañar la imagen y la reputación de CAPILLARY IO están prohibidas en Internet y en otros lugares.

El etiquetado está hecho para proteger en este escenario.

RESPONSABILIDADES DEL USUARIO

Los Proveedores de Servicios deberán asegurarse de que todo el personal que pueda tener acceso a la información, sistemas de información o recursos de CAPILLARY IO en el desarrollo de sus funciones para CAPILLARY IO respete los siguientes principios básicos dentro de su actividad:

  • Cada persona con acceso a la información de CAPILLARY IO es responsable de la actividad que realiza su identificador de usuario y todo lo que de ella se derive. Por ello, es imprescindible que cada persona mantenga bajo control los sistemas de autenticación asociados a su ID de usuario, garantizando que la contraseña asociada sólo sea conocida por el propio usuario, no siendo revelada al resto del personal en ningún caso.

  • Los usuarios no deben utilizar el identificador de ningún otro usuario, incluso si cuentan con la autorización del propietario.

  • Los usuarios conocen y aplican los requisitos y procedimientos existentes en torno a la información manejada.

  • Cualquier usuario con acceso a la información de CAPILLARY IO deberá seleccionar contraseñas de calidad (revisar la política de contraseñas).

  • Cualquier usuario con acceso a la información de CAPILLARY IO debe cambiar las contraseñas predeterminadas y temporales en el primer inicio de sesión. La contraseña creada debe ser exclusiva para CAPILLARY IO, no pudiendo ser utilizada en ninguna otra plataforma o servicio. De esta forma, CAPILLARY IO implementa una contraseña que nunca caduca siguiendo las últimas recomendaciones de Microsoft.

CAPILLARY IO se reserva el derecho de forzar la renovación de la contraseña una vez al año por motivos de seguridad.
Puede encontrar más información aquí:
Recomendaciones de políticas de contraseñas: administrador de Microsoft 365 | Microsoft aprende

  • Cualquier persona con acceso a la información de CAPILLARY IO debe asegurarse de que el equipo esté protegido cuando se deja desatendido.

  • Cualquier persona con acceso a la información deberá respetar las reglas de escritorio limpio, para proteger los documentos en papel, soportes informáticos y dispositivos portátiles de almacenamiento y reducir los riesgos de acceso no autorizado, pérdida y daño a la información, tanto durante el horario normal de trabajo como fuera del mismo (bloqueado). almacenamiento, bloqueo de equipos desatendidos, protección de los puntos de recepción y entrega de información, destrucción segura, etc.)

  • Las personas con acceso a los sistemas de información de CAPILLARY IO nunca deben, sin autorización escrita, realizar pruebas para detectar y/o explotar una supuesta debilidad o incidente de seguridad.

  • Ningún proveedor con acceso a los sistemas de información de CAPILLARY IO intentará sin autorización expresa por escrito y por cualquier medio violar el sistema de seguridad y las autorizaciones. Queda prohibida la captura del tráfico de la red por parte de los usuarios, salvo que se estén realizando tareas de auditoría autorizadas por escrito.

REQUISITOS DE SEGURIDAD PARA DISPOSITIVOS DE TERCEROS

Todos los dispositivos con acceso a la información de CAPILLARY IO, independientemente de su titularidad, deberán cumplir con las políticas de seguridad establecidas por CAPILLARY IO, especialmente se considerarán las siguientes consideraciones:

  • El acceso a los sistemas deberá estar siempre autenticado, al menos mediante un identificador personal y un identificador asociado contraseña.

  • Todo el software instalado o contenido en el dispositivo debe tener licencia, dentro del ciclo de vida del producto y en un estado compatible con la licencia de uso.

  • Los dispositivos deben permanecer actualizados con la última versión disponible de parches de seguridad para el software y el sistema operativo instalados.

  • Para dispositivos de escritorio solo se permite Windows 11 o superior y MacOS Sonoma o superior.

  • Los dispositivos deberán tener instalado, activo y actualizado un sistema de protección anti-malware a la última versión disponible, tanto del motor como del archivo de firmas.

  • Se debe activar el bloqueo de pantalla para que salte después de 5 minutos de inactividad. El desbloqueo deberá implicar el uso de contraseñas, patrones de desbloqueo o mecanismos equivalentes, que garanticen que el dispositivo no pueda ser utilizado por un usuario no autorizado.

  • Los dispositivos no contarán con herramientas o archivos contrarios a la política de seguridad de CAPILLARY IO o que puedan interferir con el software corporativo. Este punto incluye a aquellos que intentan descubrir información distinta a la del usuario o realizan accesos no autorizados, como sniffers, herramientas de escaneo de redes, descubrimiento de contraseñas, etc.

COMUNICACIÓN DE INCIDENTES DE SEGURIDAD A TERCEROS

Los proveedores de servicios se comprometen a informar inmediatamente al CISO ó al CEO de cualquier incidente, debilidad o amenaza (observada o sospechada) que detecten en los sistemas de información de CAPILLARY IO o que puedan haber afectado a información propiedad de CAPILLARY IO o de sus clientes. El canal de denuncia debe ser un correo electrónico a seguridad@capillary.io que es gestionado por el CISO.

SEGURIDAD DE DESARROLLO DE TERCEROS

Todos los proveedores de servicios que realizan trabajos de desarrollo y/o pruebas de aplicaciones para CAPILLARY IO:

  • Los entornos con los que se realicen estas actividades deben estar aislados entre sí y aislados del entornos de producción.

  • Todo acceso a sistemas de información que alojen, o procesen información, debe estar protegido, al menos, por un “firewall” que limite la capacidad de conectarse a los mismos y una adecuada gestión de los permisos de la carpeta con los datos.

  • Todo el proceso de desarrollo de software subcontratado será controlado y supervisado por CAPILLARY IO.

  • Las especificaciones de las solicitudes deberán contener expresamente los requisitos de seguridad a cubrir en cada caso.

  • Se incorporarán mecanismos de identificación, autenticación, control de acceso, auditoría e integridad a lo largo del ciclo de vida de diseño, desarrollo, implementación y operación de la aplicación.

  • Las aplicaciones que se desarrollen deben incorporar validaciones de los datos de entrada que verifiquen que los datos son correctos y adecuados y que eviten la introducción de código ejecutable.

  • Los procesos internos desarrollados por las aplicaciones deben incorporar todas las validaciones necesarias para garantizar que no existe corrupción de la información.

  • Siempre que sea necesario, se deberán incorporar funciones de autenticación y control de integridad en las comunicaciones entre los diferentes componentes de las aplicaciones.

  • La información de salida que ofrecen las aplicaciones debe ser limitada, garantizando que sólo se ofrezca la información pertinente y necesaria.

  • El acceso al código fuente de las aplicaciones debe estar limitado al personal de servicio.

  • En el entorno de prueba sólo se utilizarán datos reales cuando hayan sido debidamente aprobados por el CISO o siempre que se pueda garantizar que las medidas de seguridad aplicadas son equivalentes a las existentes en el entorno de producción.

  • Durante las pruebas de las aplicaciones se comprobará que no existen canales de fuga de información no controlados, y que a través de los canales establecidos sólo se ofrece la información esperada.

  • Sólo aquellas aplicaciones que estén aprobadas por el CISO serán transferidas al entorno de producción.

GESTIÓN DE CONTINUIDAD DE TERCEROS

  • Los proveedores de servicios deben tener una plan de continuidad y un plan de recuperación de TI en caso de desastre que permita la prestación del servicio incluso en caso de contingencias. Este plan debe desarrollarse con base a una evaluación de riesgos (al menos anualmente) para identificar los riesgos que podrían causar interrupciones en las operaciones y garantizar que existan controles adecuados para gestionarlos y controlarlos.

  • Los proveedores de servicios probarán el plan de continuidad y el plan de recuperación para confirmar que tienen éxito en recuperar el servicio dentro del plazo acordados. Estas pruebas se realizarán anualmente o inmediatamente después de que se realicen cambios, mejoras o modificaciones importantes que afecten a los servicios.