POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

  1. Objeto y Alcance

Esta Política tiene como objetivo establecer los principios y directrices para garantizar la disponibilidad, integridad y confidencialidad de la información que gestiona DATLIA. Su alcance cubre todos los sistemas, procesos y personas que interactúan con los datos personales y corporativos.

  1. Compromiso de Cumplimiento

DATLIA se compromete a implementar medidas de seguridad organizativas y técnicas que aseguren un sistema de gestión de seguridad de la información, así como el cumplimiento de la normativa vigente en materia de protección de datos, previniendo accesos no autorizados y pérdidas de información. Estas medidas se revisarán y actualizarán regularmente.

  1. Medidas Organizativas

3.1. Capacitación y Concienciación

Todo el personal con acceso a activos de información, en particular donde se traten datos personales, debe recibir formación continua sobre sus obligaciones y mejores prácticas de seguridad. Esta capacitación incluirá temas como, pero sin limitar a: gestión de identidad y control de accesos, el manejo adecuado de información sensible y el cumplimiento del deber de confidencialidad.

3.2. Deber de Confidencialidad y Secreto

  • Acceso Restringido: Se tomarán medidas para evitar que personas no autorizadas accedan a los datos personales, asegurándose de que pantallas, documentos y dispositivos estén fuera de la vista de terceros.

  • Gestión de roles y usuarios: La Dirección o quien ésta designe como administrador de sistemas de gestión de roles y usuarios, definirá quién, cómo y con qué nivel de autorización podrá acceder a activos de información relevante.

  • Gestión de contraseñas: Los sistemas que requieran contraseñas deberán incorporar una política de contraseñas seguras, mismas que deberán ser actualizadas al menos cada 180 días, y donde se incluyan factores de doble autenticación para acceso a cuentas corporativas.

  • Protección Física: Documentos en papel y dispositivos electrónicos deben guardarse en lugares seguros, como armarios que incorporen seguros o áreas de acceso restringido, tanto en horario laboral como fuera de él.

  • Destrucción Segura: Los documentos o dispositivos electrónicos que contengan datos personales no se desecharán sin antes haber asegurado su destrucción total o borrado seguro.

  • Prohibición de Divulgación a Terceros: No se comunicarán datos personales a terceros sin autorización, especialmente en comunicaciones telefónicas o por correo electrónico.

  • Confidencialidad post-contrato: La obligación de confidencialidad permanece vigente incluso después de la finalización de la relación laboral o contractual.

3.3. Gestión de Incidentes de Seguridad

En caso de un incidente de seguridad de los datos personales, entendido como cualquier evento que comprometa la confidencialidad, integridad o disponibilidad producida por eventos como robo o acceso indebido, DATLIA notificará a la Agencia de Protección de Datos (APD) en un plazo de 72 horas, de conformidad con el Protocolo de Gestión de Brechas de Datos Personales. La notificación se realizará por medios electrónicos, y contendrá información detallada sobre el incidente.

Asimismo, para efectos de otorgar la información detallada, todo incidente será registrado en el sistema de gestión de incidentes interno, indicando la fecha y hora del incidente, junto con la descripción del evento, el análisis preliminar del impacto del incidente y el nombre de quien detectó el incidente.

A nivel interno, el Responsable de Seguridad de la Información (RSI) será notificado del incidente mediante los canales seguros establecidos y evaluará el incidente para determinar el impacto y gravedad.

En este sentido, como respuesta inicial paralela a la notificación que se debe realizar a la APD, el Delegado de Protección de Datos (DPD) y el RSI determinarán y activarán medidas inmediatas, tales como la desconexión de los dispositivos afectados, el bloqueo de cuentas y la activación de protocolos para evitar una propagación de los efectos producidos por el incidente.

En caso de aplicar, también se notificará a los titulares afectados, explicando claramente las acciones a tomar para protegerse.

  1. Medidas Técnicas

4.1. Control de Accesos

  • Perfiles de Usuario y Contraseña: Se creará un perfil de usuario específico para cada persona con acceso a datos personales, evitando el uso de accesos compartidos. Las contraseñas cumplirán con los siguientes criterios de robustez: mínimo 8 caracteres, combinación de letras y números.

  • Gestión Segura de Contraseñas: Las contraseñas no deberán compartirse ni anotarse en lugares visibles. Se implementará un protocolo de gestión de contraseñas que asegure su confidencialidad y renovación periódica.

  • Separación de Perfiles: Para los dispositivos que contengan tanto datos personales como uso personal, se implementarán diferentes perfiles para cada tipo de uso, minimizando riesgos de acceso indebido.

4.2. Protección contra Malware

Los dispositivos utilizados en el tratamiento de datos personales deben contar con software antivirus actualizado que impida, en la medida de lo posible, la destrucción o robo de datos personales. Este software se actualizará de manera periódica para asegurar su eficacia.

4.3. Cortafuegos o Firewall

Se garantizará la existencia de un firewall configurado adecuadamente en cada dispositivo o servicio que almacene o procese datos personales, con el fin de prevenir accesos remotos no autorizados.

4.4. Cifrado de Datos

Cuando los datos personales deban extraerse de las instalaciones o almacenarse fuera de su ubicación de tratamiento, se evaluará el uso de métodos de cifrado para asegurar su confidencialidad en caso de accesos indebidos.

4.5. Copias de Seguridad

Cada seis meses se revisará y actualizará una copia de seguridad de los datos personales. Esta copia se almacenará en un lugar seguro, diferente al de los sistemas originales, como en un entorno de nube seguro, para garantizar la recuperación de datos en caso de pérdida.

  1. Supervisión y Revisión Periódicas

Las medidas de seguridad serán revisadas periódicamente. Esta revisión podrá realizarse mediante mecanismos automáticos o de manera manual, con el fin de garantizar la constante efectividad de las prácticas de seguridad implementadas.

Se realizarán auditorías regulares para evaluar el cumplimiento de esta política y mejorar las medidas de seguridad cuando se detecten oportunidades de mejora o riesgos emergentes.

  1. Responsabilidades

DATLIA nombrará un Responsable de la Seguridad de la Información (RSI), quien será el encargado de velar por el cumplimiento de esta política, su implementación y supervisión, realizando capacitaciones, revisiones y mejoras constantes en la materia.

Además, el RSI deberá elaborar e implementar protocolos de seguridad con la aplicación de medidas técnicas y organizativas alineadas con la Ley Nº19.628 y las mejores prácticas de legislaciones con mayor desarrollo en materias de Protección de Datos y Privacidad.

Por otro lado, el RSI deberá asistir en la revisión y negociación de contratos con terceros (proveedores de servicios tecnológicos) para garantizar que cumplan con los estándares de seguridad requeridos.

Todo el personal, especialmente aquellos con acceso a activos de información, y en particular a datos personales, debe leer, comprender y adherirse estrictamente a las directrices de esta política, incluyendo los protocolos establecidos para la gestión de la información, y reportar cualquier incidente o sospecha de vulneración de seguridad inmediatamente al RSI.

También se considera la suscripción de un acuerdo de confidencialidad al inicio de la relación laboral o contractual, asegurando su compromiso con la protección de los datos personales.

DATLIA se asegurará de que los terceros y proveedores que participen en el tratamiento de datos personales cumplan con estándares mínimos de seguridad de la información.

Sus responsabilidades incluyen el cumplimiento con los requisitos de seguridad estipulados en los contratos, incluyendo la gestión de accesos y la implementación de controles de seguridad, además de informar de cualquier incidente de seguridad que pueda comprometer la información de DATLIA o sus clientes en un plazo no mayor a 12 horas.

  1. Aceptación y Acuerdo

Esta Política de Seguridad de la Información es de cumplimiento obligatorio para todo el personal de DATLIA. Su aceptación y conocimiento serán requeridos al inicio de la relación laboral y confirmados periódicamente a través de auditorías de conocimiento y cumplimiento.

VERSIÓN 1.0 : 11 de noviembre de 2024

Aprobado por Gerencia General

DATLIA SpA

Abogados Digitales

CONTACTO

ENLACES DE INTERÉS

consultas@datlia.com

dpd@datlia.com

© 2025. Todos los derechos son reservados.

Abogado Digital en línea

Delegado de Protección de Datos

Política de Privacidad Datlia

Antonio Bellet 193, OF 1210. Providencia

Santiago de Chile | 🇨🇱

Aviso Legal

Política de Seguridad de la Información