Ir al contenido
Política De Seguridad

Política De Seguridad

Objetivo:

El propósito de esta Política de alto nivel es definir el propósito, dirección, principios y reglas básicas para el Sistema de Gestión Seguridad de la Información.

Alcance:

Esta Política se aplica a todo el Sistema de gestión de seguridad de la información (SGSI), considerando los límites y exclusiones contenidas en el documento Alcance del Sistema de Gestión de Seguridad de la Información EBI EBI-GE004 en su versión vigente. 

Los usuarios de este documento son todos los empleados de Electronic Business Intelligence EBI, como también terceros externos a la organización que sean determinados como relevantes para el SGSI.

Documentos de referencia:

  • Norma ISO/IEC 27001, capítulos 5.2 y 5.3
  • Alcance del Sistema de Gestión de Seguridad de la Información EBI EBI-GE004
  • Política para la evaluación y tratamiento de riesgos EBI-PO005
  • Declaración de aplicabilidad EBI-GE005
  • Lista de requisitos legales, normativos, contractuales y de otra índole EBI-GE001


Terminología básica sobre seguridad de la información:

  • Confidencialidad: característica de la información por la cual solo está disponible para personas o sistemas autorizados.
  • Integridad: característica de la información por la cual solo es modificada por personas o sistemas autorizados y de una forma permitida.
  • Disponibilidad: característica de la información por la cual solo pueden acceder las personas autorizadas cuando sea necesario. 
  • Seguridad de la información: es la preservación de la confidencialidad, integridad y disponibilidad de la información.
  • Sistema de gestión de seguridad de la información: parte de los procesos generales de gestión que se encarga de planificar, implementar, mantener, revisar y mejorar la seguridad de la información. 


Gestión de la seguridad de la información:

Electronic Business Intelligence (EBI) es una empresa que brinda servicios de facturación electrónica a todo tipo de empresas y personas naturales dentro del territorio panameño y está debidamente autorizada por la Dirección General de Ingresos mediante la resolución No. 201 -9721 del 12 de octubre de 2021 para ejercer la validación y autorización de documentos electrónicos como Proveedor Autorizado Calificado PAC.

EBI ha decido implementar un Sistema de Gestión de Seguridad de la Información (SGSI) para fortalecer el compromiso con sus clientes, asegurar la continuidad operativa y la protección de los activos de información que son gestionados en los procesos del servicio de facturación electrónica, comprometiéndose de esta forma a satisfacer los requisitos aplicables con respecto a la seguridad de la información y con la mejora continua del sistema de gestión de seguridad de la información para proteger continuamente la información en sus tres propiedades (disponibilidad, confidencialidad e integridad) 

En la presente política se establecerán los objetivos de seguridad de la información, los cuales serán medidos y evaluados en periodos de tiempo determinados para identificar la efectividad del SGSI y desarrollar planes de acción como un compromiso con la mejora continua del Sistema de Gestión de Seguridad de la Información.

Objetivos y medición:

Los objetivos generales para el sistema de gestión de seguridad de la información estarán alineados con los objetivos estratégicos de la organización y sus resultados podrán estar vinculados a su vez con objetivos comerciales según sea determinado por la Alta Dirección. Los objetivos de Seguridad de la Información son los siguientes: 

Mantener un Sistema de Gestión de Seguridad de la Información para Electronic Business Intelligence EBI soportado en un modelo de seguridad de la información basado en la norma ISO/IEC 27001:2022. 

Gestionar la preservación de la confidencialidad, integridad y disponibilidad de nuestros activos de información acordes al alcance del SGSI mediante la evaluación de los riesgos y aplicación de controles de seguridad de la información. 

Mantener la operatividad y recuperación de los procesos críticos en tiempos razonables ante eventos que puedan impactar la continuidad del negocio a través de acuerdos de servicios y seguimiento a la aplicación de controles por parte de proveedores de servicios críticos en el sistema de facturación electrónica. 

Promover una cultura positiva de ciberseguridad y seguridad de la información en todo el personal de Electronic Business Intelligence EBI. 

La Alta Dirección es el responsable de revisar estos objetivos generales del SGSI y de establecer nuevos, estos objetivos deben ser revisados al menos una vez al año. 

Los objetivos para controles individuales de seguridad o grupos de controles son propuestos por el responsable del SGSI o por la Administradora y son aprobados por la CEO en la Declaración de aplicabilidad. Adicionalmente se podrán establecer políticas para soportar las operaciones y los procesos de seguridad de la información que den cumplimiento a la planificación de controles. 

La CEO es el responsable de definir el método para medir el cumplimiento de los objetivos de Seguridad de la Información; la medición se realizará al menos al menos una vez al año y el Responsable del SGSI analizará y evaluará los resultados y los reportará a la Alta Dirección como material para la revisión por la Dirección. El Responsable del SGSI es responsable de registrar los detalles sobre los métodos de medición, periodicidades y resultados en el Informe de Medición.

Requisitos para la seguridad de la información:

La presente política establece el compromiso en todo el SGSI de cumplir los requisitos legales y normativos importantes para la organización en el ámbito de la seguridad de la información y protección de datos personales que sean aplicables, como también las obligaciones contractuales aplicables en el marco del alcance del SGSI.

Estos requisitos podrán ser detallados a través del documento Lista de requisitos legales normativos contractuales y otros EBI-GE001 acorde a lo establecido en la Política para la identificación de requisitos EBI-PO007 ambos en su versión vigente. 


Controles de seguridad de la información:

El proceso de escoger los controles (protección) está definido en la Política para la evaluación y tratamiento de riesgos EBI-PO005 en su versión vigente. 

Los controles seleccionados y su estado de implementación se detallan en la Declaración de aplicabilidad EBI-GE005 en su versión vigente.


Responsabilidades:

  • Las responsabilidades para el SGSI serán determinados a través de una matriz de roles, responsabilidades y autoridades EBI-FO017 en su versión vigente. Algunas de las responsabilidades principales para el SGSI son las siguientes:
  • El Responsable del SGSI es el responsable de garantizar que el SGSI sea implementado y mantenido de acuerdo con esta Política y de garantizar que todos los recursos necesarios hayan sido solicitados y/o gestionados.
  • El Responsable del SGSI es el responsable de la coordinación operativa del SGSI, como también de informar su desempeño.
  • La CEO debe revisar el SGSI al menos una vez por año o cada vez que se produzca una modificación significativa; y debe coordinar la elaboración de las actas de dichas reuniones. El objetivo de las verificaciones por parte de la dirección es establecer la conveniencia, adecuación y eficacia del SGSI.
  • La Administradora en conjunto con el Responsable del SGSI implementará programas de formación y concienciación de empleados sobre seguridad de la información.
  • La protección de la integridad, disponibilidad y confidencialidad de los activos es responsabilidad del propietario de cada activo y/o propietario de los riesgos según corresponda.
  • Todos los incidentes o debilidades importantes de seguridad deben ser informados al Responsable del SGSI manteniendo en copia a la CEO de EBI.
  • El Responsable del SGSI con el lineamiento de la Alta Dirección definirá qué información relacionada con la seguridad de la información será comunicada a qué parte interesada (tanto interna como externa), por quién y cuándo. 
  • El Responsable del SGSI es el responsable de adoptar e implementar el Plan de formación y concienciación, que corresponde a todas las personas que cumplen una función en la gestión de la seguridad de la información. 

Comunicación de la Política:

El Responsable del SGSI debe asegurarse de que todos los empleados de Electronic Business Intelligence (EBI) dentro del alcance del SGSI, como también los participantes externos que correspondan según la Alta Dirección, estén familiarizados con esta Política.

Home Language Contact About Services