Política general de seguridad y privacidad de la información
Alcance
VIDEAME, entendiendo la importancia de una adecuada gestión de la información, se ha comprometido con la implementación de un sistema de gestión de seguridad de la información, buscando establecer un marco de confianza en el ejercicio de sus deberes con los clientes y el personal, todo enmarcado en el estricto cumplimiento de las leyes y en concordancia con la misión y visión de la empresa.
Aspectos Generales
Para VIDEAME, la protección de la información busca la disminución del impacto generado sobre sus activos, por los riesgos identificados de manera sistemática con objeto de mantener un nivel de exposición que permita responder por la integridad, confidencialidad y la disponibilidad de esta, acorde con las necesidades de los diferentes grupos de interés identificados.
De acuerdo con lo anterior, el desarrollo de las acciones o toma de decisiones alrededor del Sistema de Gestión de Seguridad de la Información (SGSI) estarán determinadas por las siguientes premisas:
• Minimizar el riesgo en las funciones más importantes de la empresa.
• Cumplir con los principios de seguridad de la información.
• Mantener la confianza de sus clientes, socios y empleados.
• Apoyar la innovación tecnológica.
• Proteger los activos tecnológicos.
• Establecer las políticas, procedimientos e instructivos en materia de seguridad de la información.
• Fortalecer la cultura de seguridad de la información dentro de la empresa, terceros y clientes de VIDEAME.
• Garantizar la continuidad del negocio frente a incidentes.
• VIDEAME ha decidido definir, implementar, operar y mejorar de forma continua un Sistema de Gestión de Seguridad de la Información, soportado en lineamientos claros alineados a las necesidades del negocio.
Principios de seguridad
A continuación, se establecen 11 principios de seguridad que soportan el SGSI de VIDEAME:
1. Las responsabilidades frente a la seguridad de la información serán definidas, compartidas, publicadas y aceptadas por cada uno de los empleados, proveedores, socios de negocio o terceros.
2. VIDEAME protegerá la información generada, procesada o resguardada por los procesos de negocio, su infraestructura tecnológica y activos del riesgo que se genera de los accesos otorgados a terceros (ej.: proveedores o clientes), o como resultado de un servicio interno en outsourcing.
3. VIDEAME protegerá la información creada, procesada, transmitida o resguardada por sus procesos de negocio, con el fin de minimizar impactos financieros, operativos o legales debido a un uso incorrecto de esta. Para ello es fundamental la aplicación de controles de acuerdo con la clasificación de la información de su propiedad o en custodia.
4. VIDEAME protegerá su información de las amenazas originadas por parte del personal.
5. VIDEAME protegerá las instalaciones de procesamiento y la infraestructura tecnológica que soporta sus procesos críticos.
6. VIDEAME controlará la operación de sus procesos de negocio garantizando la seguridad de los recursos tecnológicos y las redes de datos.
7. VIDEAME implementará control de acceso a la información, sistemas y recursos de red.
8. VIDEAME garantizará que la seguridad sea parte integral del ciclo de vida de los sistemas de información.
9. VIDEAME garantizará a través de una adecuada gestión de los eventos de seguridad y las debilidades asociadas con los sistemas de información una mejora efectiva de su modelo de seguridad.
10. VIDEAME garantizará la disponibilidad de sus procesos de negocio y la continuidad de su operación basada en el impacto que pueden generar los eventos.
11. VIDEAME garantizará el cumplimiento de las obligaciones legales, regulatorias y contractuales establecidas.
Sanciones Previstas por Incumplimiento.
El incumplimiento a la política de Seguridad y Privacidad de la Información traerá consigo, las consecuencias legales que apliquen a la normativa de la empresa, incluyendo lo establecido en las normas que competen al Gobierno nacional y territorial en cuanto a Seguridad y Privacidad de la Información se refiere.
Transferencia internacional de datos personales Los datos personales tratados por la Entidad son almacenados en servidores físicos de Amazon Web Services, realizándose un flujo transfronterizo a los Estados Unidos de América. En consecuencia, la Entidad garantiza que el tratamiento de sus datos se limite con la finalidad autorizada, que se mantengan de forma confidencial, así como que se implementen las medidas de seguridad que exige la Ley de Protección de Datos personales, su Reglamento y los Lineamientos para Uso de Servicios en la Nube para Entidades de la Administración Pública del Estado Peruano emitidos por la Secretaría de Gobierno digital. Transferencia nacional de datos personales Los datos personales recabados podrán ser transferidos o suministrados a otras entidades públicas para el ejercicio de sus funciones, siempre en el marco de sus competencias y cuando resulte necesario para el cumplimiento de las normas vigentes.
Confidencialidad de los datos personales Los datos personales proporcionados serán tratados con total confidencialidad. La Entidad se compromete a guardar reserva respecto de estos y garantiza el deber de guardarlos adoptando todas las medidas de seguridad necesarias. Sobre el ejercicio de derechos como titular de datos personales Las personas que hayan facilitado sus datos personales a la Entidad pueden ejercer sus derechos de acceso, rectificación, cancelación y oposición, de impedir el suministro de sus datos personales, de oposición al tratamiento o de tratamiento objetivo de los datos, en los términos recogidos en la legislación peruana vigente.
Para poder ejercer estos derechos las personas deberán dirigir la solicitud a la dirección de correo electrónico videame@videame.co con el asunto “Protección de Datos Personales”, consignando sus datos, acreditando su identidad y los motivos de su solicitud. De considerar que no ha sido atendido en el ejercicio de sus derechos puede presentar una reclamación ante la Autoridad Nacional de Protección de Datos Personales mediante la mesa de partes del Ministerio de Justicia y Derechos Humanos, ubicada en la calle Scipión Llona N.° 350, Miraflores; al correo electrónico protegetusdatos@minjus.gob.pe o a través de su Formulario de la Mesa de partes virtual (MPV): https://sgd.minjus.gob.pe/sgd-virtual/public/ciudadano/ciudadanoMain.xhtml
Procedimiento de eliminación de los datos personales Conforme se hayan cumplido la finalidad y plazo de tratamiento de los datos personales, la Entidad procederá con la eliminación de la información de tal manera que se no permita su recuperación. La Entidad definirá oportunamente los procedimientos y protocolos que aplicará para la eliminación de datos personales conforme a las mejores prácticas de seguridad digital disponibles, dejando constancia del proceso en actas digitales.
Vigencia y Modificación de la Política de Privacidad La Entidad se reserva el derecho a modificar su Política de Privacidad en el supuesto de que exista un cambio en la legislación vigente, doctrinal y jurisprudencial. La Entidad podrá realizar modificaciones y correcciones a esta Política de Privacidad. Si se introdujera algún cambio en esta Política, el nuevo texto estará disponible junto con los formularios, en la misma página web. Por favor sírvase verificar regularmente este documento para consultar los cambios que puedan haber existido y de qué manera le pueden afectar