Política de Seguridad y Privacidad de la Información

1. OBJETIVO 

Proteger los activos de información de Simetrik frente a riesgos y amenazas, tanto internas como externas, garantizando la confidencialidad, integridad, disponibilidad y privacidad  de la información. En Simetrik, la seguridad de la información es un pilar fundamental para la protección de nuestros activos, la confianza de nuestros clientes y el cumplimiento de normativas internacionales.

2. ALCANCE

Esta política aplica a todos los empleados, contratistas, proveedores y cualquier persona o entidad con acceso a los sistemas, la información y los activos de información de Simetrik.

3. PRINCIPIOS DE SEGURIDAD

Adoptamos un enfoque basado en riesgos para proteger los activos de información de Simetrik y de sus clientes frente a amenazas y vulnerabilidades relevantes.

Además, integramos los principios de seguridad y privacidad de la información en la cultura organizacional, promoviendo que su protección sea una responsabilidad compartida entre la alta dirección, empleados, contratistas y terceros, y fortaleciendo así una estructura robusta de gestión.

Simetrik orienta su gestión con base en los siguientes principios:

  • Confidencialidad: Garantizamos que únicamente las personas autorizadas tengan acceso a la información, evitando accesos no autorizados o divulgaciones indebidas.
  • Integridad: Nos aseguramos de que la información esté protegida contra modificaciones no autorizadas, manteniéndola precisa, confiable y completa.
  • Disponibilidad: Aseguramos que la información esté disponible cuando sea requerida, sin interrupciones que afecten nuestra operación.
  • Privacidad: Protegemos los datos personales, respetando la privacidad de clientes, colaboradores y terceros, cumpliendo siempre con las leyes y regulaciones aplicables.
  • Responsabilidad y trazabilidad: Fomentamos mecanismos que permitan la adecuada gestión, monitoreo y seguimiento del acceso y uso de la información.
  • Mejora continua: Fortalecemos de manera permanente nuestros controles, capacidades y procesos para responder a un entorno tecnológico y regulatorio en constante evolución.
  • Uso responsable de tecnologías emergentes: Impulsamos el uso seguro, ético y controlado de tecnologías emergentes, incluyendo inteligencia artificial, tomando como referencia buenas prácticas internacionales para fortalecer progresivamente nuestros modelos de gobernanza.

Lineamientos principales:

  • Se debe garantizar la Confidencialidad, Integridad, Disponibilidad y Privacidad de los activos de Información mantenidos dentro de Simetrik.
  • Todos los sistemas de información y activos de información utilizados en las operaciones y la prestación de servicios deben cumplir con los controles de seguridad definidos por el área de Seguridad de la Información.
  • Todos los empleados y contratistas  deben recibir formación y sensibilización anual en seguridad de la información para contar con los conocimientos, habilidades y herramientas necesarias para contribuir a la protección de la información, y de los activos de información a los que tienen acceso.
  • Se deben aplicar medidas para prevenir, detectar, responder, analizar, recuperar e investigar amenazas y vulnerabilidades de manera proactiva.
  • Se deben implementar metodologías y herramientas que permitan adaptarse de manera ágil a los cambios en el entorno tecnológico y a nuevas amenazas.
  • La seguridad de la información debe estar integrada en todos los procesos estratégicos y operativos, garantizando que aporte valor y soporten el crecimiento de Simetrik.
  • Simetrik debe asegurar el cumplimiento de todas las leyes, normativas, estándares y compromisos contractuales aplicables, incluyendo:
    • Regulaciones locales e internacionales de seguridad de la información, privacidad y protección de datos personales, según resulten aplicables
    • Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS)
    • Estándares y mejores prácticas de seguridad y privacidad de la información, incluyendo ISO/IEC 27001, ISO/IEC 27701, ISO/IEC 27017 e ISO/IEC 27018.
    • Estándares internacionales reconocidos como referencia para la evolución del modelo de gobernanza de inteligencia artificial.
    • Acuerdos contractuales y  compromisos con clientes
    • Todas las leyes y regulaciones aplicables en las jurisdicciones donde operamos prestamos servicios.

4. RESPONSABILIDADES EN SEGURIDAD DE LA INFORMACIÓN

La seguridad de la información y la privacidad es una responsabilidad compartida dentro de Simetrik.

En Simetrik esperamos que todas las personas con acceso a nuestros sistemas o activos de información actúen de manera diligente, responsable y alineada con los lineamientos establecidos por la organización para la protección de la información. De igual forma, promovemos que nuestros colaboradores, contratistas y terceros participen en espacios de formación y sensibilización, y que reporten de manera oportuna cualquier incidente, evento sospechoso o situación que pueda afectar la seguridad o privacidad de la información.

La alta dirección respalda este compromiso mediante el impulso de una cultura de seguridad, la asignación de responsabilidades y el fortalecimiento continuo de capacidades organizacionales.

5. CONTROLES Y MEDIDAS 

5.1 SEGURIDAD DE LA INFORMACIÓN

Implementamos controles para garantizar la protección de la información en las siguientes áreas:

  • Control de acceso: Gestión de credenciales, autenticación multifactor (MFA) y privilegios mínimos.
  • Protección de datos: Cifrado en tránsito y en reposo, control de acceso a datos sensibles.
  • Seguridad en la nube: Aplicación de controles de seguridad en servicios en la nube.
  • Seguridad en el desarrollo de software: Implementación de prácticas de desarrollo seguro y pruebas de vulnerabilidad.
  • Gestión de incidentes de seguridad: Plan de respuesta, análisis de eventos y mitigación de riesgos.
  • Gestión de riesgos: Evaluación y mitigación continua de amenazas.
  • Monitoreo y auditoría: Análisis continuo de actividades y detección de anomalías.
  • Seguridad en proveedores y terceros: Evaluación de riesgos, cumplimiento de requisitos de seguridad y acuerdos contractuales.
  • Continuidad del negocio y recuperación ante desastres: Planes de contingencia para garantizar la operatividad en caso de incidentes.
  • Concienciación y formación en seguridad: Capacitación continua para empleados  y terceros en buenas prácticas de seguridad, incluyendo ciberseguridad, ingeniería social y phishing.

5.2 CIBERSEGURIDAD

Simetrik adopta un enfoque  en ciberseguridad para proteger su infraestructura, datos y operaciones de amenazas digitales en evolución. Para ello, se establecen los siguientes principios y controles:

  • Gestión de amenazas y vulnerabilidades: Monitoreo continuo de amenazas, análisis de vulnerabilidades y gestión  de riesgos cibernéticos.
  • Protección contra ataques cibernéticos: Implementación de soluciones de seguridad avanzadas, como WAF, antivirus y herramientas de respuesta ante ataques.
  • Seguridad en la red: Aplicación de controles para proteger redes internas y externas mediante segmentación, protocolos seguros y monitoreo de tráfico.
  • Seguridad en identidades y accesos: Implementación de políticas de autenticación robusta, gestión de identidades para minimizar riesgos de acceso no autorizado.
  • Ciberseguridad en dispositivos: Aplicación de controles de seguridad en endpoints y equipos corporativos para prevenir ataques dirigidos.

5.3 PRIVACIDAD Y PROTECCIÓN DE DATOS PERSONALES

Simetrik gestiona los datos personales de conformidad con la normativa de privacidad y protección de datos aplicable en cada jurisdicción, así como con los compromisos contractuales asumidos con clientes y terceros. Este compromiso se refleja en prácticas orientadas a:

  • Gestión del dato: Garantizar un tratamiento adecuado, lícito y transparente de los datos personales.
  • Finalidad y responsabilidad: Definir de manera clara las finalidades del tratamiento y las responsabilidades asociadas.
  • Minimización y protección: Promover la recopilación, uso y conservación de los datos estrictamente necesarios, así como su adecuada protección.
  • Gestión de riesgos de privacidad: identificar, evaluar y tratar riesgos asociados al tratamiento de datos personales.
  • Derechos de los titulares: atender, cuando corresponda, los requerimientos relacionados con los derechos de los titulares de los datos.
  • Protección frente a accesos no autorizados: prevenir accesos, usos, divulgaciones, alteraciones o pérdidas no autorizadas.

5.4 GOBERNANZA DE INTELIGENCIA ARTIFICIAL

A medida que Simetrik continúe incorporando tecnologías de inteligencia artificial en sus procesos, productos o servicios, promoverá una gestión basada en principios de seguridad, privacidad, supervisión, responsabilidad y análisis de riesgos. En este contexto, Simetrik avanzará progresivamente en la alineación con estándares internacionales reconocidos, con el fin de fortalecer su modelo de gobernanza de inteligencia artificial. Esto incluye, según corresponda:

  • Supervisión y responsabilidad: promover la definición de responsables para la adopción, uso y supervisión de sistemas de inteligencia artificial.
  • Intervención humana: asegurar que exista supervisión humana adecuada sobre el uso de sistemas de inteligencia artificial, especialmente en procesos o decisiones con impacto relevante.
  • Toma de decisiones responsable: promover que las decisiones apoyadas en inteligencia artificial cuenten con criterios de revisión y control acordes con su nivel de riesgo, evitando una dependencia inadecuada de decisiones exclusivamente automatizadas cuando se requiera validación humana.
  • Protección de datos e información sensible: resguardar los datos personales, la información sensible y la información de clientes utilizada por sistemas de inteligencia artificial, de acuerdo con su clasificación y nivel de criticidad.

6. COMUNICACIÓN Y REPORTE DE INCIDENTES

El equipo de Seguridad de la Información de Simetrik está disponible para atender cualquier inquietud o reporte de incidentes a través del correo incidents@simetrik.com

No informar sobre incidentes o violaciones puede derivar en acciones disciplinarias y/o correctivas según corresponda.

7. EXCEPCIONES

Cualquier excepción a esta política debe ser aprobada por el Director de Seguridad de la Información.

8. CUMPLIMIENTO 

La seguridad de la información es parte de nuestra identidad y compromiso con la confianza, la excelencia. El incumplimiento de esta política será considerado una falta grave y puede dar lugar a medidas disciplinarias, incluyendo sanciones administrativas o la terminación del contrato laboral, según la legislación vigente y las políticas internas de Simetrik. Todos los empleados, contratistas y terceros asociados son responsables de cumplir con esta política

Emiliano Murúa Cuesta

Director de Seguridad de la Información

Última actualización: 15 de abril de 2026

Este sitio está registrado en wpml.org como sitio de desarrollo. Cambia a una clave de sitio de producción en remove this banner.