Actualización de la norma propuesta por la FDIC: cómo redefine la presentación de informes sobre cuentas de custodia.
Leer más
Solicita una demo
Solicita una demo

1. OBJETIVO 

Proteger los activos de información de Simetrik frente a riesgos y amenazas, tanto internas como externas, garantizando la confidencialidad, integridad, disponibilidad y privacidad  de la información.

En Simetrik, la seguridad de la información es un pilar fundamental para la protección de nuestros activos, la confianza de nuestros clientes y el cumplimiento de normativas internacionales.

2. ALCANCE

Esta política aplica a todos los empleados, contratistas, proveedores y cualquier persona o entidad con acceso a los sistemas, información y activos de información de Simetrik.

3. PRINCIPIOS DE SEGURIDAD

Adoptamos un enfoque basado en riesgos para proteger los activos de información y la de los clientes frente a amenazas de alto impacto y probabilidad. 

Además, integramos los principios de seguridad de la información en la cultura organizacional, haciendo que la seguridad de la información sea responsabilidad compartida por la alta dirección, empleados, contratistas y terceros, asegurando así una estructura robusta de seguridad de la información.

Simetrik asume un firme compromiso con los siguientes principios fundamentales de seguridad y privacidad

  • Confidencialidad: Garantizamos que únicamente las personas autorizadas tengan acceso a la información, evitando accesos no autorizados o divulgaciones indebidas.
  • Integridad: Nos aseguramos de que la información esté protegida contra modificaciones no autorizadas, manteniéndola precisa, confiable y completa.
  • Disponibilidad: Aseguramos que la información esté disponible cuando sea requerida, sin interrupciones que afecten nuestra operación.
  • Privacidad: Protegemos los datos personales, respetando la privacidad de clientes, colaboradores y terceros, cumpliendo siempre con las leyes y regulaciones aplicables.

Lineamientos principales:

  • Se debe garantizar la Confidencialidad, Integridad, Disponibilidad y Privacidad de los activos de Información mantenidos dentro de Simetrik.
  • Todos los sistemas de información y activos de información utilizados en las operaciones y la prestación de servicios deben cumplir con los controles de seguridad definidos por Infosec
  • Todos los empleados, contratistas y terceros deben recibir formación y sensibilización anual en seguridad de la información para contar con los conocimientos, habilidades y herramientas necesarias para contribuir a la protección de la información, o de los activos de información a los que tienen acceso.
  • Se deben aplicar medidas para prevenir, detectar, responder, analizar, recuperar e investigar amenazas y vulnerabilidades de manera proactiva.
  • Se deben implementar metodologías y herramientas que permitan ajustarse ágilmente a los cambios en el entorno tecnológico y a nuevas amenazas.
  • La seguridad de la información debe estar integrada en todos los procesos estratégicos y operativos, garantizando que aporte valor y soporte el crecimiento de Simetrik.
  • Simetrik debe asegurar el cumplimiento de todas las leyes, normativas y estándares de seguridad aplicables:
    • Regulaciones internacionales y locales de privacidad y seguridad de datos
    • Estándar de Seguridad de Datos PCI DSS
    • Mejores prácticas de seguridad de la información, incluidas ISO 27001, ISO 27701, ISO 27018.
    • Acuerdos contractuales y  compromisos con clientes
    • Todas las leyes y regulaciones aplicables en las jurisdicciones donde operamos.

4. RESPONSABILIDADES EN SEGURIDAD DE LA INFORMACIÓN

La seguridad de la información es una responsabilidad compartida dentro de Simetrik.

Todos los empleados, proveedores y terceros con acceso a nuestros sistemas deben:

  • Cumplir con las políticas y lineamientos de seguridad establecidos.
  • Aplicar medidas adecuadas para la protección de la información.
  • Reportar cualquier incidente o anomalía de seguridad de manera inmediata.
  • Participar en los programas de formación en seguridad de la información.

El Director de Seguridad de la Información es responsable de proteger los activos de información y minimizar los riesgos asociados a dichos activos. 

Para más información sobre funciones específicas, consulta el documento de Roles y Responsabilidades.

5. CONTROLES Y MEDIDAS 

5.1 SEGURIDAD DE LA INFORMACIÓN

Implementamos controles para garantizar la protección de la información en las siguientes áreas:

  • Control de acceso: Gestión de credenciales, autenticación multifactor (MFA) y privilegios mínimos.
  • Protección de datos: Cifrado en tránsito y en reposo, anonimización y control de acceso a datos sensibles.
  • Seguridad en la nube: Aplicación de controles de seguridad en servicios cloud.
  • Seguridad en el desarrollo de software: Implementación de prácticas de desarrollo seguro y pruebas de vulnerabilidad.
  • Gestión de incidentes de seguridad: Plan de respuesta, análisis de eventos y mitigación de riesgos.
  • Gestión de riesgos: Evaluación y mitigación continua de amenazas.
  • Monitoreo y auditoría: Análisis continuo de actividades y detección de anomalías.
  • Seguridad en proveedores y terceros: Evaluación de riesgos, cumplimiento de requisitos de seguridad y acuerdos contractuales.
  • Continuidad del negocio y recuperación ante desastres: Planes de contingencia para garantizar la operatividad en caso de incidentes.
  • Concienciación y formación en seguridad: Capacitación continua para empleados  y terceros en buenas prácticas de seguridad, incluyendo ciberseguridad, ingeniería social y phishing.

5.2 CIBERSEGURIDAD

Simetrik adopta un enfoque  en ciberseguridad para proteger su infraestructura, datos y operaciones de amenazas digitales en evolución. Para ello, se establecen los siguientes principios y controles:

  • Gestión de amenazas y vulnerabilidades: Monitoreo continuo de amenazas, análisis de vulnerabilidades y gestión  de riesgos cibernéticos.
  • Protección contra ataques cibernéticos: Implementación de soluciones de seguridad avanzadas, como WAF, antivirus y herramientas de respuesta ante ataques.
  • Seguridad en la red: Aplicación de controles para proteger redes internas y externas mediante segmentación, protocolos seguros y monitoreo de tráfico.
  • Seguridad en identidades y accesos: Implementación de políticas de autenticación robusta, gestión de identidades para minimizar riesgos de acceso no autorizado.
  • Ciberseguridad en dispositivos: Aplicación de controles de seguridad en endpoints y equipos corporativos para prevenir ataques dirigidos.

6. COMUNICACIÓN Y REPORTE DE INCIDENTES

El equipo de Seguridad de la Información de Simetrik está disponible para atender cualquier inquietud o reporte de incidentes a través de los correo incidents@simetrik.com

No informar sobre incidentes o violaciones puede derivar en acciones disciplinarias y/o correctivas según corresponda.

7. EXCEPCIONES

Cualquier excepción a esta política debe ser aprobada por el Director de Seguridad de la Información.

8. CUMPLIMIENTO 

La seguridad de la información es parte de nuestra identidad y compromiso con la confianza, la excelencia . El incumplimiento de esta política será considerado una falta grave y puede dar lugar a medidas disciplinarias, incluyendo sanciones administrativas o la terminación del contrato laboral, según la legislación vigente y las políticas internas de Simetrik. Todos los empleados, contratistas y terceros asociados son responsables de cumplir con esta política

Emiliano Murúa Cuesta

Director de Seguridad de la Información

Última actualización: 20 de Marzo de 2025