POLITICA DE

SEGURIDAD

1. Propósito y Alcance

El propósito de esta Política de Seguridad de la Información (PSI) es establecer los principios, reglas y responsabilidades para proteger los activos de información de tribu pixel conecta (en adelante, "la Empresa"). Esto incluye, pero no se limita a, datos de clientes, credenciales de acceso, código fuente, diseños, información financiera y la propiedad intelectual.

Esta política aplica a todos los empleados, contratistas, proveedores y cualquier otra persona que tenga acceso a la información o sistemas de la Empresa, incluyendo aquellos que trabajan de forma remota.

2. Compromiso de la Dirección

La dirección de [Tu Nombre o Nombre de tu Negocio] está firmemente comprometida con la protección de la información y la seguridad de sus sistemas. Nos comprometemos a proporcionar los recursos necesarios para implementar y mantener esta política, así como a fomentar una cultura de seguridad en toda la organización.

3. Roles y Responsabilidades

  • Propietario/Dirección de la Empresa: Es el responsable final de la seguridad de la información, de la aprobación y revisión de esta política, y de asegurar que se asignen los recursos adecuados.

  • Todos los Empleados y Colaboradores: Son responsables de conocer, entender y cumplir esta política en su totalidad. Deben reportar cualquier incidente o sospecha de vulnerabilidad de seguridad de forma inmediata.

  • Personal Técnico/Desarrollo (si aplica): Responsable de la implementación técnica de las medidas de seguridad, el mantenimiento de sistemas, las copias de seguridad y la respuesta inicial a los incidentes de seguridad.

4. Políticas Específicas

4.1. Gestión de Acceso y Contraseñas

  • Contraseñas Fuertes: Todas las contraseñas utilizadas para acceder a sistemas, aplicaciones y datos de la Empresa deben ser complejas, conteniendo una combinación de mayúsculas, minúsculas, números y símbolos, y tener una longitud mínima de 12 caracteres.

  • Cambio de Contraseñas: Se recomienda cambiar las contraseñas cada 90 días.

  • Autenticación de Dos Factores (2FA): Es obligatorio habilitar 2FA en todas las plataformas y servicios que lo permitan (ej. gestores de anuncios, servidores, plataformas de desarrollo, correo electrónico).

  • No Compartir Contraseñas: Las contraseñas son personales e intransferibles. Queda estrictamente prohibido compartir contraseñas con cualquier persona, incluidos colegas.

  • Gestores de Contraseñas: Se recomienda encarecidamente el uso de un gestor de contraseñas seguro para almacenar y organizar las credenciales.

  • Principio de Mínimo Privilegio: Los usuarios solo tendrán acceso a la información y los sistemas que sean estrictamente necesarios para el desempeño de sus funciones.

4.2. Seguridad de la Información

  • Clasificación de Datos: La información se clasifica en:

    • Pública: Información que puede ser compartida sin restricciones.

    • Interna: Información para uso exclusivo de la Empresa.

    • Confidencial: Información sensible (datos de clientes, credenciales, propiedad intelectual) que requiere la máxima protección.

  • Manejo de Datos Confidenciales:

    • La información confidencial debe ser cifrada siempre que sea posible, tanto en tránsito (usando HTTPS/SSL para sitios web) como en reposo (en bases de datos o discos duros).

    • No se debe almacenar información confidencial en dispositivos personales no seguros o servicios de almacenamiento en la nube no autorizados.

    • La eliminación de datos debe hacerse de forma segura para evitar su recuperación.

  • Retención de Datos: La información se retendrá solo por el tiempo necesario para cumplir con los requisitos legales, contractuales o comerciales. Se establecerán procedimientos para la eliminación segura de datos obsoletos.

4.3. Respaldo y Recuperación de Datos

  • Frecuencia de Backups: Se realizarán copias de seguridad de todos los datos críticos (sitios web, bases de datos, archivos de diseño, documentos importantes) con una frecuencia mínima de diaria/semanal, según la criticidad de la información.

  • Ubicación de Backups: Las copias de seguridad se almacenarán en ubicaciones seguras, preferiblemente fuera de las instalaciones principales (ej. servicios en la nube seguros o dispositivos externos cifrados).

  • Pruebas de Recuperación: Se realizarán pruebas periódicas de recuperación de datos para asegurar que los backups son funcionales y que la información puede ser restaurada en caso de un incidente.

4.4. Seguridad en el Uso de Equipos y Redes

  • Dispositivos de la Empresa: Los equipos proporcionados por la Empresa deben ser utilizados principalmente para fines laborales y deben mantener su software actualizado (sistema operativo, antivirus, aplicaciones).

  • Dispositivos Personales (BYOD): Si se utilizan dispositivos personales para el trabajo, deben contar con medidas de seguridad mínimas (contraseña, antivirus actualizado) y la Empresa no se hace responsable de la información personal en ellos en caso de borrado o restablecimiento por seguridad.

  • Redes Wi-Fi: Solo se debe trabajar en redes Wi-Fi seguras. Se prohíbe el acceso a información confidencial o crítica de la Empresa a través de redes Wi-Fi públicas o no seguras.

  • Software Autorizado: Solo se debe instalar y utilizar software con licencia y aprobado por la Empresa. No se permite la instalación de software pirata o de fuentes no confiables.

  • Antivirus y Anti-malware: Todos los equipos utilizados para el trabajo deben tener software antivirus y anti-malware actualizado y activo.

4.5. Desarrollo Seguro de Aplicaciones Web y Publicidad

  • Actualizaciones: Todos los sistemas de gestión de contenido (CMS), plugins, temas, librerías y herramientas de desarrollo deben mantenerse actualizados a sus últimas versiones estables para corregir vulnerabilidades conocidas.

  • Validación de Entradas: Todas las entradas de usuario en formularios web y aplicaciones deben ser estrictamente validadas y sanitizadas para prevenir ataques como inyección SQL o Cross-Site Scripting (XSS).

  • Auditorías de Seguridad: Se realizarán auditorías de seguridad periódicas en los sitios web y aplicaciones desarrolladas, tanto internamente como con terceros especializados si es necesario.

  • Configuraciones Seguras: Los servidores y entornos de desarrollo deben configurarse siguiendo las mejores prácticas de seguridad, deshabilitando servicios innecesarios y aplicando firewalls.

  • Manejo de Credenciales de Clientes: Las credenciales de acceso a plataformas de clientes (cuentas de anuncios, CMS) se almacenarán de forma segura, preferiblemente en un gestor de contraseñas cifrado, y solo serán accedidas por el personal autorizado.

4.6. Seguridad de Terceros y Proveedores

  • Se evaluará la postura de seguridad de los proveedores y herramientas de terceros con los que se compartan o procesen datos de la Empresa o de los clientes.

  • Se incluirán cláusulas de seguridad y confidencialidad en los contratos con proveedores que manejen información sensible.

5. Gestión de Incidentes de Seguridad

  • Reporte de Incidentes: Cualquier incidente de seguridad (sospecha de brecha de datos, ataque de malware, acceso no autorizado, pérdida de un dispositivo) debe ser reportado inmediatamente a [Tu Nombre o Correo Electrónico de Contacto para Seguridad].

  • Procedimiento de Respuesta: Se seguirá un procedimiento establecido para investigar, contener, erradicar, recuperar y aprender de los incidentes de seguridad, minimizando el impacto en la operación y la reputación.

  • Comunicación: En caso de una brecha de datos que afecte a clientes, se seguirá un plan de comunicación claro para informar a los afectados y a las autoridades pertinentes, según las regulaciones aplicables (ej. Ley 1581 de 2012 en Colombia).

6. Capacitación y Concientización

  • Todos los empleados y colaboradores recibirán capacitación periódica sobre las políticas de seguridad de la información, las mejores prácticas y cómo identificar y reportar amenazas (ej. phishing, ingeniería social).

  • Se fomentará una cultura de vigilancia y responsabilidad en materia de seguridad entre todo el personal.

7. Revisión y Actualización de la Política

Esta política será revisada y actualizada al menos una vez al año, o cuando se produzcan cambios significativos en la tecnología, el negocio, las amenazas de seguridad o las regulaciones aplicables.

Expertos

Te ayudamos a mejorar la efectividad de tus campañas publicitarias digitales.

Tribuconecta@gmail.com

+57- 310 589 5346

© 2025. All rights reserved.

Contactanos Atraves de nuestra redes sociales.