Política de Seguridad de la Información

‍

Introducción

La presente Política de Seguridad de la Información se establece con el fin de proteger la confidencialidad, integridad y disponibilidad de los activos de información de Payflow. Cumple con la norma ISO/IEC 27001 y se aplica a todos los empleados, contratistas y usuarios externos que accedan o utilicen los activos de información de Payflow.

‍

Propósito

El propósito de esta política es garantizar la protección de los activos de información frente a cualquier amenaza, ya sea interna o externa, deliberada o accidental. Asimismo, busca asegurar el cumplimiento de todas las leyes, normativas y obligaciones contractuales aplicables.

La política establece un marco para definir, revisar y alcanzar objetivos de seguridad de la información, y define las responsabilidades de empleados, contratistas y terceros en la protección de los activos de información de Payflow.

Además, esta política tiene como fin promover la concienciación, formar a los empleados y guiar los procesos de toma de decisiones relacionados con la seguridad de la información en la organización.

‍

Alcance

Payflow, empresa dedicada a ofrecer soluciones de bienestar financiero a través del acceso al salario bajo demanda y la compensación flexible, con el objetivo de empoderar a los usuarios para gestionar y mejorar sus finanzas personales, ha decidido implantar un Sistema de Gestión de Seguridad de la Información (SGSI) con el fin de mejorar los servicios prestados a sus clientes.

Esta política aplica a todos los activos de información propiedad de, alquilados, gestionados o de otro modo controlados por Payflow, incluyendo información almacenada en soportes físicos o electrónicos, información transmitida por redes o cualquier canal de comunicación, así como información procesada o gestionada por empleados, contratistas o usuarios externos.

‍

Objetivos

Los principales objetivos de esta política son:

• Proteger la confidencialidad de la información para evitar su divulgación no autorizada.
• Asegurar la integridad de la información para prevenir modificaciones no autorizadas.
• Garantizar la disponibilidad de la información a los usuarios autorizados cuando la necesiten.

Asimismo, la política busca garantizar el cumplimiento de las leyes, regulaciones y obligaciones contractuales aplicables, tales como el Reglamento General de Protección de Datos (RGPD), la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) y la Ley 10/2021 de trabajo a distancia, entre otras, fomentando la mejora continua del SGSI.

‍

Organización de la Seguridad y Responsabilidades

La Dirección de Payflow es responsable de proporcionar liderazgo y compromiso en materia de seguridad de la información. Garantiza que se dispongan de los recursos necesarios para implementar y mantener el SGSI, y revisa y aprueba las políticas y procedimientos de seguridad de la información.

El Responsable del SGSI es responsable de desarrollar, implementar y mantener el sistema de gestión de seguridad de la información. Esto incluye realizar evaluaciones de riesgos, implementar controles adecuados y reportar sobre la eficacia del SGSI a la alta dirección.

Los empleados, contratistas y usuarios externos son responsables de cumplir con esta política y con todos los procedimientos relacionados con la seguridad de la información. Deben reportar cualquier incidente o vulnerabilidad sospechada al Responsable del SGSI y participar en programas de formación y concienciación en seguridad de la información.

‍

Medidas de Seguridad

En línea con nuestro compromiso de proteger los activos de información y mantener la integridad de nuestras operaciones, hemos establecido un conjunto integral de medidas de seguridad que incluyen:

• Recursos Humanos: Medidas para garantizar que empleados, contratistas y terceros conocen sus responsabilidades y cuentan con la formación necesaria para proteger los activos de información.
• Seguridad Física: Medidas para proteger los activos de información contra accesos no autorizados, daños o interferencias.
• Gestión de Activos: Identificación, clasificación y protección de los activos de información a lo largo de su ciclo de vida. Incluye inventario, asignación de responsables, definición de pautas de uso y auditorías periódicas.
• Control de Acceso: El acceso a los activos de información se limita únicamente a usuarios autorizados. Se implementan mecanismos robustos de autenticación y autorización, revisados periódicamente.
• Seguridad de Redes: Protección de la infraestructura de red contra accesos no autorizados, brechas y amenazas. Incluye cortafuegos, sistemas de detección de intrusiones y monitorización regular.
• Seguridad de Operaciones: Preservación de la integridad de los procesos operativos mediante monitorización, registro de actividades y detección temprana de anomalías.
• Gestión de Configuración: Procedimientos para asegurar que todas las configuraciones de sistemas y activos se gestionan, documentan y monitorizan de manera sistemática.
• Desarrollo Seguro: Integración de prácticas de seguridad en el ciclo de vida de desarrollo de software, incluyendo revisiones de código, evaluaciones de vulnerabilidades y pruebas periódicas.
• Gestión de Cambios: Procedimientos para controlar y documentar cambios en sistemas e infraestructuras, minimizando riesgos de incidentes y disrupciones.
• Gestión de Riesgos: Evaluaciones regulares para identificar y mitigar riesgos a los activos de información, con seguimiento continuo de la eficacia de los controles.
• Gestión de Datos: Clasificación de la información según su sensibilidad y criticidad, con procedimientos de manejo definidos para cada nivel.
• Gestión de Incidentes: Procesos para detectar, responder y recuperarse de incidentes de seguridad de la información. Todos los incidentes deben reportarse al equipo de respuesta designado y ser investigados.
• Continuidad del Negocio: Planes para asegurar la continuidad de funciones críticas en caso de disrupciones, con pruebas y actualizaciones periódicas.
• Gestión de Terceros: Definición y exigencia de requisitos de seguridad a proveedores y socios, con evaluaciones regulares de cumplimiento.
• Cumplimiento: Asegurar el cumplimiento de todas las leyes, regulaciones y obligaciones contractuales relevantes. Auditorías periódicas verifican la conformidad con esta política y el SGSI.
• Concienciación y Comunicación: Programas regulares de formación y concienciación en seguridad para empleados, contratistas y terceros.

‍

Mejora Continua

Payflow está comprometida con la mejora continua de sus prácticas de gestión de seguridad de la información. Se realizan evaluaciones y revisiones periódicas para identificar áreas de mejora. Se analizan auditorías, informes de incidentes y sugerencias de empleados para implementar mejoras. Se monitorizan métricas e indicadores de desempeño para medir la eficacia de los controles de seguridad.

‍

Cumplimiento

Payflow se reserva el derecho de auditar y/o monitorizar las actividades de los empleados y la información gestionada a través de los sistemas de información.

Todos los empleados deben cumplir con la Política de Seguridad de la Información y las Políticas Específicas de Seguridad, siendo conscientes de que el incumplimiento dará lugar a medidas disciplinarias proporcionales a la infracción cometida.

‍