Documento oficial

Política general de seguridad y privacidad de la información

ISO 27001 – SGSI Xpert-Tic S.A.S. | NIT: 901686550

Declaración general

La dirección de Xpert-Tic S.A.S., entendiendo la importancia de una adecuada gestión de la información en el sector de las telecomunicaciones, se ha comprometido con la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI), buscando establecer un marco de confianza en el ejercicio de sus operaciones con clientes, socios comerciales y usuarios, todo enmarcado en el estricto cumplimiento de la normativa vigente y en concordancia con la misión y visión de la organización.

Para Xpert-Tic S.A.S., la protección de la información busca la disminución del impacto generado sobre sus activos por los riesgos identificados de manera sistemática, con objeto de mantener un nivel de exposición que permita responder por la integridad, confidencialidad y disponibilidad de la misma, acorde con las necesidades de los diferentes grupos de interés identificados.

Alcance y aplicabilidad

Esta política aplica a Xpert-Tic S.A.S. en su totalidad, incluyendo a sus empleados, contratistas, proveedores, aprendices, practicantes, terceros aliados y en general a toda persona natural o jurídica que, en razón de sus funciones o relación contractual, tenga acceso a los activos de información de la organización, incluyendo los sistemas que soportan el producto XpertBot y la infraestructura del Centro de Operaciones de Red (NOC).

Nivel de cumplimiento

Todas las personas cubiertas por el alcance y aplicabilidad deberán dar cumplimiento al 100% de la presente política.

Objetivos de seguridad de la información

Xpert-Tic S.A.S. — NIT 901686550 — establece los siguientes objetivos que orientan la gestión de la seguridad de la información:

  1. Minimizar el riesgo en los procesos misionales y operativos de la organización, con especial atención a los servicios de telecomunicaciones y soporte NOC.
  2. Cumplir con los principios de seguridad de la información: confidencialidad, integridad y disponibilidad.
  3. Cumplir con las obligaciones legales, regulatorias y contractuales aplicables al sector de las telecomunicaciones en Colombia.
  4. Mantener la confianza de los clientes, socios comerciales, empleados y aliados estratégicos.
  5. Apoyar la innovación tecnológica como eje diferenciador en el desarrollo de productos y servicios.
  6. Implementar, operar y mejorar de forma continua el Sistema de Gestión de Seguridad de la Información.
  7. Proteger los activos de información, incluyendo plataformas, sistemas, datos de clientes y la infraestructura tecnológica asociada a XpertBot y al NOC.
  8. Establecer políticas, procedimientos e instructivos en materia de seguridad de la información aplicables a todas las áreas de la organización.
  9. Fortalecer la cultura de seguridad de la información en todos los empleados, contratistas, proveedores y aliados de Xpert-Tic S.A.S.
  10. Garantizar la continuidad del negocio y la resiliencia operativa ante incidentes de seguridad.

Principios del SGSI de Xpert-Tic S.A.S.

A continuación se establecen los 12 principios de seguridad que soportan el SGSI de Xpert-Tic S.A.S. — NIT 901686550:

  1. Xpert-Tic S.A.S. ha decidido definir, implementar, operar y mejorar de forma continua un Sistema de Gestión de Seguridad de la Información, soportado en lineamientos claros alineados a las necesidades del negocio y a los requerimientos regulatorios aplicables al sector de las telecomunicaciones.
  2. Las responsabilidades frente a la seguridad de la información serán definidas, comunicadas, publicadas y aceptadas por cada uno de los empleados, contratistas, proveedores o terceros vinculados a Xpert-Tic S.A.S.
  3. Xpert-Tic S.A.S. protegerá la información generada, procesada o resguardada por sus procesos de negocio, incluyendo los datos operativos del NOC, la infraestructura de telecomunicaciones y los activos tecnológicos vinculados a XpertBot.
  4. Xpert-Tic S.A.S. protegerá la información creada, procesada, transmitida o resguardada por sus procesos de negocio, con el fin de minimizar impactos financieros, operativos o legales derivados de un uso incorrecto de la misma, aplicando controles acordes con la clasificación de la información de su propiedad o en custodia.
  5. Xpert-Tic S.A.S. protegerá su información de las amenazas originadas por parte del personal interno y externo, implementando controles de acceso, monitoreo y concientización.
  6. Xpert-Tic S.A.S. protegerá las instalaciones de procesamiento y la infraestructura tecnológica que soporta sus procesos críticos, incluyendo los centros de datos, equipos de red y plataformas de gestión NOC.
  7. Xpert-Tic S.A.S. controlará la operación de sus procesos de negocio garantizando la seguridad de los recursos tecnológicos, las redes de datos y los sistemas de comunicación bajo su administración.
  8. Xpert-Tic S.A.S. implementará controles de acceso a la información, sistemas y recursos de red, asegurando que únicamente personal autorizado acceda a los activos de información conforme a sus roles y responsabilidades.
  9. Xpert-Tic S.A.S. garantizará que la seguridad sea parte integral del ciclo de vida de los sistemas de información, incluyendo el diseño, desarrollo, implementación, operación y retiro de plataformas tecnológicas como XpertBot.
  10. Xpert-Tic S.A.S. garantizará, a través de una adecuada gestión de los eventos de seguridad y las debilidades asociadas con los sistemas de información, una mejora efectiva y continua de su modelo de seguridad.
  11. Xpert-Tic S.A.S. garantizará la disponibilidad de sus procesos de negocio y la continuidad de su operación basada en el análisis del impacto que pueden generar los eventos de seguridad sobre sus clientes y servicios.
  12. Xpert-Tic S.A.S. garantizará el cumplimiento de las obligaciones legales, regulatorias y contractuales establecidas, incluyendo la normativa colombiana aplicable en materia de protección de datos personales (Ley 1581 de 2012), telecomunicaciones y seguridad de la información.

Sanciones por incumplimiento

El incumplimiento de la presente Política de Seguridad y Privacidad de la Información de Xpert-Tic S.A.S. — NIT 901686550 — traerá consigo las consecuencias disciplinarias, contractuales y legales que apliquen conforme a la normativa interna de la organización y a las disposiciones del ordenamiento jurídico colombiano vigente en materia de seguridad y privacidad de la información.