politicas de datos para usuarios finales

Poltica para el usuario final

Versin del documento 3.2

Septiembre de 2014

Solo para Uso Interno 2

Contenido 1 Objetivo .................................................................................................................... 4

1.1 Alcance ............................................................................................................. 4

1.2 Aplicacin ......................................................................................................... 4

1.3 Revisin de la poltica ....................................................................................... 5

2 Elementos de la poltica ........................................................................................... 5

2.1 Clasificacin de la informacin .......................................................................... 5

2.2 Envo de informacin sensible por correo electrnico ....................................... 6

2.3 Cifrado automtico de correo electrnico .......................................................... 6

2.4 Acceso a los recursos de informacin ............................................................... 6

2.5 Utilizacin de dispositivos mviles y sistemas informticos que no hayan sido

proporcionados por First Data ..................................................................................... 7

2.6 Uso de dispositivos de almacenamiento externo ............................................... 7

2.7 Uso de sistemas informticos y de la red de First Data ..................................... 7

2.8 Proteccin contra el malware ............................................................................ 7

2.9 Validacin de identidad y autorizacin antes de compartir informacin ............. 8

2.10 Contraseas ...................................................................................................... 8

2.11 Sistemas desatendidos ..................................................................................... 8

2.12 Uso aceptable de Internet ................................................................................. 9

2.13 Uso inaceptable de Internet .............................................................................. 9

2.14 Redes sociales ................................................................................................ 10

2.15 Actividades prohibidas .................................................................................... 10

2.16 Informacin impresa ........................................................................................ 11

2.17 Entorno limpio ................................................................................................. 11

2.18 Informe de incidentes e infracciones a la poltica ............................................ 11

2.19 Respaldos de la informacin ........................................................................... 12

2.20 Aceptacin ...................................................................................................... 12

2.21 Excepciones .................................................................................................... 12

2.22 Concienciacin acerca de la seguridad de la informacin ............................... 12

3 Documentos de respaldo ....................................................................................... 12

4 Historia de revisiones ............................................................................................. 13


Poltica para el usuario final v3.2

Reemplaza: Todas las Polticas para el usuario final

Propietario de la poltica:

Pete Cavicchia, Vicepresidente senior de seguridad global ciberntica

Custodio de la poltica:

John Hellickson, Responsable de Seguridad de la Informacin

Distribucin: a todos los empleados Emitida por: Pete Cavicchia

Aprobada por:

Pete Cavicchia, Vicepresidente senior de seguridad global ciberntica

Cindy Armine, Responsable de Control

Guy Chiarello, Presidente de First Data

Christine Larsen, Vicepresidente ejecutivo y director de operaciones

David Money, Vicepresidente ejecutivo y asesor legal

Fecha de aprobacin: Septiembre de 2014

Fecha de entrada en vigencia: 1 de septiembre de 2014

Prxima fecha de revisin: Marzo de 2015

Documentos relacionados: Esta poltica se rige por la Poltica de Seguridad de la Informacin.

Otros documentos relacionados incluyen el Cdigo de Conducta de First Data, el Manual del Empleado de First Data, los Principios de Privacidad de First Data y la Gua de los Medios de Comunicacin Sociales.


1 Objetivo

First Data recopila, procesa, almacena y transmite numerosos tipos de informacin, incluyendo: datos sobre clientes, documentos comerciales internos, datos de recursos humanos, etc. Con el fin de administrar esta informacin, First Data mantiene recursos de informacin que incluyen, entre otros, sistemas informticos, equipos de red, dispositivos de almacenamiento, correo electrnico, sitios de Internet, aplicaciones, telfonos fijos y mviles, impresoras, fotocopiadoras, mquinas de fax, archivos informticos, sistemas operativos y bases de datos. First Data (FD) ha publicado esta poltica para:

a. Definir los usos aceptables de los recursos de informacin de First Data.

b. Conservar la confidencialidad, integridad y disponibilidad de su informacin.

c. Cumplir con acuerdos y contratos con los clientes, normativas gubernamentales, leyesvigentes, normas de la industria y de la asociacin de tarjetas de pago, as como conotras polticas, normas y procedimientos de First Data.

1.1 Alcance

Esta poltica se aplica a:

a. Los empleados y no empleados (contratistas, asesores y agentes autorizados) de FirstData, sus subsidiarias y empresas conjuntas, las alianzas estratgicas y las empresasafiliadas que correspondan. En esta poltica, la palabra Usuario(s) se refiere a lostrabajadores empleados y no empleados, y la Empresa se refiere a First Data y sussubsidiarias, empresas conjuntas, alianzas estratgicas y empresas afiliadas. Lasreferencias a trabajadores no empleados hechas aqu y el requerimiento de que estostrabajadores cumplan con los trminos de esta Poltica no implican o crean una relacinlaboral con First Data.

b. Los recursos de informacin que pertenecen a la Empresa, o que son operados ella, yasea que estn en un establecimiento de la Empresa o en otra ubicacin fuera de susinstalaciones.

c. La administracin de seguridad de los terceros proveedores de servicios.

1.2 Aplicacin

La violacin de esta poltica ser considerada un incumplimiento de obligaciones fiduciarias y podra provocar daos a la Empresa como consecuencia de un manejo indebido de su informacin.

Bajo la direccin del Comit de Direccin (MC), Seguridad de la Informacin y Defensa Ciberntica (ISCD) tiene la autoridad de crear y modificar peridicamente normas y procedimientos que respalden esta poltica. Siempre que sea posible, stos se harn cumplir sistemticamente.

La falta de cumplimiento de un usuario con esta poltica o las normas y procedimientos derivados de ella, o de informar una violacin conocida, pueden llevar a acciones legales y disciplinarias. Los empleados que violen esta poltica pueden quedar sujetos a medidas disciplinarias que pueden incluir el despido. Podra darse por terminada la relacin de los trabajadores no empleados que violen esta poltica. Adems, la Empresa podra decidir dar parte a las autoridades encargadas del cumplimiento de la ley y agencias regulatorias correspondientes.

ISCD, con el asesoramiento del Departamento de Recursos Humanos, el Departamento Legal y la gerencia correspondiente, y respetando las limitaciones legales, puede tomar cualquier otra medida, entre las que se incluyen: restringir el acceso o revocar privilegios; confiscar dispositivos de la Empresa; inspeccionar, copiar o eliminar datos, programas u otros recursos; o cualquier otra medida que se considere necesaria o adecuada para proteger la informacin de la Empresa.


Para los empleados de First Data, el cumplimiento de esta poltica es una condicin de continuacin de empleo en First Data. Las terceras partes que proporcionen recursos a First Data deben cumplir con los requisitos establecidos para respaldar esta poltica.

Sin embargo, nada en esta poltica deber interpretarse de manera que pueda interferir con la Seccin 7 derechos amparados por la Ley Nacional de relaciones laborales (NLRA) o que la Empresa tomar alguna medida en contra del empleo en violacin a dicha Ley.

1.3 Revisin de la poltica

Esta poltica se revisar por lo menos una vez al ao o con mayor frecuencia si los cambios en el entorno laboral justifican dicha revisin. ISCD presentar todos los cambios de la poltica al Comit de Direccin para su revisin y su aprobacin.

2 Elementos de la poltica

2.1 Clasificacin de la informacin

First Data clasificar toda la informacin en funcin de su valor, los requisitos legales, la privacidad de los datos y el grado en que resulta fundamental para la Empresa. Las categoras de clasificacin son:

a. No restringida (clase 1): Informacin que puede usar libremente cualquier personafuera de la Empresa. A veces, esta categora tambin se denomina "Pblica."

b. Solo para uso interno (clase 2): Informacin que utilizan los Usuarios de First Data ensus tareas habituales. Su divulgacin inapropiada puede causar un dao limitado.

c. Confidencial (clase 3): Informacin que si se divulgara de forma no apropiadaprobablemente causara un dao significativo.

d. Restringida (clase 4): Informacin que si se divulga de forma no apropiada puedecausar un dao grave.

El trmino sensible hace referencia a los datos clasificados como Confidenciales (clase 3) y Restringidos (clase 4).

La informacin que no est correctamente etiquetada (o clasificada) debe considerarse como Confidencial (clase 3).

Los Usuarios deben considerar si la informacin que pretenden enviar fuera de la Empresa es sensible. Si es as, el Usuario debe cifrar los datos. Si el Usuario no sabe si la informacin es sensible, ste debe verificar con su supervisor o consultar la Poltica de Seguridad de la Informacin, que se encuentra en FirstWeb. Si el Usuario no tiene acceso a FirstWeb, el usuario debe solicitar informacin a su supervisor acerca de cmo tener acceso a los documentos mencionados anteriormente.

Ejemplos de informacin Confidencial Ejemplos de informacin Restringida

Informacin del cliente

Datos del titular de la tarjeta

Informacin personal del cliente

o Datos de seguridad social

o Informacin de identificacinpersonal

Datos financieros

Informacin de compras

Documentos de fusiones o adquisicionespendientes

Informacin financiera/planescorporativos estratgicos

Informacin relacionada con demandaspendientes

Informes anuales/trimestralespreliminares


Informes de auditoras

Contratos

Informacin de Recursos Humanos opersonal del empleado

Informacin de nmina

Tenga en cuenta que existen precauciones adicionales que se deben tomar para manejar informacin Restringida, las que se pueden consultar en la Poltica de Seguridad de la Informacin.

2.2 Envo de informacin sensible por correo electrnico

La informacin sensible que se enve fuera de la Empresa por correo electrnico debe estar cifrada.

(Actualmente, el siguiente procedimiento es solo para EE.UU. Los usuarios de otras regiones deben ponerse en contacto con sus representantes de seguridad para conocer los procedimientos para cifrar correos electrnicos reservados).

Para cifrar un correo electrnico, inserte las palabras FDCSecureMail: en la lnea del Asunto del mensaje seguido de cualquier otro texto que elija.

Por ejemplo, la lnea de asunto de un correo electrnico cifrado se leera FDCSecureMail: Actualizacin de prueba.

El envo de correos electrnicos que contienen informacin restringida fuera de First Data requiere aprobacin escrita del Vicepresidente senior/Vicepresidente ejecutivo correspondiente.

2.3 Cifrado automtico de correo electrnico

(Actualmente, el siguiente procedimiento es slo para usuarios de EE.UU.; los usuarios de otras regiones deben ponerse en contacto con sus representantes de seguridad para verificar la disponibilidad del cifrado automtico de los correos electrnicos en sus lugares de trabajo).

Tenga en cuenta que First Data cifra automticamente los correos electrnicos a muchos dominios identificados. No hay ningn otro paso que tenga que seguir el Usuario para cifrar un correo electrnico que enve a uno de estos dominios. Una lista completa de estos dominios puede encontrarse en este sitio FirstWeb: Biblioteca de referencia / Guas y servicios / Tecnologa de la informacin / Mejores prcticas sobre mensajera electrnica / Seguridad de correos electrnicos: Mantenimiento de la seguridad de los correos electrnicos.

Si frecuentemente enva correos electrnicos confidenciales a dominios especficos que no estn en la lista de cifrado automtico, el servicio de asistencia tcnica de First Data puede agregar el dominio a la lista para mejorar su eficiencia.

Para agregar un dominio usado frecuentemente, siga las instrucciones para agregar dominios TLS ubicadas en seguridad de correo electrnico dentro de FirstWeb en: Mantenimiento de la seguridad del sitio de correo electrnico.

2.4 Acceso a los recursos de informacin

Los Usuarios deben leer, aceptar y obedecer esta poltica antes de acceder a los recursos de informacin de First Data. Adems, se espera que los Usuarios limiten su acceso a aquellos recursos de informacin que son necesarios para realizar las tareas relacionadas con su trabajo y/o asignadas por su supervisor.


2.5 Utilizacin de dispositivos mviles y sistemas informticos que no hayan sido proporcionados por First Data

Los negocios de First Data pueden realizarse usando equipo de First Data y equipo no provisto por First Data en cumplimiento con la Norma de Acceso remoto seguro y Norma de seguridad de dispositivos mviles. El uso de sistemas informticos no provistos por First Data requiere el registro en un programa de administracin de dispositivos no provistos por First Data aprobado por ISCD y en cumplimiento con las polticas y normas de uso de dispositivos no provistos por First Data.

2.6 Uso de dispositivos de almacenamiento externo

Los Usuarios que tengan una necesidad comercial para almacenar informacin sensible en un dispositivo de almacenamiento externo (como memorias flash USB, discos rgidos externos, pen drives, etc.) deben hacerlo usando un dispositivo de almacenamiento externo cifrado aprobado y proporcionado por la Empresa. Los Usuarios deben comunicarse con el Help Desk local para solicitar un dispositivo de almacenamiento externo cifrado aprobado por la Empresa. Cuando ya no sea necesario, los Usuarios deben devolver todo dispositivo de almacenamiento al equipo de servicio de asistencia tcnica correspondiente para su destruccin.

La conexin de dispositivos de almacenamiento externos no provistos por la Empresa (como memorias flash USB, discos rgidos externos, cmaras, reproductores MP3, pen drives, telfonos mviles, tabletas, computadoras porttiles no cifrados, etc.) a sistemas de First Data est prohibida a menos que sea aprobada por ISCD.

2.7 Uso de sistemas informticos y de la red de First Data

Se acepta el uso mnimo de equipos porttiles y de escritorio, telfonos, impresoras, mquinas de fax, equipos de PDA y otros equipos de oficina proporcionados por la empresa en la medida en que no interfiera ni limite las operaciones comerciales de la empresa ni infrinja ninguna poltica o el Cdigo de Conducta de la Empresa. Los usuarios deben evitar el almacenamiento de datos personales en sistemas informticos de la Empresa. Donde lo permitan las leyes locales, se supervisar el uso de los recursos de informacin de la Empresa.

2.8 Proteccin contra el malware

El malware es un software diseado para cargarse secretamente en una computadora, daar o destruir datos, ingresar a registros, transmitir informacin y correos electrnicos de forma clandestina y replicarse y distribuirse por s mismo. El malware informtico puede ingresar a travs de dispositivos de almacenamiento externos u otros medios (por ejemplo dispositivos de almacenamiento USB, CD, DVD, etc.).

1. Nunca deshabilite o intente deshabilitar programas antivirus o antimalware.2. No conecte ningn medio de almacenamiento no provisto por la Empresa a sistemas

informticos de la Empresa a menos que sean aprobados por ISCD.3. Evite hacer clic en un vnculo o abrir un documento adjunto en un correo electrnico que

no sea conocido.4. Sea precavido al abrir un correo electrnico de un remitente desconocido.5. Evite descargar aplicaciones, medios u otro software de sitios web no aprobados por la

Empresa.

Si el usuario sospecha que su sistema puede estar infectado con un malware, deber dejar de utilizarlo de forma inmediata y llamar al Help Desk asignado. Adems, los Usuarios deben cooperar plenamente con ISCD si son notificados de una posible infeccin en sus sistemas o dispositivos. ISCD se reserva el derecho de desconectar inmediatamente de la red cualquier dispositivo que se sospeche est infectado con un malware.


2.9 Validacin de identidad y autorizacin antes de compartir informacin

Antes de proporcionar informacin, los Usuarios deben verificar la identidad de cualquier persona que solicite informacin de First Data. Los Usuarios tambin deben verificar que el solicitante est autorizado para acceder a la informacin. Ante cualquier duda acerca de la identidad de la persona que solicita la informacin o de su autorizacin para recibirla, los Usuarios debern obtener la aprobacin de su supervisor antes de proporcionarla.

2.10 Contraseas

Los nombres de usuario y contraseas identifican unvocamente a un Usuario y se requieren para que un Usuario acceda a los recursos de informacin de la Empresa. Los Usuarios son responsables por cualquier actividad asociada con sus nombres de usuario y contraseas. Los nombres de usuario y contraseas se deben administrar conforme a la Norma de Contraseas de la Empresa:

1. Los Usuarios no deben bajo ninguna circunstancia dar o enviar un recordatorio de sucontrasea a otra persona, ni deben usar el nombre de usuario o contrasea de untercero.

2. Los Usuarios deben cambiar una contrasea inicial o temporal inmediatamente despusde recibirla o en cualquier momento en que se sospeche una violacin a la seguridad dela contrasea. Se debe denunciar una violacin a la seguridad de la contrasea como unincidente de seguridad. (Vase 2.17 para obtener informacin acerca de cmo informarincidentes de seguridad.)

3. Los usuarios deben cambiar sus contraseas al menos cada 60 das o cuando as loindique el sistema.

4. Los usuarios no deben usar la funcin de recordar mi contrasea incluso si el sistemasolicita que lo haga.

5. Los usuarios no deben escribir ni almacenar contraseas no cifradas.

6. Los usuarios deben seguir las siguientes reglas para la elaboracin de contraseas (si elsistema es compatible):

a) Las contraseas deben ser por lo menos de ocho (8) caracteres.

b) La contrasea no debe ser una secuencia de caracteres que pueda predecirse confacilidad, ni tampoco debe contener caracteres repetidos consecutivos.Ejemplos: X34JAN en enero, X34FEB en febrero, AABBCC

c) Las contraseas no deben ser palabras que aparezcan en un diccionario ni aquellasque puedan adivinarse fcilmente.Ejemplos: FirstData, Admin

d) Las contraseas deben incluir smbolos de tres de las siguientes cuatro categoras:letras minsculas, letras maysculas, nmeros y caracteres no alfanumricos.

7. Adems, se pueden seguir estas pautas para la creacin de contraseas:

a) Utilice dos o ms nmeros o caracteres especiales embebidos en una palabra.Ejemplo: h4o5m&e1, m$on5ey8

b) Utilice acrnimos de oraciones que pueda recordar y mzclelas con nmeros ycaracteres especiales.

Ejemplo: "mGBcM2a&$" (por "Me gusta beber con mis dos amigos y pagar).

c) Escriba incorrectamente las palabras, quitndoles letras o reemplazando algunascon letras de un sonido similar y mezclndolas con nmeros y caracteres especiales.

Ejemplo: KieroCerRico@40! para Quiero ser rico a los 40!

2.11 Sistemas desatendidos

Para evitar el robo o el acceso no autorizado a los recursos de First Data:

a. Los usuarios no deben dejar los recursos de informacin de First Data sin proteger ovisibles y desatendidos cuando estn fuera de las instalaciones de First Data.


b. Los usuarios deben activar un protector de pantalla con contrasea para bloquear sucomputadora cuando se alejen de su estacin de trabajo.

c. Los usuarios deben cerrar la sesin o salir de los programas y sitios de red al terminar suda de trabajo.

2.12 Uso aceptable de Internet

El acceso a Internet se proporciona para facilitar y conseguir los siguientes objetivos:

a. Comunicaciones y actividades comerciales de la empresa.

b. Investigacin y desarrollo.

c. Capacitacin de empleados relacionada con las tareas laborales.

d. Recopilacin de informacin general asociada al hecho de estar bien informado sobreasuntos financieros, comerciales, gubernamentales y pblicos.

La siguiente es una lista de los usos aceptables de acceso a Internet que proporciona First Data:

1. Acceso a Internet para actividades relacionadas con los negocios de First Data. Losejemplos de sitios web que generalmente se consideran apropiados incluyen sitios que:

a. Contienen informacin con datos relacionados con el negocio.

b. Contienen informacin sobre software para uso comercial.

c. Contienen el precio de las acciones y el estado de los mercados financieros.

2. Intercambios de mensajes de correo electrnico con un cliente o socio comercial paraactividades relacionadas con el negocio de First Data.

3. Uso mnimo de recursos de Internet por razones personales, como navegacin por la Web.Se acepta el uso mnimo de dichos recursos por razones personales siempre que ste noinfrinja ninguna otra parte de esta poltica, otras polticas de First Data o el Cdigo deConducta de First Data. Adems, siempre que las leyes lo permitan, el trfico Web y delcorreo electrnico estarn sujetos a monitoreo y guarda.

2.13 Uso inaceptable de Internet

Los usuarios no usarn recursos de informacin de First Data para lo siguiente: a. Enviar mensajes personales en paneles de anuncios electrnicos, actualizar wikis o

publicar blogs, (lo que incluye blogs de audio y video), podcasts y podcasts de video.

b. Participar en conversaciones en salones de chat por Internet, listas de correo, etc.

c. Conectarse a redes sociales para uso personal.

d. Acceder a los sitios web que sean considerados inapropiados para el lugar de trabajo

por los equipos del Departamento Legal, de Recursos Humanos e ISCD. Estos sitios

incluyen, entre otros, pornografa u otro material sexualmente explcito, expresiones de

odio y otras actividades potencialmente violentas o criminales, adems de sitios de

apuestas. ISCD, en conjunto con el Departamento de Recursos Humanos y el

Departamento Legal, puede bloquear sin aviso cualquier sitio que se considere

inapropiado.

Los usuarios debern evitar el intento de acceso a sitios web bloqueados o prohibidos y no intentarn eludir los controles de seguridad existentes. ISCD y el Departamento de Recursos Humanos, siempre que lo permitan las leyes locales, pueden revisar los informes sobre intentos de los Usuarios de acceder a sitios web bloqueados y, en conjunto con la gerencia, aplicar medidas disciplinarias si se considera necesario. Puede que algunos sitios web que incluyen contenido censurable conforme a esta poltica no estn bloqueados. Se espera que los Usuarios apliquen su criterio para decidir si el contenido de un sitio web en particular es apropiado para el lugar de trabajo. Si surgen dudas, stas se deben dirigir al supervisor del Usuario.


Para obtener acceso a sitios web restringidos o bloqueados que sean necesarios para uso comercial, los Usuarios deben completar el Formulario de solicitud de acceso a Internet ubicado en FirstWeb o consultar con su representante de seguridad.

2.14 Redes sociales

Las redes sociales pueden tener diferentes formatos, incluidos entre otros, micro-blogging, foros, blogs, sitios web de reseas de clientes y paneles de anuncios; sitios para compartir fotos, vdeos y documentos; sitios que permiten establecer contactos profesionales; mundos virtuales y juegos sociales. Consulte la Gua de los Medios de Comunicacin Sociales de First Data.

Para obtener acceso a sitios web restringidos o bloqueados que sean necesarios para uso comercial, los Usuarios con un trabajo o deber contractual que les requiera el acceso a medios de comunicacin sociales deben completar el Formulario de solicitud de acceso a Internet ubicado en FirstWeb o consultar con su representante de seguridad.

2.15 Actividades prohibidas

Las siguientes acciones detalladas estn prohibidas, a menos que la actividad forme parte de las tareas oficiales del Usuario de First Data o est protegida por las leyes locales. Si se considera necesario, ISCD, en conjunto con el Departamento Legal y de Recursos Humanos, puede catalogar en cualquier momento la actividad del Usuario como aceptada o prohibida.

Entre las actividades prohibidas para los Usuarios se encuentran:

1. Acceder, investigar o cambiar cualquier cuenta, archivo, registro o aplicacin que no senecesite para realizar las tareas oficiales de su trabajo.

2. Instalar software o hardware en sistemas de First Data sin la aprobacin y/o asistencia delequipo autorizado de soporte tcnico de First Data. Por ejemplo: Se prohbe agregarmdems o tarjetas de acceso inalmbrico no autorizados.

3. Usar programas de freeware, shareware o software de dominio pblico en equipos u otrosdispositivos de First Data sin la aprobacin de un supervisor y ISCD.

4. Mover o cambiar los componentes de sistema sin la aprobacin del equipo autorizado deasistencia tcnica de First Data.

5. Usar sistemas de mensajera instantnea no provistos por First Data en computadorasporttiles/estaciones de trabajo provistas por la Empresa.

6. Prestar o permitir el acceso a recursos de informacin de First Data, como dispositivos,equipos porttiles y de escritorio de la empresa, a miembros de la familia, amigos o personasque no sean empleados de First Data.

7. Modificar o alterar el hardware o software proporcionado por First Data. Ejemplos: No sepuede reconfigurar ni eliminar el software antivirus o firewall.

8. Instalar o usar software de servidor web en un equipo porttil, estacin de trabajo u otrosdispositivos provistos por la Empresa.

9. Instalar o usar herramientas para compartir archivos que incorporen Red de pares (P2P) oclientes Bit Torrent y usar, conectar o transferir archivos usando almacenamiento en lnea,por ejemplo Dropbox.

10. Instalar o utilizar herramientas de acceso remoto en el equipo porttil o de escritorio u otrosdispositivos proporcionados por la Empresa, como GotoMyPC.

11. Acceder a cuentas de correo electrnico que no sean de First Data desde sistemas de FirstData.

12. Usar el correo electrnico o cualquier otra comunicacin electrnica para enviar informacinofensiva, amenazante o inapropiada que infrinja las polticas de FD como la Poltica contra elacoso o el Cdigo de conducta.

13. Destruccin de informacin que se debe conservar por investigaciones de ISCD u otrasrazones legales.


14. Acceder a sitios web con contenidos inapropiados para el lugar de trabajo, tal como se

describe en la seccin 20.

15. Introducir deliberadamente malware a sistemas de First Data.

16. Instalar o usar deliberadamente software o programas pirateados o sin autorizacin.

17. Intentar eludir o deshabilitar controles de seguridad, instrucciones ISCD o esta poltica, porejemplo: conectar dispositivos WiFi a la red de First Data, conectar la red de First Data concualquier red externa, canalizar cualquier trfico fuera o dentro de First Data, etc.

2.16 Informacin impresa

Los Usuarios son responsables por la seguridad de la informacin impresa y deben seguir los siguientes requisitos:

a. Asegurarse de no dejar documentos en las impresoras, mquinas de fax o bandejas dedistribucin, y recogerlos tan pronto como sepan que los documentos estn listos.

b. Dejar la informacin sensible impresa en un cajn con llave cuando ya no sea necesaria.Para obtener informacin sobre la retencin de documentos, lea la poltica de Retencin deregistros que se encuentra en FirstWeb. Los usuarios que no tengan acceso a FirstWebdeben ponerse en contacto con Recursos Humanos o su supervisor para obtenerinformacin acerca de cmo tener acceso a estas polticas.

c. Cuando corresponda, utilizar la funcin de bloqueo de impresora en impresoras compartidas.

d. Los usuarios no deben dejar informacin sensible de First Data, ya sea impresa o escrita, enreas compartidas, como espacios para descansar, salas de reuniones, pizarras, etc.

2.17 Entorno limpio

First Data ha adoptado la poltica de Escritorio Limpio para reducir el riesgo de acceso no autorizado, prdida o dao a sus recursos de informacin. A continuacin se encuentran los requisitos de seguridad:

a. Cubrir la informacin sensible impresa para que no pueda ser leda por un transentecuando no est en su escritorio por breves perodos de tiempo durante las horas hbiles.

b. Al dejar la oficina por un perodo de tiempo prolongado, como por ejemplo al final del dalaboral, el Usuario debe asegurar toda la informacin impresa, equipos porttiles y cualquierotro dispositivo que contenga informacin sensible de First Data en cajones o gabinetes dearchivos con llave; usar trituradoras de papel para eliminar documentos sensibles y retirarmateriales impresos sensibles dejados cerca de las impresoras y almacenarlos o destruirlosadecuadamente.

c. Borrar los contenidos de las pizarras y sacar los materiales utilizados de las salas dereuniones cuando la reunin finalice.

2.18 Informe de incidentes e infracciones a la poltica

Los usuarios deben informar de inmediato de todos los incidentes de seguridad a la lnea directa de Seguridad de la Informacin/Privacidad de la Informacin de First Data. La lnea directa est disponible las 24 horas en los siguientes nmeros:

Estados Unidos: 1-888-427-4468 (Llamada gratuita)

Dentro o fuera de los Estados Unidos: +1 402-777-2911 (Se aceptarn llamadas con cobro revertido)

Estos son algunos ejemplos de incidentes de seguridad: divulgacin no autorizada de informacin, contraseas en riesgo, robo o prdida de equipo, software o informacin y alteracin deliberada o destruccin de datos o equipos.


2.19 Respaldos de la informacin

First Data realiza respaldos frecuentes de los datos almacenados en sus sistemas informticos de produccin. Los equipos porttiles y de escritorio no se respaldan automticamente. Cuando sea posible, los Usuarios deben respaldar o copiar sus archivos en su carpeta personal o compartida de red asignada por First Data (vase la definicin en el Apndice A). Si los Usuarios no tienen asignada una carpeta personal o compartida en la red, pueden ponerse en contacto con el Help Desk local y pedir que se les asigne una.

2.20 Aceptacin

Los Usuarios deben leer esta poltica y firmar una declaracin aceptando que comprenden esta poltica antes de usar cualquier recurso de la informacin de First Data. Posteriormente, cada empleado debe asistir anualmente a una capacitacin como reconocimiento de que sigue conociendo y aceptando esta poltica como una condicin de empleo. Se podra requerir a los trabajadores no empleados, bajo los trminos de cualquier servicio o contrato de proveedor, que complete dicha capacitacin como requerimiento para ser elegible para realizar servicios a First Data.

2.21 Excepciones

Las excepciones a esta poltica deben manejarse de conformidad con la Norma de Administracin de Riesgos de TI. Las excepciones pueden solicitarse contactando al Responsable de Seguridad de la Informacin que respalde esa unidad de negocios. La lista actual de Responsables de Seguridad de la Informacin y las regiones o alineaciones de unidades de negocios correspondientes pueden encontrarse en FirstWeb.

2.22 Concienciacin acerca de la seguridad de la informacin

Los Usuarios completarn un curso de capacitacin sobre concientizacin acerca de la seguridad de la informacin al ser contratados o al comenzar a prestar servicios y, posteriormente, una vez por ao como mnimo.

3 Documentos de respaldo Apndice A: Glosario de la Poltica para el usuario final


4 Historia de revisiones

Fecha Versin Descripcin Por

12/2007 Borrador La poltica especfica para el usuario final se extrajo de la poltica de First Data InfoSec para crear este documento. Se han aadido datos referentes a polticas adicionales para completar algunas partes.

Jarra Keskessa

06/2008 2.0 Poltica aprobada para su publicacin. ISAC

07/2008 2.0 Poltica aprobada para su publicacin. Consejo de Seguridad de la Informacin

08/2008 2.1 Gaps en la poltica de la versin 2.0 resueltos. Poltica v2.1 aprobada para publicacin.

Consejo de Seguridad de la Informacin

02/2010 2.2 Revisin anual de la poltica Susan Mauldin

02/2011 2.3 Revisin anual de la poltica Susan Mauldin

02/2012 2.4 Revisin anual de la poltica Joanne Sebby

02/2013 3.0 Revisin anual de la poltica Joanne Sebby

09/2013 3.1 Actualizada 2.5, 2.15 en coordinacin con la Poltica de uso de dispositivos mviles personales.

Joanne Sebby

08/2014 3.2 Revisin anual de la poltica John Hellickson


Apndice A: Glosario de la Poltica para el usuario final

Sitios de anonimato

Pginas web que a propsito permiten a los Usuarios navegar por la Web escondiendo su direccin IP, u otra informacin de identificacin personal, con el fin de pasar por alto las polticas locales de filtrado y acceder a cualquier pgina web.

Disponibilidad Garantizar el acceso oportuno y confiable a la informacin.

Confidencial Es toda informacin que al divulgarse fuera de First Data podra afectar negativamente a First Data, sus partes interesadas, socios de negocios y/o clientes y los clientes de stos. Slo aquellas personas que cuenten con una necesidad comprobable de conocer la informacin y cuenten con la aprobacin del Propietario de la Informacin o Sistema recibirn derechos de acceso a la informacin CONFIDENCIAL. Esta definicin incluye cualquier informacin especfica relacionada con titulares de cuentas, consumidores, empleados o clientes. Otros ejemplos incluyen: informacin de clientes, datos financieros, informacin de compras, informes de auditoras confidenciales, contratos de proveedores y procedimientos de operacin.

Confidencialidad La preservacin de restricciones autorizadas sobre el acceso a la informacin y su divulgacin, lo que incluye medios para proteger la privacidad personal y la informacin de propiedad.

Cifrado El proceso de convertir informacin a una forma ininteligible para toda persona, excepto para quienes poseen una clave criptogrfica especfica. El uso del cifrado protege la informacin entre el proceso de cifrado y el de descifrado (inverso del cifrado) contra la divulgacin no autorizada.

El cifrado es la transformacin de datos de una forma (llamada plaintext o texto puro) a otra (llamada cipher text o texto cifrado) que oculta el significado original de los datos para evitar que se conozcan o se usen.

Pauta Una descripcin que aclara lo que se debe hacer y de qu modo, a fin de cumplir los objetivos establecidos en las polticas. Las pautas permiten el uso del criterio del usuario y constituyen cursos de accin sugeridos.

Informacin La informacin puede estar impresa o escrita en papel, almacenada electrnicamente, transmitida por correo o por medios electrnicos, mostrarse en pelculas o divulgarse en una conversacin.

Recursos de informacin

Recursos de informacin es todo lo que almacene, procese o transmita informacin e incluye, entre otros, sistemas informticos, equipos de red, dispositivos de almacenamiento, correo electrnico, sitios de Internet, aplicaciones, telfonos fijos y mviles, impresoras, fotocopiadoras, mquinas de fax, archivos informticos, sistemas operativos y bases de datos.

Integridad El estado que resulta de la proteccin contra modificaciones inadecuadas o la destruccin de la informacin; incluye la autenticidad y el no repudio de la informacin.

Malware Abreviacin de software malicioso, el malware se refiere al software (cdigo) ingresado en un sistema informtico y diseado para hacer dao u otra accin no deseada. Ejemplos comunes de malware incluyen virus, gusanos, caballos de Troya y spyware.

Carpetas compartidas de

Las carpetas compartidas en la red son una ubicacin de almacenamiento disponible en un sistema informtico a las que se puede acceder desde la red. En la mayora de las estaciones de trabajo, estas carpetas estn


red configuradas para estar accesibles automticamente cuando el Usuario inicia una sesin en la red. En los equipos con Windows pueden verse utilizando el explorador de Windows. Como las letras A, C, D, E por lo general se utilizan para indicar dispositivos de almacenamiento local, las carpetas compartidas de red por lo general se indican con letras que van de la F a la Z.

Poltica La intencin y direccin general, expresada fornalmente por la gerencia. Las polticas son obligatorias, a menos que la gerencia correspondiente apruebe una excepcin.

Procedimiento Instrucciones paso a paso sobre cmo realizar tareas que conduzcan a lograr el cumplimiento de la poltica y las normas.

Norma Un conjunto de reglas que se deben seguir a fin de alcanzar los objetivos de la poltica. Las normas son obligatorias, a menos que la gerencia correspondiente apruebe una excepcin.

politicas de datos para usuarios finales

Documents