Política de Seguridad de Información de Keos

La compañía reconoce la importancia de la seguridad de la información en el modelo de
negocio y con el fin de mantener la ventaja competitiva, la permanencia y el valor del negocio,
aprueban “Las políticas de Seguridad de la información” expuestas en el presente documento
y que son relevantes para Clientes y Proveedores con los procedimientos y estándares que las
soportan.
La dirección deberá proveer los mecanismos y apoyar los procesos que permitirán asegurar el
éxito de la presente política de seguridad de la información al interior de la compañía.
En caso de incumplimiento de la presente política de seguridad, Keos establece las medidas
sancionatorias correspondientes a la falta, de acuerdo a su criticidad y recurrencia. Éstas bien
pueden ser medidas legales o contractuales con la parte involucrada aún después de la
finalización de la relación contractual.
Este documento, así como toda política documentada será revisado y actualizado con una
periodicidad mínima de una (1) vez al año o cuando ocurran cambios significativos en la
infraestructura o en la normatividad.
Toda documentación relacionada con las Políticas de Seguridad de la Información es aprobada
por el Comité de Seguridad y Cambios de Keos y publicada en las páginas web de la compañía.

Disposiciones de seguridad relevantes para Clientes y Proveedores de Keos:
1. Los colaboradores de Keos disponen de cuentas de acceso únicas y no es permitido que
manejen cuentas de acceso genéricas.
2. El cumplimiento de las políticas de seguridad es obligatorio para todo el personal de la
compañía, por tal motivo Keos se asegura que cada uno de los actores conoce, entiende y
acepta las mismas.
3. Todos los usuarios tienen los permisos estrictamente necesarios para la ejecución de sus
labores, las mismas están definidas en el perfil del cargo, cualquier otro acceso fuera de
sus funciones laborales no está permitido.
4. Es de carácter obligatorio para todo el personal, la notificación inmediata de algún
problema o violación de la seguridad, del cual fuere testigo; al jefe inmediato o superior o
al Oficial de Seguridad de Keos ([email protected]).
5. Los colaboradores de Keos no podrán transferir a terceros información considerada como
confidencial sin la autorización del jefe inmediato o superior.
6. El colaborador de Keos será responsable del uso que le dé a su cuenta de usuario, por lo
que no podrá ser transferida por ningún motivo.
7. El colaborador no deberá solicitar o compartir por medios de mensajería instantánea el
número de cuenta principal (PAN).
8. Por ningún motivo se almacenará en aplicaciones ni correos electrónicos o documentos
físicos o digitales los datos sensibles del tarjeta habiente.

9. Los colaboradores de Keos, deben mantener las pantallas limpias, no deben tener
documentos de la compañía de forma accesible.
10. Los colaboradores de Keos, deben bloquear la sesión de sus computadores en caso de
ausentarse temporalmente de sus puestos.
11. Los colaboradores de Keos, deben mantener el escritorio limpio, libre de documentos de la
compañía. De requerir la manipulación de documentos, estos deberán ser guardados bajo
llave si no se están utilizando.
12. El colaborador no podrá solicitar o compartir información sensible (números de cuentas,
números de identificación, número de teléfono, direcciones de correo, ubicaciones u otra
información catalogada como confidencial o interna) de colaboradores, clientes o
proveedores mediante herramientas de mensajería instantánea sin la debida autorización
del propietario de la información.
13. Las contraseñas de los usuarios tanto internos como externos deben ser únicas e
intransferibles.
14. Antes de hacer un cambio en las credenciales de los usuarios, el administrador debe
realizar el procedimiento correspondiente para confirmar la identidad del solicitante.
15. Si se sospecha que la contraseña de la cuenta fue comprometida, se debe realizar el
cambio de contraseña y notificar del evento al equipo de Monitoreo y Soporte para la
investigación del incidente.
16. No se permite la reutilización de contraseñas, es decir la plataforma validará todas las
claves utilizadas en la cuenta de por vida y el momento que la plataforma solicite el
cambio de clave, debe crearse una nueva diferente a la utilizada en anteriores ocasiones.
17. Los colaboradores y usuarios externos que hagan uso de los equipos de cómputo
facilitados por la compañía tienen la obligación de resguardar, cuidar y proteger el equipo
utilizado.
18. Todo colaborador tendrá una cuenta de correo electrónico personal e intransferible.
19. Clasificación de la Información en Keos: Toda la información de la empresa tiene un nivel
apropiado de acuerdo con su confidencialidad, para lo cual se deben considerar los
siguientes criterios:
19.1. Confidencial: Acceso permitido solo a la alta dirección.
19.2. Restringido: Acceso a directores/jefes de área y empleados clave.
19.3. Interno: Acceso solo a miembros de la empresa, en cualquier nivel.
19.4. Público: Acceso para personas dentro y fuera de la empresa.
20. Acceso a información confidencial, restringida e interna: todo colaborador de Keos, acepta
y firma el acuerdo de confidencialidad interno de la compañía.
21. Keos dispone de lineamientos para proceder con la eliminación de la información tanto en
formato digital como física para asegurar su destrucción de manera segura una vez haya
cumplido con el periodo de retención o con la previa autorización del dueño de la
información. En caso de cualquier duda sobre los procedimientos autorizados favor
ponerse en contacto con su jefe inmediato para que se comparta el procedimiento
vigente.
22. Almacenamiento de datos sensibles/confidenciales: los datos de nuestros clientes y
proveedores son un activo crítico para la empresa, se establecen los siguientes
lineamientos para el almacenamiento de datos sensibles de los clientes o proveedores por
ejemplo datos de tarjetas de débito/crédito.

22.1. Almacenar de forma encriptada el nombre del titular de la tarjeta, el número
de tarjeta (PAN), la fecha de vencimiento y el código de servicio.
22.2. Para guardar el número de tarjeta (PAN), este deberá estar enmascarado y
encriptado. Es decir, se mostrará en la aplicación únicamente los 4 últimos dígitos.
22.3. No registrar en archivos logs los datos sensibles del tarjetahabiente: nombre
del titular de la tarjeta, el número de tarjeta (PAN), la fecha de vencimiento y el
código de servicio.
22.4. El tiempo de almacenamiento en base de datos del número de tarjeta (PAN)
hará referencia a la política de retención de datos, luego se realizará la eliminación
segura de la información.
22.5. No almacenar los datos confidenciales de autenticación.
22.6. No guardar en bases de datos el contenido total ni parcial de la información
contenida en la banda magnética o clip del tarjetahabiente.
22.7. No guardar en archivos log el total ni parcial de los datos contenidos en la
banda magnética o clip del tarjetahabiente.
22.8. No guardar el número de seguridad (CVV2 / CAV2 / CVC2 / CID).
23. Transmisión de datos por medios electrónicos de información.
23.1. La información determinada y clasificada como confidencial debe ser cifrada
para su transmisión y almacenamiento.
23.2. En caso de envío de información confidencial por medio de correo electrónico
fuera de la compañía, se debe asegurar que el correo vaya firmado y utilice un
esquema de cifrado.
23.3. Los documentos identificados como confidenciales deberán estar firmados
digitalmente utilizando la herramienta Digisigner.
23.4. En caso de envió de información confidencial del cliente y no sea posible él
envió por correo, por ningún motivo deben utilizarse plataformas iguales o similares a
Wetransfer.
23.5. En caso de envió de información confidencial al cliente y no sea posible cifrar
la información, esta debe enviarse en formato ZIP protegido por una contraseña
fuerte de al menos 16 caracteres (alfanuméricos y caracteres especiales) y la clave
debe enviarse en un correo electrónico diferente únicamente al solicitante.
24. Keos utiliza esquemas seguros de criptografía para proteger el envío de información
confidencial de clientes y proveedores.

Copyright 2020 © Todos los derechos reservados

Tratamiento de datos. T&C Politica de privacidad

stg.keos.co