Política de Seguridad de la Información

Grupo Gtd se compromete a gestionar la seguridad de la información como un proceso continuo en el tiempo, a
través del “Sistema de Gestión de Seguridad de la Información” (SGSI), que se basa en el estándar internacional
NCh -ISO 27001:2013, el que procura homogeneizar los criterios de seguridad con el objetivo de preservar los
activos de información con respecto a:

  • Confidencialidad:

Se debe garantizar que toda la información, según su clasificación, y sus medios de procesamiento y
conservación, estén protegidos del acceso no autorizado, revelaciones accidentales, errores, fraudes,
sabotaje, espionaje industrial, violación de la privacidad y otras acciones que pudieran dar acceso no
autorizado a la información.

  • Integridad:

Se debe garantizar que toda la información solo pueda ser modificada, agregada o eliminada por personas
o sistemas autorizados para cada proceso, de tal forma de salvaguardar la exactitud y completitud de los
activos de la información.

  • Disponibilidad:

Se debe garantizar que la información y la capacidad de procesamiento, esté disponible oportunamente
para las operaciones o personas que la requieran.

Esta política considera los siguientes dominios:

  • ORGANIZACIÓN DE LA SEGURIDAD:

Para la administración de la seguridad de la información, Grupo Gtd cuenta con un área dedicada al logro
de los objetivos de la organización en este ámbito. Para ello, se ha definido una estructura organizacional,
con dependencia funcional y roles y responsabilidades claramente establecidos.

  • SEGURIDAD EN EL PERSONAL:

Los colaboradores del Grupo Gtd son parte del capital humano más valioso de la organización. Una parte
significativa de los problemas en la seguridad puede ser causada por empleados descuidados, mal
informados, por ello se deben definir e implementar mecanismos para mitigar estos riesgos, y apoyar al
personal interno y externo relacionado con Grupo Gtd, en la mantención de un ambiente de trabajo
adecuado.

  • GESTIÓN DE ACTIVOS DE INFORMACIÓN:

Todos los activos de información del Grupo Gtd son inventariados y controlados de manera apropiada.
Esto se aplica a los recursos físicos y lógicos dentro del alcance del SGSI. Estos recursos son cruciales para
el éxito del negocio y se deben proteger por medio de controles adecuados y suficientes para reducir al
mínimo cualquier riesgo que los pueda afectar.

  • CONTROL DE ACCESO:

Los activos de la información a cargo del Grupo Gtd son esenciales para su óptima operación. Por lo tanto,
el acceso a todos los activos de la información debe ser concedido de manera controlada y monitoreada
periódicamente. El protocolo definido en este aspecto es establecer procedimientos que regulan
estrictamente el acceso.

  • SEGURIDAD FÍSICA Y AMBIENTAL:

Las medidas de seguridad físicas deben estar operativas para resguardar la seguridad y la integridad de
los colaboradores, edificios y Datacenters e información. Las medidas de protección deben estar de
acuerdo con la clasificación de los activos de información y la data procesada, almacenada, y manejada
internamente.

  • ADMINISTRACIÓN DE OPERACIONES:

La administración de operaciones de recursos y sistemas de información son esenciales para mantener
un alto nivel de servicio a los clientes que operan con Grupo Gtd. Por lo tanto, se han desarrollado e
implementado directrices y pautas de seguridad para mantener el control sobre las operaciones.

  • ADMINISTRACIÓN DE COMUNICACIONES:

La administración de las comunicaciones se estructura de modo tal de asegurar que se protegen los datos
que se transmiten por las redes de Grupo Gtd. Para ello se han establecido controles técnicos y de gestión
que garanticen un nivel de resguardo acorde a la criticidad de los datos.

  • DESARROLLO Y MANTENCIÓN DE SISTEMAS:

El diseño de sistemas y aplicaciones deben cumplir formal y explícitamente todos los requerimientos de
seguridad definidos por Grupo Gtd.

  • RELACIÓN CON PROVEEDORES:

Se debe asegurar que el proceso de gestión de proveedores incorpora criterios de seguridad, con el objeto
de garantizar que los servicios brindados por estos cubren los requisitos de la organización en cuanto a la
seguridad de la información y resguardo de activos de información.

  • RESPUESTAS A INCIDENTES:

Se han establecido procedimientos para asegurar que los eventos e incidentes de seguridad de la
información sean notificados de forma adecuada y oportuna a los responsables de los activos de
información, con el propósito evaluar y atender el incidente y, además mitigar los riesgos asociados y
responder adecuadamente en el futuro.

  • ADMINISTRACIÓN DE LA CONTINUIDAD DEL NEGOCIO:

Se dispone de un sistema de administración para asegurar la continuidad de la seguridad de la información
y la recuperación rápida ante incidentes o interrupciones inesperadas de los servicios. El plan de
continuidad del servicio incluye procesos y procedimientos de recuperación ante cualquier interrupción
del negocio. Más información se puede encontrar en: GTD-CONT-PO-RCN-01 Política del Sistema de
Gestión de Continuidad del Negocio.

  • CUMPLIMIENTO:

Grupo Gtd cumple con todas las reglas y regulaciones aplicables por la ley, en lo que respecta a resguardo
de información. Esto incluye aspectos penales o civiles, estatutos, reglamentos u obligaciones
contractuales hechas a nombre del Grupo Gtd. Satisface los requerimientos de seguridad incorporados
en las leyes, así como la protección de la información propia del Grupo Gtd y/o datos de clientes.

Como parte del marco normativo del Sistema de Gestión de Seguridad de la Información se establecen políticas
específicas tomando en consideración la Declaración de Aplicabilidad del SGSI y el plan de tratamiento de riesgos.

Agosto 2018.