Política de Seguridad de la Información

Última Actualización: octubre de 2025.
Clasificación de la Información: Uso Público.

Definición

Este documento describe las directrices de la Política de Seguridad de la Información del Grupo Senior, cuyas reglas y procedimientos son confidenciales y publicados internamente. Dichas directrices orientan el uso aceptable de los activos de información de la institución, basadas en los principios de confidencialidad, integridad y disponibilidad.

Público Objetivo

Público Objetivo Grupo Senior, Terceros, Proveedores de Servicios, Clientes, Socios y Canales.

Objetivo

• Establecer directrices y normas de Seguridad de la Información que permitan a los colaboradores de Senior adoptar patrones de comportamiento seguros, adecuados a sus objetivos y necesidades;
• Orientar a los colaboradores en la adopción de controles y procesos para cumplir con los requisitos de Seguridad de la Información;
• Capacitar a los colaboradores de Senior en cuanto a prevención, detección y respuesta a incidentes de Seguridad de la Información; • Prevenir posibles causas de incidentes de Seguridad de la Información;
• Proteger los activos de información y/o tecnológicos de Senior, garantizando los requisitos de confidencialidad, integridad y disponibilidad;
• Minimizar los riesgos de pérdidas financieras, pérdida de confianza del cliente o cualquier otro impacto negativo en el negocio de Senior como resultado de fallas de seguridad.

Responsabilidades

La Política de Seguridad de la Información del Grupo Senior aborda las responsabilidades generales de la institución, de sus colaboradores y terceros, así como de la Alta Dirección.

Concienciación y Capacitación en Seguridad de la Información

El Grupo Senior define directrices de educación continua para la adopción de buenas prácticas de seguridad y su difusión en el día a día de los colaboradores, tanto en ámbitos profesionales como personales. La Política cubre procedimientos utilizados en el programa de concienciación de la institución, como capacitaciones y comunicados internos.

Gestión de Riesgos de Seguridad de la Información

La gestión de riesgos cibernéticos es responsabilidad del área de Seguridad de la Información. Este proceso identifica los requisitos de seguridad relacionados con las necesidades de la institución. La gestión de riesgos cibernéticos es continua y define contextos internos y externos para evaluación, además de tratar los riesgos identificados para reducirlos a niveles aceptables.

Gestión de Contraseñas

El Grupo Senior aplica las mejores prácticas para el uso de contraseñas, exigiendo un nivel de complejidad definido para su creación, y evitando la reutilización de contraseñas anteriores. Las contraseñas deben cumplir con una cantidad mínima de caracteres, están sujetas a bloqueo por intentos fallidos y requieren cambios periódicos.

Gestión de Activos

El Grupo Senior mantiene sus activos de información identificados, actualizados, clasificados y asignados a propietarios responsables por su uso aceptable, de acuerdo con la política interna.

Protección y Clasificación de la Información

El Grupo Senior establece directrices para la clasificación, manejo y etiquetado de los activos de información de la empresa. El documento interno incluye directrices para la clasificación de la información, describe sus categorías, incluye directrices para el manejo y descarte de la información, reglas sobre prevención de fuga de datos, políticas de copia y restauración (backup y restore), así como criptografía.

Uso Aceptable de Recursos Tecnológicos

Los recursos tecnológicos del Grupo Senior deben utilizarse de manera profesional, ética y legal, según lo definido en el término de responsabilidad aplicable. La Política de Seguridad de la Información define los recursos tecnológicos y las reglas que deben seguir los colaboradores y terceros de Senior.

Gestión de Identidad y Accesos

El Grupo Senior establece directrices para el acceso a los activos y sistemas de información. Toda la gestión de accesos es responsabilidad del área de Tecnología de la Información y se basa en el principio de necesidad de acceso a la información para la ejecución de las actividades laborales. La Política define directrices como:

• Perfiles de Acceso por Áreas de Negocio;
• Proceso de Ingreso o Transferencia de Colaboradores;
• Proceso de Desvinculación de Colaboradores;
• Acceso de Terceros, Visitantes y Temporales;
• Acceso a Bases de Datos;
• Acceso Remoto;
• Acceso Físico;
• Revisión de Accesos;
• Parámetros de Contraseñas;
• Autenticación Multifactor.

Criptografía

Los activos de información de Senior cuentan con criptografía adecuada para garantizar la protección durante todo el ciclo de vida de la información, conforme con los estándares de seguridad de los organismos reguladores.

Desarrollo de Software

El Grupo Senior desarrolla sus aplicaciones de acuerdo con procedimientos, documentos e instrucciones de trabajo internas, siguiendo prácticas de seguridad de la información alineadas con la Política interna de Seguridad. Los entornos productivos están segregados de otros entornos y solo accesibles a usuarios previamente autorizados o herramientas aprobadas. Todos los sistemas o aplicaciones adquiridos de terceros deben cumplir las directrices definidas en la Política de Seguridad de la Información y ser debidamente homologados.

Protección Contra Códigos Maliciosos

Senior define directrices y utiliza herramientas líderes en el mercado para la protección contra amenazas de códigos maliciosos (malware). Además, el Grupo Senior cuenta con soluciones de seguridad basadas en IA (Inteligencia Artificial) para la identificación, detección y respuesta inmediata a amenazas.

Monitoreo de Seguridad

La Política de Seguridad de la Información aborda el monitoreo de seguridad, describiendo los aspectos necesarios para identificar eventuales amenazas. El Grupo Senior cuenta con prácticas, procedimientos y procesos eficaces para monitorear las actividades relacionadas con la seguridad.

Trabajo Remoto

El Grupo Senior impone requisitos para el trabajo remoto, como el uso de Red Privada Virtual (VPN).

Gestión de Vulnerabilidades y Cumplimiento

El Grupo Senior tiene procesos de gestión de vulnerabilidades y cumplimiento, estableciendo las siguientes directrices:
• Gestión de Vulnerabilidades;
• Gestión de Cumplimiento;
• Pruebas Periódicas de Seguridad;
• Gestión de Parches de Seguridad.

Backup

El Grupo Senior utiliza soluciones de Backup y Recuperación ante Desastres para proteger sus datos contra la pérdida de información. Se realizan pruebas periódicas para garantizar la integridad de la información, verificar la eficacia de los procesos y establecer mejoras.

Respuesta a Incidentes de Seguridad

El Grupo Senior define directrices para prevenir, responder y tratar adecuadamente incidentes de Seguridad que estén afectando o puedan afectar los activos/servicios de información o los recursos tecnológicos de la institución. Este tema aborda responsabilidades de áreas en la prevención y respuesta a incidentes, así como reglas de priorización y severidad, procedimientos sobre definición de autoridades, y reglas para la elaboración de escenarios de prueba de continuidad de negocios. Cabe destacar que el Grupo Senior cuenta con un Plan de Respuesta a Incidentes, que contiene metodología y directrices para el tratamiento de incidentes de Seguridad Cibernética.

Gestión de Continuidad del Negocio

El Grupo Senior realiza la gestión de continuidad del negocio con soluciones, estrategias y procedimientos para ser ejecutados durante escenarios de contingencia, alineados con los objetivos estratégicos de la institución. Para ello, Senior tiene un Plan de Continuidad del Negocio (PCN) que cumple funciones definidas en documentos internos.

Gestión de Terceros

El Grupo Senior establece directrices para profesionales terceros dentro de sus instalaciones o para la contratación de servicios. El Grupo Senior tiene reglas de diligencia adicionales para terceros considerados relevantes, es decir, aquellos que almacenan o procesan datos críticos en infraestructura tecnológica que no pertenece a Senior.

Seguridad en Dispositivos Móviles

El Grupo Senior define directrices para el uso seguro de dispositivos móviles, así como las responsabilidades de las áreas encargadas del monitoreo.

Seguridad en Redes

El Grupo Senior cuenta con herramientas de seguridad capaces de detectar y responder intentos de intrusión en su entorno. En este tema, la Política también incluye reglas sobre la red inalámbrica corporativa y pública.

Privacidad de Datos Personales

El Grupo Senior garantiza que el propósito del tratamiento de datos personales no sea ilícito ni abusivo, asegurando los derechos fundamentales a la privacidad en conformidad con la LGPD – Ley General de Protección de Datos Personales (Ley Nº 13.709, del 14 de agosto de 2018).

Sanciones y Penalizaciones

El área de Seguridad de la Información realiza monitoreo continuo del entorno tecnológico mediante diversos métodos para asegurar el cumplimiento y adhesión a esta Política. Si existe violación de las reglas aquí dispuestas, así como otras normas y procedimientos de Seguridad de la Información, incluso por omisión o intento no consumado, dicha violación puede ser clasificada como incidente de Seguridad de la Información y estar sujeta a penalizaciones. Las demás sanciones y penalizaciones por incumplimiento de las reglas de Seguridad de la Información están descritas en la Política interna.