La Estrategia de Protección de Datos de LEAL COLOMBIA SAS tiene como objetivo resguardar a empleados, socios y clientes ante acciones dañinas o ilícitas, centrándose en la utilización apropiada de sistemas y herramientas digitales con propósitos empresariales. El éxito de esta estrategia radica en el compromiso y responsabilidad de cada integrante de Leal, garantizando la seguridad y el óptimo desempeño de los sistemas y estructuras de procesamiento de información en provecho de la compañía y sus clientes.
LEAL COLOMBIA S A S utiliza Amazon Web Services para alojar sus aplicaciones. Se hace uso completo de los productos de seguridad integrados en el ecosistema de AWS, incluyendo KMS, Secrets Manager, GuardDuty e Inspector. Además, para el despliegue de las aplicaciones se utilizan contenedores bajo el esquema CI/CD, ejecutados en servicios gestionados por AWS, lo que significa que normalmente no se administran servidores ni instancias EC2 en producción.
En LEAL COLOMBIA S A S, se han implementado medidas de seguridad exhaustivas para proteger la información sensible y confidencial de la empresa. Los mecanismos utilizados para proteger los datos de accesos no autorizados son efectivos y se limita el acceso a los datos a aquellos empleados que necesitan tenerlo. Además, se realizan copias de seguridad periódicas de los datos críticos para una rápida recuperación en caso de fallas o pérdida de datos. La supervisión constante de los sistemas y la actividad de los usuarios ayuda a detectar cualquier actividad sospechosa que pueda indicar un intento de robo de datos. LEAL COLOMBIA S A S cuenta con políticas claras y precisas de seguridad de datos para garantizar la confidencialidad e integridad de la información de la empresa.
LEAL COLOMBIA S A S contrata anualmente a expertos externos en seguridad de aplicaciones para realizar pruebas de pentesting. Los cuales evalúan la aplicación en ejecución y el entorno donde está implementado. Adicional Leal utiliza herramientas de alta calidad para análisis estático de código (SAST), detección de secrets, análisis de contenedores y dependabot para proteger y mejorar continuamente nuestro producto en cada paso del proceso de desarrollo.
La Política de Seguridad de la Información de LEAL COLOMBIA S.A.S. busca proteger a sus empleados y socios de acciones ilegales o dañinas por parte de terceros, y establece reglas para el uso y protección adecuados de los sistemas informáticos y recursos de la empresa. Esta política es esencial para proteger a los clientes, empleados y la propia empresa de riesgos financieros, de reputación, legales y de cumplimiento asociados con el uso inapropiado de los sistemas informáticos.
Informes de incidentes de seguridad.
Los usuarios deben reportar eventos o incidentes de seguridad, ya sean conocidos o sospechosos, incluyendo violaciones de políticas y vulnerabilidades detectadas. Estos incidentes deben ser notificados de inmediato utilizando la plataforma de uso interno, el formulario de registro de incidencias y requerimientos, o enviando un correo a soporte. Al informar el incidente, es importante describir la situación y proporcionar detalles relevantes.
Reporte de fraude de denunciante anónimo.
La Política de Denunciante Anónimo promueve la comunicación de problemas graves internamente, permitiendo abordar y corregir conductas inapropiadas. Es tarea de todos los empleados reportar preocupaciones relacionadas con violaciones éticas, legales o regulatorias. No se tolerará represalias contra empleados que, de buena fe, denuncien violaciones éticas o legales. Quienes tomen represalias podrían enfrentar medidas disciplinarias, incluido el despido. Las denuncias anónimas pueden realizarse mediante el formulario de registro de incidencias, omitiendo la información del usuario que presenta la solicitud.
Política de uso aceptable .
La Política de Uso Aceptable establece que la información de propiedad y clientes de LEAL COLOMBIA SAS debe ser protegida conforme a la Política de Gestión de Datos. Los empleados deben utilizar el servicio de almacenamiento de datos que son guardados en la nube para el almacenamiento y trabajo colaborativo, y son responsables de denunciar rápidamente el robo, pérdida o divulgación no autorizada de información. El acceso y uso de información exclusiva de LEAL COLOMBIA SAS solo está permitido si está autorizado y es necesario para cumplir con las funciones laborales.
Uso inaceptable.
El uso inaceptable en LEAL COLOMBIA SAS incluye actividades prohibidas, como violar derechos de propiedad intelectual, copiar material con derechos de autor sin autorización, acceder a datos no autorizados, introducir programas maliciosos en la red, revelar contraseñas, participar en acoso, realizar ofertas fraudulentas, violar la seguridad de la red y compartir información de empleados sin autorización. Estas restricciones protegen a la empresa y sus recursos, y cualquier empleado que participe en actividades ilegales o inaceptables será sancionado.
El objetivo de esta política es asegurar la eficiencia y la seguridad de los sistemas de procesamiento de información en LEAL COLOMBIA S A S. Esto es esencial para garantizar la continuidad del negocio y proteger los datos de la empresa. La política se extiende a todos los sistemas de información críticos y a todos los empleados y terceros que tengan acceso a las redes y recursos del sistema de LEAL COLOMBIA S A S. Al seguir esta política, podemos mantener nuestra reputación de confiabilidad y seguridad en el mercado.
Seguridad de las operaciones.
Procedimientos operativos documentados, gestión de cambios y capacidad, y separación de entornos de desarrollo, prueba y producción son esenciales para garantizar la seguridad y eficiencia en LEAL COLOMBIA S A S. Los procedimientos se documentan y comparten con los usuarios pertinentes, mientras que los cambios significativos se prueban, revisan y aprueban antes de implementarse. La comunicación y la documentación son clave en este proceso. La gestión de la capacidad aborda el uso de recursos y la disponibilidad de personal, considerando el escalamiento de recursos. Finalmente, los entornos se mantienen separados para reducir riesgos, y los datos confidenciales de clientes solo se utilizan en desarrollo y pruebas con aprobación expresa.
Configuración, endurecimiento y revisión de sistemas y redes.
Los sistemas y redes se gestionan siguiendo los estándares de configuración y refuerzo establecidos, utilizando firewalls y controles de acceso para controlar el tráfico de la red en el entorno de producción. La revisión anual de las reglas de acceso garantiza la seguridad, y los cambios necesarios se aprueban mediante la creación de tickets.
Copia de seguridad de la información.
Las copias de seguridad de sistemas, bases de datos e información se realizan para proteger contra pérdidas de datos, con medidas de seguridad adecuadas. Las pruebas de restauración se llevan a cabo anualmente, y las copias se almacenan separadamente de los datos de producción.
Registro y monitoreo.
La infraestructura de producción genera registros detallados, que incluyen actividades de usuarios, excepciones y eventos de seguridad. Estos registros cumplen con criterios específicos. El centro de registros y la información están protegidos contra alteraciones y accesos no autorizados. Las actividades de administradores y operadores del sistema se registran y revisan según su importancia. La restauración de datos se rastrea en tickets auditables.
Control del software operativo.
La instalación de software en sistemas de producción debe cumplir con los requisitos de gestión de cambios establecidos en la política.
Gestión técnica de vulnerabilidades.
Leal utiliza herramientas de alta calidad para análisis estático de código (SAST), detección de secrets, análisis de contenedores y dependabot para proteger y mejorar continuamente nuestro producto en cada paso del proceso de desarrollo. Las vulnerabilidades que se generen en el ciclo de desarrollo deben ser solucionadas por cada equipo antes de implementar cambios.
Proceso de Auditoría de SOC 2 Type II.