Tema
POL-013: Política de Uso Aceptable
| Campo | Valor |
|---|---|
| ID | POL-013 |
| Versión | 1.0 |
| Fecha de Emisión | 2026-03-13 |
| Próxima Revisión | 2027-03-13 |
| Propietario | CISO / Recursos Humanos |
| PCI DSS | Requisito 12.3 |
| Preguntas ControlCase | Q89 |
1. Propósito
Establecer las reglas de uso aceptable de los recursos tecnológicos de la organización, incluyendo equipos, redes, sistemas y datos, para proteger la seguridad de la información y el entorno de datos de tarjetas (CDE).
2. Alcance
Esta política aplica a:
- Todo el personal de Fintrixs (empleados, contratistas, consultores)
- Todos los dispositivos (corporativos y personales usados para trabajo)
- Todos los sistemas y redes de la organización
- Todo acceso remoto a recursos corporativos
3. Uso de Equipos y Dispositivos
3.1 Equipos Corporativos
| Regla | Detalle |
|---|---|
| Uso principal | Para actividades laborales de Fintrixs |
| Uso personal limitado | Permitido de forma razonable siempre que no comprometa la seguridad |
| Software autorizado | Solo software aprobado y licenciado |
| Instalación de software | Requiere aprobación de DevOps/CISO |
| Full disk encryption | Obligatorio (FileVault en macOS, BitLocker en Windows) |
| Bloqueo de pantalla | Automático a los 5 minutos de inactividad |
| Antivirus/EDR | Debe estar activo y actualizado en todo momento |
| Actualizaciones de SO | Aplicar dentro de 30 días de disponibilidad |
3.2 Dispositivos Personales (BYOD)
| Regla | Detalle |
|---|---|
| Acceso al CDE | Prohibido desde dispositivos personales |
| Acceso a email/chat corporativo | Permitido con MFA y cifrado de dispositivo |
| Acceso a repositorio de código | Solo mediante VPN + MFA |
| Almacenamiento de datos corporativos | Prohibido en almacenamiento local del dispositivo personal |
| Requisitos mínimos | PIN/password de dispositivo, cifrado habilitado, SO actualizado |
4. Uso de Internet y Red
4.1 Navegación
| Permitido | Prohibido |
|---|---|
| Investigación técnica | Sitios de contenido ilegal |
| Documentación y formación | Descarga de software no autorizado |
| Herramientas de desarrollo (npm, GitHub, Stack Overflow) | Servicios de proxy/VPN no corporativos |
| Comunicación laboral | Sitios de compartición P2P |
4.2 Redes
| Regla | Detalle |
|---|---|
| Redes corporativas | Uso según políticas de seguridad de red |
| Wi-Fi público | Solo con VPN corporativa para acceso a recursos internos |
| Hotspot personal | Permitido como alternativa a Wi-Fi público |
| Modificación de red | Prohibido conectar dispositivos de red no autorizados (routers, switches, APs) |
5. Uso de Correo Electrónico y Comunicaciones
| Regla | Detalle |
|---|---|
| Email corporativo | Para comunicación laboral |
| Datos de tarjetas por email | Estrictamente prohibido |
| Contraseñas por email | Prohibido |
| Archivos sensibles | Solo con cifrado (ZIP cifrado o herramienta aprobada) |
| Phishing | Reportar inmediatamente al equipo de seguridad |
6. Gestión de Contraseñas y Credenciales
| Regla | Detalle |
|---|---|
| Gestor de contraseñas | Uso obligatorio de gestor corporativo aprobado |
| Compartir credenciales | Prohibido — cada persona con su propia cuenta |
| Contraseñas en texto plano | Prohibido en código, documentos, chats, emails |
| MFA | Obligatorio para todos los accesos críticos (ver POL-003) |
| Credenciales en código | Prohibido — usar variables de entorno o secrets management |
7. Manejo de Datos Sensibles
| Regla | Detalle |
|---|---|
| Clasificación | Todo dato debe manejarse según su clasificación (POL-012) |
| Datos de tarjetas | Solo acceso según justificación de negocio, logging de todo acceso |
| Copiar datos a medios removibles | Prohibido para datos Restringidos y Confidenciales |
| Imprimir datos de tarjetas | Prohibido |
| Compartir datos en canales no seguros | Prohibido (Slack, Teams, WhatsApp, SMS) |
| Datos de producción en ambientes de test | Prohibido — usar datos sintéticos |
8. Desarrollo de Software
| Regla | Detalle |
|---|---|
| Repositorio | Todo código en GitHub (repositorio privado corporativo) |
| Secretos en código | Prohibido — usar variables de entorno o Kubernetes Secrets |
| PANs de prueba | Solo usar PANs de prueba estándar (ver POL-005 §7) |
| Code review | Obligatorio antes de merge a main |
| Branches de producción | Solo merge vía PR aprobado |
| Dependencias | Solo paquetes de fuentes confiables (npm registry oficial) |
| Auditoría de dependencias | npm audit debe pasar sin vulnerabilidades críticas/altas |
9. Acceso Remoto
| Regla | Detalle |
|---|---|
| VPN | Obligatoria para acceso a recursos internos desde ubicación externa |
| MFA | Obligatorio para todo acceso remoto |
| Grabación de sesiones | Logging de sesiones administrativas remotas |
| Wi-Fi público | Solo con VPN activa |
| Sesiones inactivas | Desconexión automática tras 15 minutos de inactividad |
10. Tecnologías de Usuario Final
10.1 Aprobación de Tecnologías
Toda tecnología que acceda a datos del CDE requiere:
- Aprobación explícita del CISO
- Justificación de negocio documentada
- Evaluación de riesgo
10.2 Tecnologías Aprobadas
| Categoría | Herramientas Aprobadas |
|---|---|
| IDE | VS Code, IntelliJ IDEA, WebStorm |
| Terminal | Terminal nativa, iTerm2 |
| Git client | CLI git, GitHub Desktop |
| Comunicación | Slack (corporativo), Email corporativo |
| Navegador | Chrome, Firefox, Safari (actualizados) |
| Gestor de contraseñas | 1Password / Bitwarden (corporativo) |
| VPN | VPN corporativa designada |
11. Prohibiciones Expresas
Las siguientes actividades están estrictamente prohibidas:
- Compartir credenciales de acceso con terceros
- Almacenar datos de tarjetas en ubicaciones no autorizadas
- Instalar software no autorizado en equipos corporativos
- Evadir o deshabilitar controles de seguridad
- Conectar dispositivos no autorizados a la red corporativa
- Acceder a sistemas sin autorización (incluye otros departamentos)
- Transmitir datos de tarjetas por canales no cifrados
- Fotografiar o copiar datos sensibles de pantallas
- Usar cuentas genéricas o compartidas
- Ignorar alertas de seguridad o incidentes
12. Consecuencias del Incumplimiento
| Severidad | Ejemplo | Consecuencia |
|---|---|---|
| Leve | Incumplimiento involuntario sin exposición de datos | Amonestación verbal + capacitación |
| Moderada | Incumplimiento reiterado o que genera riesgo | Amonestación escrita + plan de acción |
| Grave | Exposición de datos de tarjetas, evasión intencional de controles | Suspensión inmediata de acceso + investigación |
| Crítica | Brecha intencional, sabotaje | Terminación de contrato + acciones legales |
13. Reconocimiento
Todo empleado y contratista debe firmar un acuerdo de reconocimiento de esta política como parte de su incorporación y anualmente durante la renovación.
Historial de Revisiones
| Versión | Fecha | Autor | Cambios |
|---|---|---|---|
| 1.0 | 2026-03-13 | CISO / RRHH | Documento inicial |
Aprobación
| Rol | Nombre | Firma | Fecha |
|---|---|---|---|
| CISO / Oficial de Seguridad | _________________ | _________________ | //____ |
| Gerencia Ejecutiva | _________________ | _________________ | //____ |
| Recursos Humanos | _________________ | _________________ | //____ |