POLÍTICA DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
1. OBJETIVO
CARE establece su Política de Seguridad de la Información y Privacidad como parte integral de su
sistema de gestión empresarial, alineado con las buenas prácticas del mercado y estándares internacionales
aceptados y la legislación brasileña pertinente, con el objetivo de garantizar niveles adecuados de protección a
información y datos personales operados por la organización, sus clientes y empleados bajo su control
responsabilidad.
2. OBJETO
• Esta política tiene como objetivo:
• Establecer pautas y estándares de Seguridad y Privacidad de la Información que permitan
Los empleados de CARE adoptan estándares de comportamiento seguro;
• Brindar orientación sobre la adopción de controles y procesos para cumplir con los requisitos de seguridad.
Información y Privacidad de Datos Personales;
• Salvaguardar la información de CARE, garantizando los requisitos básicos de confidencialidad,
integridad y disponibilidad;
• Prevenir posibles incidentes y responsabilidades legales que involucren a la institución, empleados,
clientes, proveedores y socios;
• Minimizar los riesgos de pérdidas financieras, pérdidas de mercado, pérdidas de confianza de los clientes u otros impactos.
impacto negativo en el negocio de CARE como resultado de violaciones de seguridad.
3. POLÍTICA
Esta política se aplica a todos los empleados, proveedores y socios de CARE que tienen acceso
a la información y datos personales de CARE y/o hacer uso de los recursos informáticos incluidos en el
Infraestructura interna.
3.1. Es política de CARE:
• Desarrollar, implementar y seguir plenamente las políticas, estándares y procedimientos de seguridad.
de información, garantizando que se cumplan los requisitos básicos de confidencialidad, integridad y
La disponibilidad de la información y los datos personales operados en CARE se logran a través de
la adopción de controles contra amenazas de fuentes tanto externas como internas
interno;
• Poner las políticas, normas y procedimientos de seguridad a disposición de todas las partes interesadas
y partes autorizadas, tales como: Empleados, terceros contratados, proveedores y, cuando
relevantes, clientes.
• Garantizar la educación y la concientización sobre las prácticas de seguridad de la información y
privacidad de datos adoptada por CARE para empleados, terceros contratados,
proveedores y, cuando corresponda, clientes.
• Cumplir plenamente con los requisitos de seguridad de la información y privacidad de los datos.
datos personales aplicables o requeridos por normativas, leyes y/o cláusulas contractuales;
• Gestionar íntegramente los incidentes de seguridad de la información y la privacidad de los datos.
datos personales, garantizando que se registren, clasifiquen e investiguen adecuadamente,
corregidos, documentados y, en su caso, comunicados a las autoridades competentes;
• Garantizar la continuidad del negocio mediante la adopción, implementación, pruebas y mejoras.
planes de continuidad continua y recuperación ante desastres;
• Mejorar continuamente la gestión de la seguridad y privacidad de la información a través de
Definición y revisión sistemática de los objetivos de seguridad en todos los niveles de la organización.
4. FUNCIONES Y RESPONSABILIDADES
4.1. Comité Directivo de Seguridad de la Información – CGSI
Se crea el Comité de Gestión de Seguridad de la Información – CGSI, con la participación de,
al menos un Director de Tecnología, un Gerente de Tecnología de la Información y al menos dos
miembros con conocimientos en tecnologías de la información, tanto con soporte de infraestructura como
con sistemas.
4.2. Es responsabilidad del CGSI:
• Analizar, revisar y proponer la aprobación de políticas y estándares relacionados con la seguridad.
de información;
• Garantizar la disponibilidad de los recursos necesarios para una gestión eficaz de
Seguridad de la información;
• Garantizar que las actividades de seguridad de la información y privacidad de los datos sean
ejecutado de conformidad con el PSIP;
• Promover la difusión del PSIP y tomar las acciones necesarias para difundirlo.
Cultura de seguridad de la información y privacidad de los datos personales en el entorno
CUIDADO
5. PRINCIPIOS DE USO DE LA IA
Todas las soluciones de IA deben diseñarse e implementarse con mecanismos sólidos para
Seguridad para proteger los datos contra accesos no autorizados, filtraciones y modificaciones indebidas
y otros tipos de ciberataques. Los modelos de IA deben entrenarse y validarse de tal manera que
minimizar los riesgos a la integridad y confidencialidad de la información.
El uso de IA debe realizarse cumpliendo la legislación vigente en materia de protección de datos, como
la Ley General de Protección de Datos (LGPD) y el Reglamento General de Protección de Datos (RGPD), cuando
aplicable. El tratamiento de datos personales por parte de la IA debe realizarse de forma transparente, garantizando
el consentimiento correspondiente de los interesados, siempre que sea necesario.
6. CLASIFICACIÓN Y TRATAMIENTO DE INCIDENTES
Todo incidente de seguridad de la información debe clasificarse según su criticidad e impacto,
y se gestionan de acuerdo con los procedimientos establecidos. Informar de incidentes críticos.
debe informarse inmediatamente a la CGSI y deben iniciarse de inmediato acciones de contención y mitigación.
7. SANCIONES Y CASTIGOS
Las violaciones de esta política u otras normas de seguridad, incluso por omisión, estarán sujetas a
sanciones que van desde advertencias verbales hasta el despido por justa causa para los empleados de CLT,
y la terminación inmediata de contratos con terceros o proveedores. La CGSI es responsable de analizar
cada infracción y decidir los castigos.
En los casos de infracción que impliquen actividades ilícitas o perjuicios a la organización, el infractor será
rendirán cuentas y estarán sujetos a las acciones legales correspondientes. Se aplicarán sanciones y castigos.
Según el análisis del Comité de Gestión de Seguridad de la Información, y la
gravedad de la infracción, el efecto alcanzado y la reincidencia, pudiendo la CGSI transmitir la información de
infracción al Gerente inmediato quien aplicará la sanción cuando se identifique la falta grave.
En el caso de terceros contratistas o prestadores de servicios, la CGSI deberá analizar la ocurrencia y
deliberar sobre la ejecución de sanciones y castigos de conformidad con los términos establecidos en el contrato;
En el caso de infracciones que impliquen actividades ilícitas, o que puedan resultar en daños a
Organización, el infractor será responsable de los daños y se le aplicarán las medidas
decisiones judiciales pertinentes.
6. OMISIONES
Los casos omitidos serán evaluados por el Comité de Gestión de Seguridad de la Información para su posterior revisión.
deliberación.
Las directrices establecidas en esta política y en otras normas y procedimientos de seguridad no se aplican a
están agotados debido a la continua evolución tecnológica y la constante aparición de nuevas amenazas. Esto
formulario, no constituye una lista enumerativa, y es obligación del usuario de la información de CARE adoptar,
siempre que sea posible, otras medidas de seguridad adicionales a las aquí previstas, con el objetivo de garantizar
Protección de información y datos personales.