Política de Uso y Manejo de Información Confidencial y de Seguridad Informática

En Soledad y Carrasco, S.C. (SCA), nos comprometemos a preservar la confidencialidad y seguridad de la información de nuestros clientes. Esta Política tiene como objetivo establecer pautas para el uso y manejo de información confidencial proporcionada para la prestación de nuestros servicios, así como implementar lineamientos de seguridad informática. Al utilizar nuestros servicios, usted acepta las prácticas descritas en esta Política.

Nuestra Política de Uso y Manejo de Información Confidencial y de Seguridad Informática está sujeta a actualización anual y es dada a conocer a todas las personas colaboradoras de SCA a través de sesiones de capacitación. Las sesiones de capacitación se encuentran programadas para que tengan lugar en el mes de enero. Sin embargo, si la persona colaboradora ingresa a SCA con posterioridad a la sesión anual de capacitación, se le implementará una capacitación individual dentro de las primeras dos semanas a su ingreso.

Toda capacitación culminará con una evaluación. En función del resultado de la evaluación, se analizará la necesidad de impartir capacitaciones adicionales en torno a la política interna de SCA.

1. Objetivo.

El objetivo de esta política es establecer pautas claras para el uso y manejo de la información confidencial en SCA, con el fin de garantizar su seguridad, protección, confidencialidad e integridad.

Esta Política se considerará parte de nuestros Códigos de Ética y de Conducta y cualquier violación será investigada y, en su caso, sancionada en términos del Manual de Investigación y Sanción de Faltas a los Códigos de Ética y de Conducta de SCA.

2. Definición de Información Confidencial.

 Se considera información confidencial toda aquella que contiene datos personales de los clientes, detalles de cualquier asunto sometido a nuestra consideración, estrategias jurídicas, documentos financieros y cualquier otro tipo de información sensible relacionada con nuestros clientes, potenciales clientes o con nuestro despacho.

SCA y sus colaboradores están obligados en términos de esta Política desde el momento en el que conocen, por cualquier medio, datos, documentos o cualquier tipo de información proporcionada por un cliente o potencial cliente para la prestación de los servicios. Lo anterior también resulta aplicable inclusive si la información es proporcionada para la preparación de una propuesta de servicios y ésta no es aceptada por nuestro cliente o potencial cliente.

Toda información relacionada con cualquier asunto puesto a consideración de SCA se considera cursada al amparo de la relación abogado-cliente, por lo que tendrá el tratamiento personal y confidencial en la medida prevista y permitida por las leyes aplicables y esta Política.

3. Acceso y Control.

3.1. Acceso restringido: El acceso a la información confidencial se limitará únicamente a las personas colaboradoras que requieran dicho acceso para llevar a cabo sus funciones dentro de nuestro despacho. Se establecerán permisos y niveles de acceso adecuados para garantizar que solo las personas autorizadas puedan acceder a la información confidencial.

3.2. Protección de Credenciales y Uso de Contraseñas Seguras:

En SCA reconocemos que la seguridad de nuestras credenciales de acceso es esencial para garantizar la integridad y confidencialidad de la información que manejamos. Esta política establece directrices rigurosas para la creación, el manejo y el uso de contraseñas seguras.

3.2.1. Creación de Contraseñas Seguras. Se espera que todas las personas que colaboran en nuestro despacho sigan las siguientes pautas al crear contraseñas:

Las contraseñas deben tener una longitud mínima de 12 caracteres.

Se deben utilizar caracteres alfanuméricos, mayúsculas, minúsculas y caracteres especiales para aumentar la complejidad.

Evitar el uso de información personal fácilmente accesible o deducible, como nombres propios, fechas de nacimiento o información de contacto.

No utilizar palabras del diccionario ni secuencias obvias de caracteres.

Cambiar las contraseñas regularmente y no reutilizar contraseñas anteriores.

3.2.2. Autenticación de Dos Factores (2FA)

Se requiere el uso de la autenticación de dos factores para acceder a sistemas y aplicaciones críticas. Esto proporciona una capa adicional de seguridad al requerir una segunda forma de autenticación, además de la contraseña, para acceder a la cuenta. Las formas típicas de autenticación de dos factores pueden incluir códigos enviados a través de SMS, aplicaciones de autenticación móvil o tokens físicos.

3.2.3. Manejo y Almacenamiento de Contraseñas

Las contraseñas nunca deben ser compartidas con otras personas, incluidos colegas de trabajo.

Evitar escribir contraseñas en lugares físicos o digitales no seguros, como notas adhesivas o archivos de texto sin cifrar.

Utilizar administradores de contraseñas aprobados por el despacho para gestionar y almacenar de manera segura las contraseñas.

No almacenar contraseñas en el navegador web o en dispositivos personales no seguros.

3.2.4. Cambio de Contraseñas

Se requerirá el cambio periódico de contraseñas según la siguiente frecuencia:

Cuentas utilizadas por socios y asociados de SCA: Cambio cada 60 días.

Cuentas utilizadas por cualquier otra persona colaboradora: Cambio cada 90 días.

4. Responsabilidad del Personal.

4.1. Compromiso de confidencialidad: Todas las personas que colaboran en SCA deben celebrar un acuerdo de confidencialidad en el que se comprometan a mantener la confidencialidad de la información a la que tengan acceso durante su empleo y después de su finalización.

4.2. Capacitación: Como parte de la capacitación relacionada con nuestra Política de Integridad, anualmente se proporciona capacitación regular a nuestros colaboradores sobre las políticas y mejores prácticas de seguridad de la información. Esto incluye la conciencia sobre la importancia de proteger la información confidencial y las consecuencias de su divulgación no autorizada.

5. Seguridad de la Información.

5.1. Protección física: Se implementarán medidas de seguridad física, como el acceso restringido a las áreas donde se almacena la información confidencial y la protección de documentos impresos en armarios cerrados o archivadores seguros.

5.2. Protección electrónica: Se utilizarán medidas de seguridad electrónica, como sistemas de cifrado de datos, firewalls y software de seguridad actualizado, para proteger la información confidencial almacenada en sistemas electrónicos y redes.

5.3. Uso de dispositivos personales: Por regla general, nuestros colaboradores no tienen permitido utilizar sus dispositivos personales, como computadoras o teléfonos móviles, para acceder o procesar información confidencial de nuestros clientes, salvo autorización expresa con motivos justificados por parte de los socios de SCA.

5.4. Uso de medios extraíbles: En aras de fortalecer la seguridad de la información y garantizar la confidencialidad de los datos de nuestros clientes, queda terminantemente prohibido el uso de medios extraíbles de información, tales como discos compactos (CDs), dispositivos de almacenamiento USB, discos duros portátiles u otros dispositivos de hardware similares, en los equipos de cómputo propiedad del despacho.

Esta restricción se implementa con el fin de minimizar los riesgos potenciales asociados con la transferencia no autorizada de información confidencial y la posible introducción de malware o software malicioso a través de medios extraíbles.

En casos excepcionales en los que sea necesario el uso de medios extraíbles de información por motivos laborales, los colaboradores deben solicitar autorización previa por escrito a los socios. Dichas solicitudes deberán ser debidamente justificadas y aprobadas antes de proceder con el uso de estos medios.

6. Uso de la Información Confidencial.

6.1. Limitación de uso: La información confidencial solo se utilizará para los fines legítimos y autorizados relacionados con los servicios legales que se prestan a nuestros clientes. Se prohíbe su uso para cualquier otro propósito.

6.2. Divulgación autorizada: La divulgación de información confidencial solo se realizará a las partes autorizadas, como los clientes o terceros involucrados en los asuntos que correspondan, cuando sea necesario y legalmente permitido. Se deberán obtener los consentimientos adecuados antes de compartir información confidencial.

6.3. Tanto SCA como sus colaboradores tiene estrictamente prohibido compartir información con terceras personas relacionadas con la prestación de los servicios legales sin el consentimiento expreso e inequívoco del cliente o potencial cliente que proporciona la información.

7. Destrucción y Borrado Seguro de Información Confidencial.

En SCA reconocemos la importancia de mantener la confidencialidad y la integridad de la información confidencial de nuestros clientes en todas las etapas de su ciclo de vida. La destrucción segura de la información, tanto en su formato físico como electrónico, es esencial para garantizar que los datos sensibles no caigan en manos no autorizadas ni representen un riesgo potencial para la seguridad.

7.1. Identificación de Información para la Destrucción

Se establece un proceso periódico de revisión y evaluación para identificar la información confidencial que ya no es necesaria para las operaciones en curso. Los responsables de cada área del despacho determinarán qué datos deben ser destruidos de manera segura una vez que haya concluido de manera definitiva el asunto de que se trate y/o se hayan cumplido los plazos establecidos en el acuerdo de prestación de servicios de que se trate.

7.2. Métodos de Destrucción

Para garantizar la eliminación completa de la información confidencial, se implementarán métodos adecuados de destrucción que se ajusten a la naturaleza del soporte en el que se encuentra la información:

7.2.1. Destrucción Física de Documentos Impresos:

Los documentos impresos que contengan información confidencial serán sometidos a un proceso de trituración o incineración antes de su disposición final.

Se designarán contenedores seguros para la recopilación temporal de documentos destinados a la destrucción. Estos contenedores estarán ubicados en áreas de acceso restringido y serán vaciados de manera regular por personal autorizado.

7.2.2. Eliminación Electrónica Segura:

Los archivos electrónicos que contengan información confidencial serán eliminados de manera segura utilizando métodos de borrado que garanticen la imposibilidad práctica de su recuperación.

Los dispositivos electrónicos que contengan información confidencial, como computadoras, dispositivos móviles y unidades de almacenamiento, serán sometidos a un proceso de borrado seguro o de restablecimiento de fábrica antes de ser reutilizados o dados de baja.

7.3. Registro de la Destrucción

Cada vez que se realice la destrucción de información confidencial, se llevará un registro detallado que incluya la fecha, la naturaleza de la información destruida, los métodos utilizados y las personas responsables de la ejecución. Estos registros se conservarán como parte de la documentación de seguridad de la información.

7.4. Cumplimiento Normativo y Legal

La destrucción de información confidencial se llevará a cabo de acuerdo con las regulaciones y leyes de protección de datos aplicables. SCA se compromete a cumplir con todas las disposiciones legales y regulatorias relacionadas con la privacidad de la información y la seguridad de los datos.

La presente política de destrucción y borrado seguro de información confidencial refleja el compromiso con la protección continua de la confidencialidad y la seguridad de los datos de nuestros clientes.

8. Lineamientos de actualización tecnológica.

Para mantener el equipo de cómputo y software de SCA actualizado y evitar la obsolescencia, implementamos el siguiente procedimiento por parte del personal de tecnologías de la información del despacho.

8.1. Evaluación Inicial

Se actualiza periódicamente el inventario de todos los equipos de cómputo y dispositivos móviles, donde se anota el modelo, especificaciones (como procesador, memoria RAM, capacidad de almacenamiento) y fecha de compra.

Se identifica el software clave que se utiliza (sistemas de gestión, programas de procesamiento de texto, bases de datos, etc.) y se verifican las especificaciones mínimas y recomendadas para su funcionamiento óptimo.

8.2. Definición de Ciclo de Vida

Se establece un ciclo de vida para cada equipo. Se procurará remplazar el equipo de cómputo cada 5 años y los dispositivos móviles cada 3 años. Lo anterior, para evitar contratiempos con relación al rendimiento y compatibilidad.

8.3. Programa de Actualizaciones de Software

El personal de tecnologías de la información cuenta con una rutina de revisión y actualización de software. Esto incluye sistemas operativos, aplicaciones, antivirus y cualquier otro software relevante. Nos aseguramos de contar con licencias válidas y de mantenerlas actualizadas.

8.4. Monitoreo y Mantenimiento

Se cuenta con un programa de mantenimiento anual preventivo para los equipos, que incluye limpieza, optimización del sistema y comprobación del estado de los discos duros. Se utilizan herramientas de monitoreo para recibir alertas en caso de posibles fallas o problemas de rendimiento.

8.5. Capacitación y Formación

Dentro de la capacitación que se realiza anualmente (o de nuevo ingreso) en SCA, se comunica a las personas colaboradoras acerca de cómo mantenerse informados sobre las mejores prácticas en cuanto al uso y cuidado de los equipos y dispositivos móviles.

Además, se otorga capacitación en términos de nuestros Lineamientos de Seguridad Informática para Colaboradores (ver punto 9 de esta Política).

8.6. Evaluación Periódica

Cada año se realiza una evaluación de los equipos para determinar si cumplen con las necesidades actuales del despacho. Se consideran factores como la velocidad, capacidad de almacenamiento y compatibilidad con nuevos software o aplicaciones que SCA podría necesitar.

8.7. Reemplazo y Reciclaje

Al final del ciclo de vida determinado, se reemplazan los equipos obsoletos. Nos aseguramos de borrar toda la información de los discos duros de manera segura antes de desechar o reciclar una computadora o dispositivo móvil.

8.8. Revisiones Tecnológicas

Procuramos mantenernos informados sobre las últimas tendencias y avances tecnológicos, lo cual nos ayuda a tomar decisiones informadas cuando llega el momento de actualizar o reemplazar equipos.

8.9. Respaldo y Seguridad

Se implementa una solución de respaldo robusta para proteger la información crítica del despacho, ya sea a través de un servidor o en la nube proporcionada por un proveedor externo y seguro. Además, mantenemos actualizados los sistemas de seguridad, como antivirus y firewalls, para proteger nuestros equipos contra amenazas externas.

9. Lineamientos de Seguridad Informática para Colaboradores

9.1. Uso Responsable de Equipos y Datos

9.1.1. Actualizaciones de Software. Mantén el sistema operativo, programas y aplicaciones contratados y permitidos en el equipo de cómputo y dispositivos móviles de SCA actualizados con las últimas versiones y parches de seguridad.

9.1.2. Software Antivirus y Anti-Malware. Mantén activado y actualizado el software antivirus y anti-malware contratado por SCA en tu equipo de trabajo.

9.1.3. Descargas Seguras. Descarga software y archivos solo de fuentes confiables. Evita descargas de sitios web sospechosos o no verificados.

9.1.4. USB y Dispositivos Externos. Al respecto, se solicita consultar el punto 5.4. de la presente Política.

9.2. Identificación y Protección de Datos

9.2.1. Información Confidencial. Identifica y marca correctamente la información confidencial y evita compartir datos sensibles con personas no autorizadas.

9.2.2. Cifrado de Datos. Utiliza cifrado de datos para proteger información sensible almacenada en dispositivos y en tránsito.

9.2.3. Uso de Redes Seguras. Evita conectarte a redes Wi-Fi públicas o no seguras cuando manejes información confidencial. Usa una red VPN si es necesario.

9.3. Prevención de Amenazas de Correo Electrónico

9.3.1. Phishing y Correo Basura. No hagas clic en enlaces ni descargues archivos adjuntos de correos electrónicos desconocidos o sospechosos.

9.3.2. Verificación de Remitentes. Verifica siempre la dirección de correo del remitente y asegúrate de que sea legítima antes de responder o proporcionar información.

9.3.3. Solicitudes de Datos. No respondas a correos que soliciten información personal o financiera, incluso si parecen provenir de fuentes confiables.

9.4. Uso de Contraseñas y Autenticación

Consulta el numeral 3.2 de la presente Política en cuanto a la Protección de Credenciales y Uso de Contraseñas Seguras, donde se establecen obligaciones en términos de creación de contraseñas seguras, autenticación de dos factores (2FA), manejo y almacenamiento de contraseñas y cambio de contraseñas.

9.5. Disposición de Equipos y Datos

Al respecto, consulta el numeral 7. de la presente Política en torno a la Destrucción y Borrado Seguro de Información Confidencial.

9.6. Reporte de Incidentes

Si experimentas cualquier actividad sospechosa, pérdida de datos o violación de seguridad, comunícate inmediatamente con el equipo de seguridad del despacho a través de cualquiera de nuestros Socios.

10. Monitoreo y Cumplimiento.

10.1. Auditorías internas: Anualmente, se llevarán a cabo auditorías internas para evaluar el cumplimiento de esta política. Estas auditorías podrán incluir revisiones de los sistemas de seguridad, inspecciones físicas de las áreas de almacenamiento de información confidencial y revisiones de los registros de acceso y uso de la información.

10.2. Controles de acceso y registro de actividades: Se implementarán medidas técnicas para registrar y monitorear las actividades relacionadas con la información confidencial. Esto puede incluir registros de acceso, seguimiento de cambios y auditorías de sistemas, con el fin de identificar cualquier actividad inusual o potencialmente sospechosa.

10.3. Investigación de incidentes: En caso de sospecha o detección de violaciones de seguridad o mal uso de la información confidencial, se realizarán investigaciones internas para determinar la naturaleza y el alcance de los incidentes. Se tomarán las medidas necesarias para remediar y mitigar cualquier impacto negativo, así como para prevenir futuras violaciones.

Los procedimientos se seguirán, en lo aplicable, en términos de lo establecido por el Manual de Investigación y Sanción de Faltas a los Códigos de Ética y de Conducta de SCA.

10.4. Reporte de incidentes: En términos del Código de Conducta, los colaboradores de SCA se encuentran facultados para reportar de manera confidencial cualquier violación o incidente de seguridad relacionado con la información confidencial. Se alienta a nuestros colaboradores para notificar cualquier sospecha o preocupación.

10.5. Medidas disciplinarias: En caso de incumplimiento de esta política, se aplicarán medidas disciplinarias apropiadas, que pueden incluir desde una advertencia por escrito hasta la terminación del empleo, dependiendo de la gravedad y frecuencia de la violación. Toda violación será investigada y, en su caso, sancionada como una falta a nuestro Código de Conducta en términos del Manual de Investigación y Sanción de Faltas a los Códigos de Ética y de Conducta de SCA.

10.6. Mejora continua: Se fomentará la mejora continua de las medidas de seguridad y el cumplimiento de la política. Se revisarán y actualizarán regularmente los procedimientos y controles de seguridad para mantenerse al día con las mejores prácticas y los avances tecnológicos.

11. Actualización de la Política.

Esta Política será revisada anualmente para garantizar que esté actualizada y cumpla con la regulación aplicable y mejores prácticas internacionales. Cualquier cambio relevante será comunicado y socializado a los colaboradores de SCA y se proporcionará la capacitación necesaria al respecto.