Política de Seguridad de Datos

INTRODUCCIÓN

Con más de 25 años de experiencia, Info Expert SAC es una empresa peruana líder en la organización de eventos y congresos. Durante su trayectoria, ha gestionado grandes volúmenes de datos confidenciales, destacándose en proyectos de alto impacto como el evento del Papa Francisco en Perú, donde manejó con éxito más de 1.6 millones de registros sin incurrir en inconvenientes relacionados con la seguridad de la información. Este logro refleja el compromiso de la empresa con la protección, confidencialidad y disponibilidad de los datos personales de sus clientes y participantes.

Para fortalecer este compromiso, Info Expert implementa medidas alineadas con la Ley Nº 29733, Ley de Protección de Datos Personales, sus normativas complementarias, y las Normas Técnicas Peruanas (NTP) ISO/IEC 27001:2013, 27002:2013, 29100:2011 y 27018:2014, asegurando así la máxima seguridad en cada etapa del manejo de información confidencial.

I.         Políticas de Protección de Datos

o   Transparencia para los Titulares de Datos:

1.      Las políticas de protección de datos estarán disponibles en el sitio web oficial de Info Expert SAC y en sus oficinas principales.

2.      Los titulares de datos personales tienen derecho a solicitar acceso, rectificación, cancelación o actualización de sus informaciones mediante un formulario de solicitud disponible tanto en formato físico como digital.

3.      El documento incluye detalles sobre el tratamiento de datos personales, tiempos de respuesta y mecanismos de resguardo.

o   Cumplimiento de Normativa Nacional e Internacional:

1.      Ley Nº 29733 y su reglamento: Todas las actividades de tratamiento de datos cumplen con las disposiciones legales peruanas.

2.      NTP-ISO/IEC 27001:2013: Garantiza la implementación y mejora continua del sistema de gestión de seguridad de la información.

3.      NTP-ISO/IEC 27002:2013: Proporciona prácticas recomendadas para proteger datos sensibles.

4.      NTP-ISO/IEC 29100:2011: Enfocada en la protección de la privacidad y tratamiento de datos personales.

5.      NTP-ISO/IEC 27018:2014: Recomendaciones específicas para la gestión de información personal en servicios de nube.

II.         Procedimientos de Resguardo

1.      Control Físico y Lógico:

o   Protección Física:

§  Los dispositivos que almacenan información están asegurados con candados y cadenas en espacios restringidos.

§  Los documentos en papel se almacenan en archivadores con llave, accesibles solo por personal autorizado.

o   Medidas Lógicas:

§  El acceso al sistema y base de datos está restringido mediante credenciales únicas para cada usuario.

§  Los niveles de acceso están definidos como "Operario" (solo consultas y tareas operativas) y "Administrador" (gestión avanzada y exportación de datos).

§  Las contraseñas se gestionan con algoritmos de encriptación robustos y se renuevan cada 90 días.

2.      Seguridad Electrónica:

o   Todos los dispositivos están protegidos con software de antivirus (Kaspersky) y un firewall avanzado.

o   Las carpetas compartidas donde se almacenan datos están protegidas con contraseña y los accesos son auditados en tiempo real.

3.      Respaldo y Continuidad del Negocio:

o   Los respaldos de datos se realizan diariamente y se almacenan en dispositivos encriptados y ubicaciones seguras.

o   Se implementan planes de contingencia para garantizar la disponibilidad de la información en caso de fallos.

III.         Medidas de Custodia y Confidencialidad

  1. Confidencialidad de la Información:

    • Se realizan auditorías semanales de los accesos al sistema y base de datos para identificar posibles vulnerabilidades.

    • Los registros de actividad documentan cada acción, incluyendo:

      • Fecha y hora del acceso.

      • Usuario responsable.

      • Dispositivo e IP de conexión.

  2. Eliminación Segura de Datos:

    • Documentos Físicos: Son destruidos mediante máquinas trituradoras de alta seguridad que convierten los documentos en pequeños fragmentos ilegibles.

    • Datos Digitales: Los archivos son eliminados utilizando software especializado que sobrescribe la información múltiples veces para prevenir su recuperación.

  3. Respaldo de Datos:

    • Los respaldos se realizan diariamente en servidores locales y dispositivos externos encriptados.

    • El personal encargado debe documentar cada respaldo para mantener un historial preciso.

IV.         Capacitación del Personal

  1. Programas de Formación:

    • Todo el personal recibe capacitación inicial al momento de su incorporación, así como sesiones periódicas sobre:

      • Legislación nacional e internacional en protección de datos personales.

      • Buenas prácticas en el manejo de sistemas y bases de datos.

      • Procedimientos de eliminación segura y resguardo de información.

  2. Módulos Avanzados para Administradores:

    • Incluyen temas como encriptación, gestión de usuarios y respuesta ante incidentes de seguridad.

    • Se realizan simulaciones de ataques y ejercicios de mitigación.

V.         Programa de Auditoría

  1. Monitoreo Regular:

    • Auditorías trimestrales realizadas por un equipo independiente.

    • Verificación del cumplimiento de las políticas y medidas de seguridad implementadas.

  2. Revisión de Logs y Actividad:

    • Se analizan los registros de actividad para identificar patrones sospechosos o accesos no autorizados.

    • Cualquier irregularidad es documentada y notificada inmediatamente a la gerencia.

  3. Mejora Continua:

    • Los informes de auditoría incluyen recomendaciones para optimizar las medidas de seguridad.

    • Se establecen cronogramas para la implementación de mejoras.

 

Conclusión

Info Expert SAC reafirma su compromiso con la protección de los datos personales de sus clientes y participantes de eventos. Con políticas robustas, capacitación constante y auditorías rigurosas, garantizamos la seguridad y confidencialidad de la información bajo nuestro resguardo, cumpliendo con las normativas vigentes en Perú y estándares internacionales, incluyendo la NTP-ISO/IEC 27001:2013, 27002:2013, 29100:2011 y 27018:2014.