©2013 PNTS
Protegiendo la Información Confidencial
¿QUÉ ES INFORMACIÓN CONFIDENCIAL?
PROTECCIÓN ADMINISTRATIVA
100412 Stilts.ai
Información confidencial se refiere a la información de Negocio de MetLife como así también información de sus Clientes y Empleados.
Es necesario que cada empleado maneje la información confidencial de MetLife de acuerdo a las políticas de la Compañía.
Información de Negocio
Algunas recomendaciones a tener en cuenta:
Es la información acerca de MetLife, incluyendo:
4 4 4 4 4 4
Operaciones de Negocio. Información de Clientes y Prospectos. Información de Empleados. Precios. Planes de Negocio. Resultados del Negocio y Financieros.
Información de Clientes Se refiere a la información sobre individuos que adquirieron o solicitaron nuestros productos como así también aquellos individuos Asegurados o Beneficiarios. La información que se debe mantener confidencial incluye:
4 4 4 4 4
Responsabilidad de todos los Empleados
Datos básicos como nombre, dirección, número de teléfono y edad. Número de DNI o pasaporte. Números de cuentas bancarias, tarjetas de crédito, códigos o claves de acceso y contraseñas. Información financiera como ingresos, activos, deudas e historia crediticia. Información de salud, como registros médicos, prescripciones médicas.
Información de Empleados Se refiere a la información de su salario y otros beneficios, evaluaciones de performance, información sobre su salud o información impositiva entre otra.
2
4 Compartir la información solo sobre la base de una necesidad específica, es decir cuando se requiera acceder a dicha información para el desarrollo de las operaciones y con las aprobaciones necesarias cuando corresponda. 4 No revelar información confidencial a personas que no estén debidamente autorizadas a recibir tal información, ya sea en forma telefónica, electrónica o a través de documentos impresos. 4 Identificar la información confidencial como “Confidencial” cuando sea posible y conveniente. 4 Tener en cuenta que la información sobre nuestros clientes es particularmente sensitiva. Generalmente solo podría ser divulgada en el marco de un acuerdo de servicios, con una autorización según lo permitido o requerido por ley. (Política Global de IT 16.1.2) 4 Tratar la información confidencial recibida de terceras partes con especial precaución: nunca se debe divulgar información de terceras partes sin aprobación del Management. En caso de necesitar asistencia, contactar al Departamento de Compliance o Legales. (Política Global de IT 16.2.2) 4 Reportar cualquier brecha de seguridad: si cree que información confidencial pudo haber sido accedida por o divulgada a personas no autorizadas, virus o spam se debe reportar este incidente al lider del área involucrada.
Responsabilidad de Directores y Gerentes Los líderes en general deben: 4 Asegurarse que los empleados están al tanto de las políticas relativas a privacidad de la información y confidencialidad de la información. Los líderes en general son responsables de asegurar que los empleados y personal externo que reportan a él entiendan y cumplan las políticas de privacidad, confidencialidad y en general todas las políticas de IT. 4 Seleccionar proveedores confiables. Dado que un proveedor de servicios (incluyendo consultores o empleados temporarios) puede tener acceso a información confidencial, debe existir un contrato firmado, solicitando al proveedor cumplir con los resguardos necesarios en el tratamiento de la información y retornar o desechar en forma adecuada la información una vez que se complete la tarea. 4 Acuerdos de confidencialidad/no-divulgación deben ser utilizados antes de que consultores externos o personal temporario inicien sus tareas en MetLife.
3
ia.hcraM yratiliM 210280
PROTECCIÓN FÍSICA
Responsabilidad de los Empleados Todos los empleados deben tomar los recaudos necesarios para: 102711 Snoopy surgeon.ai 4 Acompañar a los visitantes que ingresen a las instalaciones de la compañía. Las visitas deben ser escoltadas cuando ingresen a las oficinas y especialmente a áreas sensitivas (como Data Center, oficinas con acceso restringido, archivos, cintoteca, etc.), durante el tiempo que permanezcan en las instalaciones de MetLife.
PROTECCIÓN TÉCNICA
Proteger la información confidencial de MetLife, de nuestros Clientes y de Empleados significa seguir las buenas prácticas y todas las Políticas y Estándares de IT de MetLife.
Responsabilidad de los Empleados
102711 Snoopy Doctor.ai
4 Destruir la documentación al final de su ciclo de vida, cuando ya no sea necesaria y/o no se requiera que sea mantenida, de forma tal que no sea posible su recuperación o regeneración.
4 Proteger los Sistemas de Información: todos los empleados deben proteger los archivos electrónicos de MetLife, el equipamiento físico y cualquier otro recurso tecnológico (Política Compliance: Política de Privacidad y Resguardo de la Información): 0 Nunca manipular o intentar saltear alguna medida de seguridad. 0 Mantener confidenciales los Procedimientos y Estándares de Seguridad de MetLife. 0 Mantener adecuadas medidas de seguridad con los dispositivos electrónicos como PC’s, teléfonos celulares y Blackberries, y mientras se usa una laptop utilizar cable de seguridad o docking station. 0 Bloquear su computadora cuando se aleja de su escritorio presionando simultáneamente las teclas Control, Alt & Delete.
4 Informar al líder la pérdida o extravío de laptops, blackberries, pendrives autorizados u otros dispositivos electrónicos, como así también de documentación en papel, en caso de ocurrencia.
4 Utilizar el disco compartido (G:\) para crear, guardar y procesar información de MetLife, evitando crear copias de archivos en su disco local.
4 En cuanto a dispositivos de almacenamiento externos, los mismos deberán ser autorizados por la Gerencia de IT Controller. Dichos dispositivos serán configurados y/o encriptados para proteger la información que puedan contener y sólo serán autorizados para su uso con información de la compañía.
4 Proteger sus contraseñas: Su ID de usuario es su identificación en los sistemas y lo asocia con sus acciones en los mismos. Se deben proteger todas las claves de acceso asignadas de manera que no sean divulgadas ni utilizadas por otras personas que no sea su dueño (Política Global de IT 08.3.01): 0 Nunca comparta su password con otros. 0 Cambie su password periódicamente y elija aquellas que no sean fáciles de adivinar (evite nombres, su fecha de nacimiento, apodos, etc.). 0 Nunca deje sus claves escritas en su escritorio o cerca de él.
4 Como práctica general, los archivos y documentación confidencial debe almacenarse en gabinetes, armarios o cajoneras con llave, o en cuartos cerrados con acceso limitado sólo a personal autorizado. Al final del día o cuando las oficinas están cerradas, deben permanecer bajo llave.
Responsabilidad de Directores y Gerentes Los líderes en general deben tomar los recaudos necesarios para: 4 Establecer procedimientos para mantener bajo llave las oficinas al término de la jornada laboral y para restringir el acceso a las oficinas fuera del horario laboral. 4 Reforzar la seguridad en los espacios de trabajo que son críticos para las operaciones y en las áreas en donde normalmente se maneja o guarda la mayor cantidad de información confidencial, como archivos, cintotecas, sala de impresión, entre otras. 4 Revisar las credenciales de acceso de empleados y revocar los permisos que sean innecesarios: 0 Los permisos de acceso a las áreas restringidas deben revisarse en forma periódica. 0 Cuando sea apropiado, debe registrarse la entrada de personal a determinadas áreas. 4 Proteger la información confidencial contra daños y pérdida, implementando controles tales como back-ups y guarda off-site de medios magnéticos, planes de contingencia, medidas de prevención y extinción de incendios, y otros controles ambientales.
Recuerde que usted es el responsable de las acciones realizadas con su ID y contraseña. 4 Proteger su computadora de virus y otros códigos maliciosos (Política global de IT 05.2.02): 0 Nunca debe deshabilitar el software antivirus en una computadora de la compañía. 0 No abrir e-mails sospechosos ni abrir adjuntos de e-mails que no fueron solicitados. 0 Asegurarse de que no se conecten a la red de MetLife dispositivos no autorizados. 0 Mantener actualizado el software antivirus en las computadoras para trabajo fuera de oficina. 0 Reportar cualquier problema relativo a virus o actividades sospechosas que no cumplan con alguno de estos procedimientos. 4 Usar el correo electrónico en forma responsable. El servicio de e-mail es provisto por MetLife para facilitar las comunicaciones (Políticas Globales de IT 07.3.01). 0 Los empleados deben tratar a toda la correspondencia enviada a través de los sistemas de e-mail de MetLife con el mismo cuidado que si el e-mail fuera a ser público y apareciera impreso con membrete de MetLife.
4 Tener a disposición de los empleados los recursos para descartar de manera adecuada documentos confidenciales.
4
5
PROTECCIÓN TÉCNICA
Políticas Globales De IT y Políticas de Compliance
0 Sólo abrir los archivos adjuntos que son esperados y que provienen de remitentes conocidos. Los empleados que reciban e-mails o archivos adjuntos sospechosos deben borrar estos e-mails. 011711 Charlie Brown with apples.ai 0 Si se necesita enviar información sensitiva o confidencial a través del correo electrónico, incluir la leyenda “confidencial”, y enviarlo solamente a aquellos con legítima necesidad de conocer dicha información. 4 Trabajar fuera de la oficina (con la aprobación de la gerencia y la autorización de la Gerencia de Infraestructura) en cumplimiento con las leyes, regulaciones y políticas de la compañía (Política Global de IT 04.2.06): 0 Los usuarios que están fuera de la oficina deben asegurar la confidencialidad e integridad de los recursos utilizados (equipamiento, software, información) y protegerse del uso o revelación de información confidencial por parte de personas no autorizadas.
01 - Administración de la Seguridad 02 - Administración de Riesgos 03 - Seguridad del personal 04 - Seguridad Física 05 - Administración de Operaciones 06 - Monitoreo de la Seguridad y Respuesta 07- Administración de las Comunicaciones Políticas Globales de IT
4 Proteger los dispositivos móviles: laptops, BlackBerries y teléfonos celulares pueden ser sustraídos o extraviados fácilmente por ser de un tamaño pequeño: 0 Asegure su laptop con cable de seguridad o guárdela bajo llave si no estará en uso. 0 Utilice contraseña para el acceso a su BlackBerry. 0 Mantenga estos dispositivos con usted mientras viaja. Recuerde que si su laptop se pierde, sus datos también. 0 Sólo utilice SFTP para las transferencias de datos confidenciales con entidades externas.
09 - Seguridad de la Red de Trabajo
Responsabilidad de Directores y Gerentes
15 - Administración de Incidentes de IT
10 - Servicios de Terceros de IT 11 - Administración de la Aplicación 12 - Continuidad de negocio 13 - Conformidad 14 - Administración de IT 16 - Privacidad
Los líderes en general tienen responsabilidades adicionales en relación al hardware y software utilizado por los empleados que reportan a ellos.
Política de Privacidad y Resguardo de la Información Políticas de Compliance
4 Obtener aprobación para la adquisición de nuevo software y hardware. Todo el software y el hardware usado en MetLife debe adquirirse e inventariarse a través de la Dirección de Tecnología. Cuando se trata de la adquisición de software, debe realizarse de acuerdo a lo indicado en la Política de Compras y Contrataciones vigentes de la Compañía (Políticas Globales de IT 14.1.02) 4 Asegurar que el software es utilizado en forma apropiada. Los empleados, consultores o empleados temporarios no pueden duplicar (excepto una copia para backup o para archivar), distribuir o prestar software con licencia. Además, deben cumplir con los requerimientos de protección de copyright incluidos en el software al que pueden acceder. (Política Global de IT 11.1.09) 4 Asegurar que al término de su ciclo de vida, el hardware (incluyendo los medios de grabación de datos) sea destruido en forma adecuada.
6
08 - Control de Acceso
Plan de Acción ante una Violación de Seguridad de Datos
Al final del día 4 Resguarde los documentos que contengan información confidencial. 4 Apague su computadora.
7
PARA MAS INFORMACIóN
4 Para consultar el texto completo de las Políticas citadas por favor acceda a las carpetas públicas de Outlook ‘Normas y Procedimientos Argentina’, Sección IT Políticas Globales. 4 Para consultas sobre los requerimientos o recomendaciones de las políticas de Seguridad de la Información, contactar a Eduardo Vendramini - IT Controller Manager (eduardo.vendramini@ metlife.com.ar). 4 Para consultas sobre la Política de Privacidad y Resguardo de la Información o el Plan de Acción ante una Violación de Seguridad de Datos, contactar a Roberto Crema – Oficina de Privacidad (roberto.crema@metlife.com.ar).
Para reportar un incidente de seguridad 4 Si piensa que ha ocurrido una Violación de Seguridad entendida como cualquier acceso no autorizado, pérdida, o divulgación no autorizada de información personal que compromete la seguridad, confidencialidad o integridad de la misma, en cualquier formato posible (vías electrónicas o formatos impresos), tanto de sistemas como de espacios físicos de la Compañía, deberá: 0 Notificar inmediatamente al Gerente o al mayor responsable jerárquico de la unidad de negocio afectada. 0 Luego deberá completar la “Evaluación Inicial Ante Violaciones de Seguridad” y enviarla a la Oficina de Privacidad dirigida a Roberto Crema (roberto.crema@metlife.com.ar), de acuerdo al instructivo del Plan de acción ante una violación de seguridad, disponible en la base ‘Normas y Procedimientos’ en Outlook. Ante la sospecha de la existencia de virus u otro código malicioso en su computadora, contacte al Help-Desk: 4 Mail: Helpdesk o helpdesk@metlife.com.ar 4 Web: accediendo a la herramienta de ticket publicada en la intranet. < http://servicedeskar/ > 4 TE: Interno 1919 o 4318-1919 4 Ante la pérdida o robo de computadoras, laptops, cintas, CDs, pendrives o BlackBerry, informe a su líder y contacte a Eduardo Vendramini - IT Controller Manager al e-mail eduardo.vendramini@metlife.com.ar. MetLife es la marca de MetLife Seguros S.A. y MetLife Seguros de Retiro S.A. Tte Gral J. D. Perón 646 6° (C1038AAN) CABA.
8