El documento 01. VCSOFT SGSI - Sistema de Gestión de Seguridad de la Información presenta la declaración del Sistema de Gestión de Seguridad de la Información (SGSI) de VCSOFT, diseñado conforme a la norma ISO/IEC 27001:2022, garantizando la confidencialidad, integridad y disponibilidad de la información crítica para la organización. Su implementación sigue el ciclo PHVA (Planear, Hacer, Verificar y Actuar), asegurando una gestión eficaz de riesgos y la mejora continua.

El documento 02. VCSOFT SGSI - Declaración de Políticas de Seguridad establece los principios para la protección de la información y los activos de la organización. Se garantiza la confidencialidad, integridad y disponibilidad de los datos, alineando la gestión de seguridad con estándares reconocidos de la industria.

Define los requisitos para el acceso seguro a la información, el cumplimiento de obligaciones legales y contractuales, y la implementación de controles de seguridad. Además, contempla capacitaciones recurrentes para trabajadores y terceros.

El documento 03. VCSOFT SGSI - Políticas de Ciberseguridad y Seguridad de la Información establece las directrices para la protección de la información y los activos de la empresa. Define principios de seguridad, estructura organizacional, gestión de riesgos y cumplimiento normativo.

Incluye políticas sobre acceso a la información, clasificación de datos, continuidad del negocio, seguridad en el personal y administración de incidentes. Además, detalla responsabilidades y controles para garantizar la confidencialidad, integridad y disponibilidad de la información en VCSOFT.

El documento 04. VCSOFT SGSI - Estructuras Organizacionales define la estructura organizacional de la empresa en relación con la seguridad de la información. Establece roles y responsabilidades para la gestión de la seguridad, desde la dirección general hasta equipos especializados en ciberseguridad.

También aborda la gestión de acuerdos con terceros, el tratamiento seguro de la información de clientes, la identificación de riesgos externos y los procesos de auditoría. Además, detalla los procedimientos de autorización y control de acceso a sistemas internos.

El documento 05. VCSOFT SGSI - Política de Gestión de Riesgos Operacionales y Riesgos Cibernéticos establece la metodología para identificar, evaluar y mitigar los riesgos que afectan la seguridad de la información en la empresa. Incluye el uso de matrices de riesgo, controles de seguridad, gestión de vulnerabilidades, aplicación de parches y generación de logs. Además, detalla las pruebas proactivas, auditorías y protocolos de monitoreo continuo para garantizar la protección de los activos de información.

El documento 06. VCSOFT SGSI - Gestión de la Continuidad del Negocio establece el plan para garantizar la operación de la empresa ante incidentes o interrupciones. Define estrategias de recuperación, análisis de riesgos y protocolos de respuesta para minimizar el impacto en los procesos críticos.

Incluye medidas de seguridad, respaldo de información, pruebas periódicas y asignación de responsabilidades. Además, detalla los controles y procedimientos necesarios para la protección de los activos tecnológicos y la resiliencia operativa de VCSOFT.

El documento 07. VCSOFT SGSI - Directivas de Protección de Datos (DLP) establece los controles para prevenir la fuga de información dentro de la organización. Define niveles de criticidad para los datos y las medidas de seguridad aplicables según su sensibilidad. Incluye estrategias de clasificación, restricciones de acceso, cifrado de información y monitoreo de actividades para garantizar la protección de los datos. También detalla los procedimientos para la implementación de estas directivas en los sistemas internos de VCSOFT.

El documento 08. VCSOFT SGSI - Gestión de Activos de Información establece las directrices para la administración y protección de los activos de información en la empresa. Define procesos de clasificación, control de acceso, cifrado, eliminación segura y auditoría de activos. Incluye procedimientos para la gestión de estaciones de trabajo, dispositivos móviles y entornos de desarrollo. También detalla los lineamientos de uso aceptable y responsabilidades sobre la información manejada en VCSOFT.

El documento 09. VCSOFT SGSI - Seguridad del Recurso Humano establece las medidas para gestionar los riesgos asociados al personal en relación con la seguridad de la información. Define controles disciplinarios, procesos de selección, términos de empleo y capacitaciones obligatorias. Incluye procedimientos para la revocación de accesos, entrega de activos y cumplimiento de acuerdos de confidencialidad tras la terminación del contrato, garantizando la protección de la información en todas las etapas de la relación laboral.

El documento 10. VCSOFT SGSI - Lineamientos de Control de Acceso a la Información define las políticas y procedimientos para la gestión segura de accesos a los sistemas y datos de la empresa. Establece un modelo basado en roles (RBAC) y atributos (ABAC) para la asignación de permisos según cargo y función. Incluye requisitos para la autenticación, complejidad de contraseñas, control de accesos privilegiados, restricción por IP y uso de autenticación multifactor (MFA). También detalla el proceso de creación, modificación y eliminación de cuentas de usuario, garantizando el principio de mínimo privilegio.

El documento 11. VCSOFT SGSI - Gestión de Operaciones establece los controles y procedimientos para la administración segura de la infraestructura tecnológica y la operación de los sistemas de la empresa. Define lineamientos para la gestión de respaldos, monitoreo de sistemas, auditoría de accesos, control de cambios y segregación de funciones. Además, detalla protocolos para la seguridad en la transmisión de datos, protección contra código malicioso y administración de incidentes de seguridad.

El documento 12. VCSOFT SGSI - Seguridad Física y Ambiental establece los controles para la protección de las instalaciones y la infraestructura tecnológica de la empresa. Incluye medidas para la seguridad del cableado, redes WiFi, equipos de trabajo y acceso a oficinas y áreas restringidas. También define procedimientos para la eliminación segura de información, mantenimiento de equipos, videovigilancia y evaluación de riesgos físicos y ambientales.

El documento 13. VCSOFT SGSI - Control de Seguridad del Software establece los lineamientos para el desarrollo, adquisición y mantenimiento seguro de software en la empresa. Incluye controles para la gestión de vulnerabilidades, control de versiones, actualización de parches, acceso al código fuente y tercerización del desarrollo. También define principios de desarrollo seguro, uso de controles criptográficos y medidas de prevención de fuga de información, garantizando la seguridad en todo el ciclo de vida del software.

El documento 14. VCSOFT SGSI - Gestión de Incidentes de Seguridad establece los procedimientos para la identificación, análisis y respuesta ante incidentes de seguridad de la información. Define roles y responsabilidades dentro del equipo de respuesta, métodos de clasificación de incidentes, recolección de evidencias y acciones de recuperación. También detalla protocolos para la comunicación, documentación y mejora continua del proceso, garantizando una reacción efectiva y minimizando el impacto en la operación de VCSOFT.

El documento 15. VCSOFT SGSI - Cumplimiento Regulatorio establece los lineamientos para garantizar el cumplimiento de las normativas legales y contractuales relacionadas con la seguridad de la información.

Define controles para la protección de datos personales, regulación de derechos de propiedad intelectual, auditoría de sistemas y anonimización de datos. También aborda la gestión de licencias de software, cumplimiento de estándares de seguridad y monitoreo de conformidad con regulaciones aplicables.

El documento 16. VCSOFT SGSI - Políticas de Escritorio Limpio establece las medidas para minimizar riesgos de exposición de información en los espacios de trabajo físicos y digitales.

Define controles para la organización de escritorios, visibilidad de pantallas, gestión de documentos impresos y dispositivos de almacenamiento. También incluye lineamientos para el uso de dispositivos móviles, control de accesos y cumplimiento de las políticas mediante auditorías internas y capacitaciones.

El documento 17. VCSOFT SGSI - Política de Seguridad en el Teletrabajo y Movilidad establece los lineamientos para garantizar la seguridad de la información en entornos de trabajo remoto y movilidad.

Define controles para la clasificación de información, acceso seguro a sistemas, uso de VPN, protección de datos en tránsito y medidas de seguridad física. También incluye protocolos para la gestión de dispositivos, monitoreo de accesos y capacitación en buenas prácticas de seguridad para empleados remotos.

El documento 18. VCSOFT SGSI - Política de Auditorías Internas y Externas establece el marco para la evaluación del Sistema de Gestión de Seguridad de la Información (SGSI) mediante auditorías programadas.

Define los procesos para la planificación, ejecución y seguimiento de auditorías internas y externas, garantizando el cumplimiento de normativas y la mejora continua del SGSI. También detalla la frecuencia de las auditorías, los roles involucrados y la gestión de hallazgos para fortalecer la seguridad de la información en VCSOFT.

El documento 19. VCSOFT SGSI - Lineamientos de Criptografía define los estándares y mejores prácticas para el uso de mecanismos criptográficos en la protección de la información.

Incluye políticas sobre el manejo de llaves, versiones de TLS permitidas, algoritmos de cifrado recomendados y controles para la custodia de certificados. También establece lineamientos para la implementación de criptografía en microservicios y considera el uso de algoritmos post-cuánticos según estándares internacionales.

El documento 20. VCSOFT SGSI - Política de Evaluación y Control de Seguridad de Proveedores y Entidades Externas establece los criterios para seleccionar, evaluar y monitorear proveedores que manejan información o servicios críticos para la empresa.

Incluye procedimientos para la clasificación de riesgos, acuerdos de confidencialidad, requisitos de seguridad en el intercambio de información y auditorías periódicas. También detalla las medidas para la protección de la cadena de suministro y el cumplimiento de normativas de seguridad en los proveedores de VCSOFT.

El documento 21. VCSOFT SGSI - Ciclo de Vida de Desarrollo Seguro establece los lineamientos para integrar prácticas de seguridad en cada fase del desarrollo de software.

Incluye controles para la planificación, diseño, codificación, pruebas, despliegue y mantenimiento de aplicaciones, garantizando la protección de la información y el cumplimiento de estándares como ISO 27001 y NIST SP 800-218. También aborda la gestión de vulnerabilidades, seguridad en el uso de IA generativa y capacitación en desarrollo seguro.

El documento 22. VCSOFT SGSI - Política de Clasificación y Tratamiento de Datos establece los lineamientos para la gestión, protección y uso adecuado de los datos personales en la empresa.

Define los principios de clasificación, las bases legales para el tratamiento de datos, las medidas de seguridad implementadas y los derechos de los titulares. También incluye procedimientos para la recolección, almacenamiento, circulación y eliminación de datos, garantizando el cumplimiento de normativas de protección de datos aplicables.

El documento 23. VCSOFT SGSI - Política de Backups de Sistemas de Información establece los lineamientos para la protección y recuperación de datos en la empresa.

Define los procedimientos para la ejecución, almacenamiento y verificación de copias de seguridad, asegurando la disponibilidad e integridad de la información crítica. También detalla la frecuencia de los respaldos, las medidas de cifrado y los controles de acceso, garantizando la continuidad operativa y el cumplimiento de normativas de seguridad.

El documento 24. VCSOFT SGSI - Procedimientos de la Seguridad de la Información define los procesos operativos para garantizar la protección, integridad, confidencialidad y disponibilidad de los activos de información en la empresa.

Incluye procedimientos para el control de acceso, gestión de incidentes de seguridad, continuidad del negocio, gestión de activos y seguridad física. También establece lineamientos para auditorías, monitoreo de sistemas y administración de cambios, asegurando la correcta implementación del SGSI en VCSOFT.

El documento 25. VCSOFT SGSI - Políticas y Procedimientos para el Control de Cambios define los lineamientos para gestionar las modificaciones en los sistemas de información, asegurando una correcta evaluación de riesgos, pruebas previas y registro de cada cambio.

Incluye directrices para la aprobación, documentación y auditoría de las actualizaciones, garantizando la confidencialidad, integridad y disponibilidad de la información. Además, establece responsabilidades claras y planes de seguimiento, contribuyendo al cumplimiento de la norma ISO‑27001:2022 y a la correcta implementación del SGSI en VCSOFT.

El documento 26. VCSOFT SGSI - Política y Procedimiento para el Intercambio Seguro de la Información establece los lineamientos y procesos para resguardar la confidencialidad, integridad y disponibilidad de los datos que se comparten tanto interna como externamente.

Incluye directrices sobre la clasificación de la información, el uso de canales de comunicación cifrados y la definición de responsabilidades para quienes participan en el intercambio. También describe flujos de procedimiento, verificaciones de integridad y opciones de cifrado, asegurando la correcta implementación del SGSI en VCSOFT.