Química Suiza S.A.C.

Código Versión N°: 1

Fecha Inicio vigencia Página
QS-GSE-SEGU-PT002 24/06/2020 1 de 7
Documento: Política: “Seguridad de la Información”
Elaborado por: QS - IT Security Officer (Navarro Rojas, Gary Joel) 24/06/2020
Revisado por: QS - IT Security Officer (Navarro Rojas, Gary Joel) 24/06/2020
Aprobado por: QS - CIO (Lázaro Vargas) 24/06/2020

1. Objetivo
Establecer políticas que permitan la adecuada gestión de los activos de información de QUIMICA
SUIZA S.A.C, garantizando la integridad, confidencialidad y disponibilidad de la información.
2. Alcance
Activos que manejen o contengan información crítica y/o confidencial de Química Suiza S.A.C
3. Definiciones
3.1. Activos de Información: Todo aquello que tenga valor para la compañía, por ejemplo: Información
digital y física, Software, Hardware, telecomunicaciones, Personas, Servicios.
3.2. Banco de datos personales: Conjunto organizado de datos personales, automatizado o no,
independientemente del soporte, sea este físico, digital, cualquiera fuere la forma o modalidad de su
creación, formación, almacenamiento, organización y acceso.
3.3. Confidencialidad: Característica de la información la cual es de conocimiento y uso reservado sólo para
algunas personas previamente autorizadas, por lo que no será divulgada a personas, entidades o en
procesos no autorizados ni permitidos, ni empleados para fines no autorizados por su titular.
3.4. Datos personales: Toda información sobre una persona natural que la identifica o la hace identificable.
3.5. Recursos Informáticos: Son las aplicaciones (software), equipos informáticos (hardware) que se
puedan agregar a un computador o sistema.
3.6. Titular de datos personales: Persona natural a quien le corresponde los datos personales.
3.7. Titular del banco de datos personales: Persona natural, jurídica o pública que determina la
finalidad, contenido y el tratamiento del banco de datos personales y las medidas de seguridad que
deberán seguirse para proteger la información brindada por el titular de los datos personales.
3.8. Tratamiento de datos personales: Cualquier operación o procedimiento técnico, automatizado o no,
que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración,
modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia
(previamente autorizada por el titular del dato personal), difusión o cualquier otra forma de
procesamiento que facilite el acceso, correlación, entrega o interconexión de los datos personales.
3.9. TI: Tecnología de la Información.
4. Responsabilidades
4.1. Es responsabilidad de todos los colaboradores cumplir con el presente documento según lo establecido
en el Reglamento Interno de Trabajo1.
4.2. El Oficial de Seguridad de la Información es responsable de que la presente política se comunique, se
cumpla el presente documento.
4.3. Todos los colaboradores de Química Suiza S.A.C. son responsables de cumplir y hacer cumplir los
lineamientos del presente documento.
5. Documentos a consultar
5.1. No aplica.
Motivo de descarga: Solicitado por Oscar Gonzalez
Copia No Controlada
6. Lineamientos derealiza
Usuario que la Política
la copia: RENZO LUIS LUJAN CHAVEZ
Copia realizada el: 06/09/2021
Número de Copias: 1
1
Los Colaboradores tienen la obligación de leer los procedimientos, instrucciones, manuales, directivas y cualquier otra disposición interna que la
Empresa haya emitido o emita de manera virtual o física, no pudiendo alegar su desconocimiento, según lo señala el capítulo X artículo N° 44 del
Reglamento Interno de Trabajo (RIT). En el caso de incumplimiento, la gravedad de las faltas y sanciones correspondientes se definen según lo
señalado en el capítulo XII artículos del N° 48 al 57 del RIT..

Documento confidencial e interno; verificar si corresponde a la versión vigente publicada.

En caso de distribución externa, solicitar autorización al área de Procesos.
 Código: Página: Versión:
Política: Seguridad de la Información
QS-GSE-SEGU-PT002 2 de 7 1

6.1. Generales
6.1.1. La Gerencia General respalda activamente la seguridad dentro de la compañía, a través
de una dirección clara, un compromiso apropiado, recursos adecuados y conocimiento
de las responsabilidades en la seguridad de información.
6.1.2. Todo dato y/o información de la compañía, cualquiera sea la forma que adopte, debe ser
protegida de los riesgos de pérdida de confidencialidad, integridad y disponibilidad adecuada.
6.1.3. La información y las Tecnologías de Información deben ser usadas únicamente para los
propósitos de la compañía, debiendo aplicar criterios de buen uso cuando no exista una política
o normativa explicita para su utilización.
6.1.4. Todo recurso tecnológico, sistema informático y, en general cualquier actividad realizada en
el entorno del trabajo de los sistemas de información deberá proveer un mecanismo o
procedimiento confiable de identificación de manera individual e inequívoca del usuario
6.1.5. El colaborador debe alertar, de manera oportuna y adecuada, cualquier incidente que atente
contra lo establecido en las políticas de seguridad a su jefe inmediato, quien deberá
reportarlo con el Oficial de Seguridad mediante un correo, de manera que se adopten las
medidas correspondientes para evitar su repetición.
6.1.6. Los proveedores o terceros involucrados en el manejo de información de la compañía, debe
firmar un Acuerdo de Confidencialidad, que los hace responsables directos ante manejos
indebidos de dicha información.
6.1.7. La compañía se reserva el derecho de revocar el privilegio de acceso a cualquier sistema
de la información, en cualquier momento y siempre que se percate el uso inadecuado de
la información por parte de los usuarios.
6.1.8. Los accesos a los proveedores deberán ser gestionados por el colaborador responsable
del servicio con el oficial de seguridad.
6.1.9. Los conocimientos, aportes y/o tecnologías desarrolladas durante la vinculación laboral del
colaborador quedan como patrimonio exclusivo de QUIMICA SUIZA S.A.C, a la culminación
de la relación laborar entre el colaborador y la Compañía.
6.2. Confidencialidad de la Información
6.2.1. Los colaboradores nuevos, deberán firmar el Acuerdo de Confidencialidad de información
que les será entregado por Gestión Humana al inicio del vínculo laboral.
6.2.2. Los colaboradores están obligados a mantener en reserva todo documento, información
o material que es considerado como información confidencial de QUIMICA SUIZA S.A.C. En tal
sentido, no podrán publicar, usar, disponer para sí o para terceros, comercializar, ceder,
vender, compartir, donar o realizar cualquier otra forma de transferencia a favor de
terceros, ningún documento, información, instrumento, aportes, adquisiciones o
conocimientos que se señalan a continuación: base de datos en general, datos personales,
desarrollo de software, proyectos, estrategias, indicadores de gestión, información relativa
a ventas, compras, costos, negociaciones, socios estratégicos, proveedores, colaboradores,
clientes y demás información de similar naturaleza.
6.2.3. Sólo podrán tener acceso a la información referida en el párrafo anterior, aquellos
colaboradores que requieran de dicha información para el cumplimiento de sus funciones.
Dichos colaboradores deberán utilizar la información única y exclusivamente para tales
fines, para lo cual deberán firmar un acuerdo de confidencialidad el cual será entregado al
oficial de seguridad de la información para su validación y posterior a ello el encargado del
Motivo de banco deSolicitado
descarga: datos personales ejecute
por Oscar lo que desee utilizar.
Gonzalez
[Link] realiza Es responsabilidad de LUIS
cadaLUJAN
área, CHAVEZ
el destruir los documentos con información interna y
Copia No Controlada

C o p i a r e a l i z aconfidencial
d a e l : 0 6 / 0 9 /impresos que ya no sirven, usando algún mecanismo de eliminación para evitar
Usuario la copia: RENZO
2021
Número de Copias: manipulación,
1 lectura de la información y reutilización.
6.3. Seguridad Física y del Entorno
6.3.1. Los colaboradores deberán portar su fotocheck de identificación mientras se encuentre en las
instalaciones de la compañía. Se debe de notificar inmediatamente al personal de seguridad
si se encuentra un visitante no acompañado.
Documento confidencial e interno; verificar si corresponde a la versión vigente publicada.
En caso de distribución externa, solicitar autorización al área de Procesos.
 Código: Página: Versión:
Política: Seguridad de la Información
QS-GSE-SEGU-PT002 3 de 7 1

6.3.2. Los colaboradores deberán dejar sus equipos apagados o en suspensión luego de terminar
sus labores. Toda excepción deberá comunicarse a las áreas pertinentes.
6.3.3. Los colaboradores que vengan a trabajar fuera del horario de oficina, fin de semana o feriado
deberán ser registrados por el personal de seguridad.
6.3.4. El ingreso de visitantes y proveedores a las instalaciones de la compañía debe ser
coordinado entre el área de negocio involucrada, el personal de seguridad y recepción.
6.3.5. El ingreso a la sala de cómputo deberá contar con la autorización de la gerencia de TI y deberá
quedar registrado en el control de ingresos.
6.3.6. Todo documento físico clasificado como confidencial (datos personales, contratos,
presupuestos, etc.) deberá ser almacenado en armarios, archivadores u otros elementos
ubicados en áreas en las que el acceso esté protegido con puertas de acceso dotadas de
sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas áreas deberán
permanecer cerradas cuando no sea preciso el acceso a los documentos. Las personas que
deseen tener acceso al material confidencial deberá solicitar previamente autorización al
encargado de la custodia de dicha información, quien es responsable de llevar un control de
visitas, registrado manual o digitalmente.
6.4. Equipos Portátiles
6.4.1. Todo computador portátil que pertenezcan a QUIMICA SUIZA S.A.C deberá contar con un
candado de seguridad para evitar robos.
6.4.2. Los colaboradores que necesiten utilizar algún equipo móvil deberán pedir un formato de
solicitud al área de TI que será remitido con la autorización de su Gerencia.
6.4.3. La responsabilidad de los colaboradores sobre el uso de los computadores portátiles y la
información contenida en ello, se prohíbe el uso compartido con personas ajenas a la
compañía.
6.4.4. Es responsabilidad del colaborador la seguridad física de los equipos portátiles asignado,
dentro y fuera de las instalaciones de QUIMICA SUIZA S.A.C.
6.5. Uso de Recursos Informáticos y traslado
6.5.1. La solicitud de un recurso informático (software o hardware) deberá ser enviada al área de
TI, mediante un correo y ser aprobado por su Gerencia.
6.5.2. Está prohibido la instalación de cualquier software que no sea parte del equipamiento que
entrega el área de Tecnología de la Información, la instalación de un software diferente,
deberá ser solicitado a Mesa de Ayuda, con la autorización previa del jefe responsable del
área.
6.5.3. Los colaboradores solo deberán utilizar para fines laborales los recursos informáticos
asignados.
6.5.4. Está prohibido el traslado de equipos que no sean asignados al colaborador. En caso se
necesite movilizar algún recurso informático no asignado, deberá contar con una Guía de
Remisión y autorización del área de Tecnología de la Información.
6.6. Control de Accesos y uso de contraseñas
6.6.1. La solicitud de creación de usuarios (Red, Correo, aplicaciones, etc.) serán asignados de
acuerdo al cargo o función del solicitante y deberá ser autorizado por el jefe inmediato.
6.6.2. La creación de cuentas de usuario para acceder a servicios de red y recursos
Motivo de informáticos
descarga: es responsabilidad
Solicitado del área de TI.
por Oscar Gonzalez
[Link] realiza El acceso a proveedores o LUJAN
invitados a la red y servicios de QUIMICA SUIZA S.A.C debe
Copia No Controlada
Usuario la copia: RENZO LUIS CHAVEZ
C o p i a r e a l i z aser
d a esolicitado
l : 0 6 / 0 9 / 2 0mediante
21 un correo y aprobado por la gerencia del negocio solicitante.
6.6.4. Los colaboradores no deben permitir que otra persona utilice las computadoras que se les
Número de Copias: 1

ha asignado, salvo que supervisen el uso de su computadora cuando se acepte que el personal
de Soporte TI, acceda física o remotamente al equipo.

Documento confidencial e interno; verificar si corresponde a la versión vigente publicada.

En caso de distribución externa, solicitar autorización al área de Procesos.
 Código: Página: Versión:
Política: Seguridad de la Información
QS-GSE-SEGU-PT002 4 de 7 1

6.6.5. Las credenciales de acceso a los recursos informáticos son personales e intransferibles
y solo deberán ser utilizadas en el equipo asignado o en otro equipo de la compañía, en casos
particulares previa autorización del responsable del equipo.
6.6.6. Toda acción hecha con las credenciales (usuario y contraseña) serán solo responsabilidad
del propietario de la cuenta. Por lo tanto, está prohibido el uso de las credenciales de otro
colaborador.
6.6.7. El desbloqueo deberá ser solicitado únicamente por el propietario de la cuenta o su Gerencia.
6.7. Uso de Servicios Ofimáticos.
6.7.1. Los colaboradores deberán solicitar la configuración de impresoras a su para luego solicitarlo
a servicios TI.
6.7.2. Es responsabilidad de cada área, destruir los documentos impresos sin uso que contenga
información interna y confidencial.
6.7.3. El área de TI realizará el mantenimiento de los recursos informáticos.
6.7.4. Se deberán retirar los documentos originales y copias del equipo (impresora, fotocopiadora,
scanner, etc.) inmediatamente después finalizada su copia o reproducción.
6.8. Uso de Servicios de Red e Intercambio de Información
6.8.1. Los colaboradores deben usar los servicios de red para acciones relacionadas exclusivamente
para el desempeño de sus funciones.
6.8.2. Las comunicaciones inalámbricas deben realizarse utilizando como mínimo un mecanismo
de autenticación y encriptación.
6.8.3. La Compañía se reserva el derecho de monitorear, desde su red privada, el uso de Internet
y restringir el acceso a páginas que vayan en contra de la ética, la moral, las leyes vigentes
o las políticas aquí establecidas.
6.8.4. Todos los equipos asignados a los colaboradores tendrán los puertos USB bloqueados.
El colaborador que necesite la habilitación del puerto USB, deberá presentar el formato
de solicitud a Mesa de Ayuda con la aprobación de su Gerencia.
6.8.5. La Compañía brindará un acceso mínimo a internet al iniciar sus actividades y solo se podrá
requerir un mayor acceso, mediante una solicitud debidamente justificada y autorizada por
su Gerencia.
6.8.6. Está prohibido compartir información de la Compañía con personas que no cuenten con
autorización previa y un Acuerdo de Confidencialidad suscrito entre las partes.
6.9. Uso de Correo Electrónico
6.9.1. Los colaboradores deberán utilizar exclusivamente el correo electrónico (office 365) y sus
aplicaciones para fines laborales.
6.9.2. Los colaboradores no deberán abrir correos de dudosa procedencia, este evento deberá
reportarse a mesa de ayuda.
6.9.3. Las únicas cuentas autorizadas para el envío de correo masivo, son aquellas que por la
naturaleza de sus funciones hayan sido creadas con este propósito específico.
6.9.4. Los usuarios deben borrar, sin abrir, todos los correos que procedan de cuentas que les sean
desconocidas.
6.9.5. No hacer uso de mensajería instantánea o redes sociales para compartir información de la
compañía.
Motivo de descarga: Solicitado por Oscar Gonzalez
Copia No Controlada
6.10. Protección contra Código Malicioso
Usuario que realiza la copia: RENZO LUIS LUJAN CHAVEZ
Copia realizada el: 06/09/2021
6.10.1.
Número Todos los
de Copias: 1 equipos de escritorio, móviles y servidores de la red de QUIMICA SUIZA
S.A.C y los proveedores de servicios, deberán contar un sistema efectivo de
antivirus que será administrado y gestionado por TI.

Documento confidencial e interno; verificar si corresponde a la versión vigente publicada.

En caso de distribución externa, solicitar autorización al área de Procesos.
 Código: Página: Versión:
Política: Seguridad de la Información
QS-GSE-SEGU-PT002 5 de 7 1

6.10.2. Los proveedores o personal externo que tenga equipos y que necesiten conectarse a la red
de QUIMICA SUIZA S.A.C deberá contar con un software de antivirus autorizado por el área de
TI.
6.10.3. Es responsabilidad de los colaboradores de QUIMICA SUIZA S.A.C validen que todos los
medios de almacenamiento (Ej. USB, CD, DVD, etc.) sean analizados con el antivirus
provisto por la empresa antes de procesarlos en los computadores personales.
6.11. Protección contra Malware
6.11.1. Es responsabilidad de los colaboradores de QUIMICA SUIZA S.A.C la descarga y ejecución
de ficheros, instaladores, programas y/o contenidos que previamente no hayan sido
analizados y homologados por el área de TI, considerar que las descargas de lo antes
mencionado son potencialmente inseguras para la empresa.
6.11.2. Los colaboradores deberán utilizar únicamente el software permitido y convenientemente
actualizado por el área de TI.
6.11.3. Es responsabilidad el área de TI la mitigación, prevención, detección y eliminación de cualquier
tipo de software malicioso en los dispositivos y sistemas de la organización.
6.12. Pantalla y Escritorio Limpio
6.12.1. El colaborador deberá bloquear su computadora cuando se aleje de su sitio de trabajo.
6.12.2. Retirar o guardar la información sensible que tenga expuesta sobre el escritorio al
ausentarte del sitio o al retirarse de la oficina.
6.12.3. Al momento de retirarse, los colaboradores deberán dejar sus gavetas cerradas. No deberá
mantener, bajo ninguna circunstancia, información confidencial o cosas de valor sobre el
escritorio, salvo el caso de oficinas individuales que se dejen con puerta cerrada con llave.
6.12.4. No dejar expuesto en el escritorio, las credenciales a los diferentes sistemas asignados.
6.13. Respaldo y Retención de la Información
6.13.1. Toda la información de QUIMICA SUIZA S.A.C debe ser respaldado por medio de copias
de seguridad siguiendo el procedimiento adecuado según el componente. Esto incluye la
información de las estaciones de trabajo que cada responsable de área considere
necesario, previa coordinación con el área de TI para incluirlos en el procedimiento de
backup.
6.13.2. Es responsabilidad de los colaboradores de QUIMICA SUIZA S.A.C ubicar la unidad de red
referida únicamente al área al cual pertenece para que sea respaldada por al área de TI.
6.13.3. Ningún tipo de información referida a QUIMICA SUIZA S.A.C puede ser almacenada de forma
exclusiva en los discos duros de las estaciones de trabajo. Para estos casos es responsabilidad
de cada usuario replicar la información en las unidades de red asignadas al área.
6.13.4. Es responsabilidad del área de TI definir los periodos de retención y frecuencia de los backups
que garanticen la continuidad de las operaciones y la consulta historia de su información.
6.13.5. Toda restauración de datos en producción debe ser autorizada por la unidad de TI.
6.13.6. Es responsabilidad del área de TI garantizar a QUIMICA SUIZA S.A.C que se estén
recogiendo de forma adecuada los backups de información que garanticen de los servicios
de la plataforma tecnológica.
6.14. Gestión de Vulnerabilidades
6.14.1.
Motivo El área Solicitado
de descarga: de Tecnología de la
por Oscar Información establecerá
Gonzalez la programación de revisiones de
vulnerabilidades regulares, como mínimo una vez al año;
Copia No Controlada y revisiones extraordinarias cuando
estas sean
Usuario que realiza solicitadas
la copia: RENZOoLUIS
el caso lo amerite.
LUJAN CHAVEZ
Copia realizada el: 06/09/2021
6.14.2.
Número El plan1 remediación del análisis de vulnerabilidades
de Copias: debe finalizar con un re-test que
compruebe el cierre de la brecha.
6.14.3. Las modificaciones de una aplicación para corregirla o alterarla por algún motivo (parches
de sistemas) deberán ser evaluados y probados antes de ser aplicados en los sistemas de
producción, teniendo en cuenta las posibilidades técnicas existentes en ese momento.

Documento confidencial e interno; verificar si corresponde a la versión vigente publicada.

En caso de distribución externa, solicitar autorización al área de Procesos.
 Código: Página: Versión:
Política: Seguridad de la Información
QS-GSE-SEGU-PT002 6 de 7 1

6.15. Protección de Datos Personales

6.15.1. Queda prohibida la recopilación, almacenamiento, tratamiento o entrega de datos
personales de los clientes, colaboradores, postulantes y proveedores sin la autorización
del titular del dato personal, siempre que no haya expresado su consentimiento al momento
de iniciar las relaciones laborales, contractuales, etc.
6.15.2. Los colaboradores nuevos, deberán firmar la declaración de consentimiento del uso de los
datos personales declarados en la Ficha de Datos Personales entregado por Gestión
Humana.
6.15.3. La entrega o transferencia de datos personales a proveedores deberá ser autorizado por el
titular del dato personales.
6.15.4. No se deben utilizar los datos personales para finalidades distintas a las que motivaron su
recopilación, de requerirse ello, deberá solicitarse la autorización para uso distinto a lo
aprobado, por parte del titular del dato personal.
6.15.5. Todo contrato con proveedores que involucre la recopilación, almacenamiento, tratamiento
o entrega de datos personales, debe tener una cláusula de protección de datos personales.
6.15.6. Se deberán suprimir los datos personales cuando hayan dejado de ser necesarios para la
finalidad para la cual hubiesen sido recopilados, hubiese vencido el plazo para su tratamiento,
el titular de los datos personales revoque su consentimiento, o se produzca algún otro
supuesto de cese de tratamiento.
6.15.7. Los procesos internos involucrados en el tratamiento de datos personales deben ser
adecuados y cumplir los requisitos y normas establecidas en la Ley N°29733 – “Ley de
protección de datos personales” y su reglamento, incluido el cumplimiento de obligaciones
formales tales como la inscripción en el Registro Nacional de Protección de Datos Personales
de los bancos de datos personales y; de ser el caso, de las comunicaciones de flujo
transfronterizo.
6.16. Seguridad en las comunicaciones
6.16.1. El área de TI es el responsable de proteger el canal de transmisión de la información, utilizando
criptografía, firmas digitales, cifrados, protocolos, métodos y/o algoritmos de encriptación para
que tanto el emisor como el receptor tengan la capacidad de entender el contenido del
mensaje manteniendo la integrad de la información
6.17. Cumplimiento y Mejora Continua
6.17.1. Los diferentes aspectos contemplados en este documento son de obligatorio cumplimiento
para todos los colaboradores, terceros y proveedores. En caso se violen las políticas de
seguridad ya sea de forma intencional o por negligencia, QUIMICA SUIZA S.A.C tomará las
acciones disciplinarias y legales de acuerdo al Reglamento Interno de trabajo, a fin de
sancionar el incumplimiento de las leyes, estatutos, regulaciones u obligaciones
contractuales que se relacionen con los controles de seguridad.
6.17.2. Asegurar el cumplimiento de la legislación, reglamentación y normativas aplicables, así como
todos aquellos requisitos que la Compañía considere oportuno llevar a cabo para mantener un
adecuado nivel de gestión de la Seguridad de la Información, que le permita conseguir una
mejora continua de su actuación.
7. Control de Versiones
Versión Fecha de Descripción del cambio Solicitante
publicación
V.01Copia No Controlada
09/06/2018 Creación de la Política Seguridad de la
Motivo de descarga: Solicitado por Oscar Gonzalez

Usuario que realiza la copia: RENZO LUIS LUJAN CHAVEZ Información

V.02Número de25/06/2020 Mantenimiento de Política Gary Joel Navarro
Copia realizada el: 06/09/2021
Copias: 1
Rojas
1 11/06/2021 - Conversión del documento por carga
inicial al sistema destino ISOtools.
- Cambio de encabezado.
- Cambio de código y baja de la Procesos y M. Continua
Documento confidencial e interno; verificar si corresponde a la versión vigente publicada.
En caso de distribución externa, solicitar autorización al área de Procesos.
 Código: Página: Versión:
Política: Seguridad de la Información
QS-GSE-SEGU-PT002 7 de 1

Versión Fecha de Descripción del cambio Solicitante

publicación
codificación antigua [Link].003
V01.
8. Anexos
No aplica.

Motivo de descarga: Solicitado por Oscar Gonzalez

Copia No Controlada
Usuario que realiza la copia: RENZO LUIS LUJAN CHAVEZ
Copia realizada el: 06/09/2021
Número de Copias: 1

Documento confidencial e interno; verificar si corresponde a la versión vigente publicada.

En caso de distribución externa, solicitar autorización al área de Procesos.