Política de seguridad de la información

Última actualización: 21 de noviembre de 2023

Introducción

Propósito. El propósito de la Política de Seguridad de la Información en el NMSDC es establecer directrices, procedimientos y responsabilidades para garantizar la confidencialidad, integridad y disponibilidad de la información y los sistemas de información.
Alcance y responsabilidad. Esta política se aplica a toda la información y a todos los sistemas propiedad del NMSDC o gestionados por él, independientemente de dónde se encuentren. Esto incluye, pero no se limita a:
- Datos y sistemas electrónicos
- Registros en papel
- Instalaciones físicas
- Personal
Todos los empleados del NMSDC, empleados afiliados, contratistas y socios comerciales son responsables del cumplimiento de esta política. La dirección del NMSDC es responsable de aplicar y mantener los controles de seguridad descritos en esta política.

Controles de seguridad

El NMSDC ha implantado diversos controles de seguridad para proteger su información y sus sistemas. Estos controles incluyen:
- Control de acceso. El acceso a la información y a los sistemas está restringido exclusivamente a los usuarios autorizados.
- Cifrado de datos. Los datos confidenciales se cifran en reposo y en tránsito.
- Seguridad de la red. El NMSDC utiliza cortafuegos y otros dispositivos de seguridad de red para proteger sus sistemas de accesos no autorizados.
- Seguridad física. Las instalaciones físicas del NMSDC están protegidas por cámaras de seguridad, sistemas de control de acceso y otras medidas de seguridad física.
- Concienciación sobre la seguridad de la información. Los empleados del NMSDC y los empleados de las filiales deben completar la formación sobre seguridad de la información de forma periódica cuando se les ofrezca.

Control de acceso

Principios de control de acceso. La política de control de acceso del NMSDC se basa en los siguientes principios:
- Menor privilegio. Se concede a los usuarios el mínimo acceso necesario para desempeñar sus funciones.
- Hay que saberlo. Los usuarios sólo pueden acceder a la información y a los sistemas en función de sus necesidades.
- Separación de funciones. El acceso a la información y los sistemas críticos está repartido entre varios usuarios.
- Los usuarios son responsables del uso que hagan de la información y los sistemas del NMSDC.
Procedimientos de control de acceso. El NMSDC utiliza diversos procedimientos de control de acceso para aplicar los principios antes expuestos. Estos procedimientos incluyen:
- Cuentas de usuario. A todos los usuarios se les asigna una cuenta de usuario y una contraseña únicas.
- Roles de acceso. A los usuarios se les asignan funciones de acceso que definen la información y los sistemas a los que están autorizados a acceder.
- Revisiones de acceso. El acceso a la información y los sistemas se revisa periódicamente para garantizar que los usuarios siguen estando autorizados a acceder a la información y los sistemas que necesitan.
Autenticación de usuarios. El acceso a los sistemas y datos del NMSDC se controlará mediante métodos de autenticación sólidos, entre los que se incluyen:
- Nombre de usuario y contraseña
- Autenticación de dos factores (2FA)
Autorización. El acceso a la información y a los sistemas se basará en el principio del menor privilegio. Sólo se concederán a los usuarios y sistemas los permisos necesarios para el desempeño de sus funciones.
Gestión de cuentas de usuario. Las cuentas de usuario se crearán, modificarán y cancelarán de acuerdo con los procedimientos de gestión de cuentas de usuario del NMSDC. Las cuentas inactivas se revisarán periódicamente y se desactivarán o eliminarán según proceda.
Política de contraseñas.
- Requisitos de contraseña.
  - Los usuarios deben elegir contraseñas seguras que cumplan los siguientes criterios:
  - Una longitud mínima de al menos 8 caracteres.
  - Una combinación de letras mayúsculas y minúsculas, números y caracteres especiales.
  - Las contraseñas no deben basarse en información fácil de adivinar, como nombres o cumpleaños.
  - Las contraseñas no deben reutilizarse en un número determinado de generaciones.
- Cambios de contraseña. Los usuarios deben cambiar sus contraseñas con regularidad. La frecuencia de los cambios de contraseña debe definirse de acuerdo con la evaluación de riesgos de la organización y los requisitos reglamentarios.
- Compartir contraseña. Se prohíbe a los usuarios compartir sus contraseñas con nadie, incluido el personal informático o los supervisores. Las contraseñas son exclusivamente para uso individual.
- Recuperación de contraseñas. Se implantará un proceso seguro y autorizado para la recuperación de contraseñas. Este proceso confirmará la identidad del usuario antes de restablecer o recuperar una contraseña.

Clasificación y tratamiento de la información

Propósito. El NMSDC reconoce la máxima importancia de salvaguardar la confidencialidad de la información y los datos mantenidos dentro de nuestra organización. El NMSDC aplicará los controles de seguridad adecuados para proteger los datos en función de su clasificación. Esto incluye el cifrado, los controles de acceso y las evaluaciones periódicas.
Clasificación de la información. Todos los activos de información se clasificarán en función de su sensibilidad e importancia en las siguientes categorías:
- Información al público. información destinada a ser divulgada sin restricciones.
  Por ejemplo: Material de marketing, sitios web públicos y datos no sensibles.
- Información interna. destinados al uso interno de la organización.
  Por ejemplo: Políticas de empresa, informes internos, datos para los empleados.
- Información confidencial. datos sensibles que, si se manejan mal, podrían perjudicar a la organización o a las personas.
  Por ejemplo: Información personal de empleados y clientes, registros financieros, propiedad intelectual.
Obligación de proteger la información confidencial. Todos los empleados, contratistas, proveedores de servicios externos y cualquier entidad que acceda a los sistemas de información del NMSDC y sus afiliados están obligados a proteger y mantener la confidencialidad de la información clasificada como confidencial.
Control de acceso y mínimo privilegio. El acceso a la información confidencial se limitará únicamente al personal que necesite dicho acceso para fines empresariales legítimos. Los permisos de acceso se gestionarán de acuerdo con el principio del menor privilegio.
Acuerdos de confidencialidad. Los terceros contratistas, vendedores o proveedores de servicios que tengan acceso a la información confidencial del NMSDC deberán firmar acuerdos de no divulgación (NDA).
Formación y sensibilización. El NMSDC proporcionará programas de formación y concienciación para educar a los empleados y al personal de las filiales sobre la importancia de salvaguardar la información confidencial y las medidas de seguridad establecidas para protegerla.

El incumplimiento de esta declaración de confidencialidad y de la Política de Seguridad de la Información del NMSDC puede dar lugar a medidas disciplinarias, incluida la rescisión del Acuerdo, y podría acarrear consecuencias legales.

Al adherirse a estos principios de confidencialidad, el NMSDC demuestra su compromiso de mantener la confianza de las partes interesadas, los socios y las personas cuya información maneja.

Condiciones de uso de la base de datos

Propósito. Los siguientes términos y condiciones ("Términos") se aplican al acceso y uso por parte del afiliado del NMSDC Hub ("Base de datos"), que el NMSDC pone a su disposición. El uso de la base de datos por parte del afiliado implica la aceptación de estas condiciones. Si el afiliado no está de acuerdo con alguna de las condiciones estipuladas, deberá abstenerse de utilizar la base de datos.

Licencia y uso

Concesión de licencia. Sujeto al cumplimiento de estas Condiciones, el NMSDC concede al Afiliado una licencia restringida, no exclusiva, intransferible y rescindible para acceder y utilizar la Base de Datos para los siguientes fines:
- Búsqueda de MBE y gestión de clientes potenciales.
- Registro de miembros locales.
- Comunicaciones locales y nacionales con los afiliados.
- Oportunidades de contrato.
- Referencia de precalificación y certificación MBE.
- Elaboración de informes sobre los indicadores clave de rendimiento y otros informes detallados en el pliego de condiciones.

Restricciones

El acceso y la utilización de la Base de Datos se limitan a las actividades descritas en la Sección 1. Las siguientes acciones están estrictamente prohibidas:

Copia, reproducción o distribución no autorizadas de la base de datos o de su contenido
Realizar ingeniería inversa, descompilar o cualquier intento similar de discernir el código fuente de la Base de datos.
Utilizar la Base de Datos con fines ilícitos, poco éticos o malintencionados.

Credenciales de la base de datos

Credenciales de usuario individuales. Las credenciales de usuario se asignan a usuarios individuales y no deben compartirse. Está estrictamente prohibido compartir las credenciales de usuario.

El usuario no se hará pasar por ninguna persona o entidad, no declarará falsamente ni tergiversará de ningún otro modo su afiliación con ninguna persona o entidad, ni utilizará ninguna dirección de correo electrónico u otra información de contacto fraudulenta, engañosa o inexacta.
Responsabilidad. Los propietarios de credenciales de usuario son responsables de todas las actividades realizadas con sus credenciales de usuario asignadas.
Asignación de credenciales de usuario. Los administradores de credenciales de usuario sólo pueden asignar credenciales de usuario a personas autorizadas a recibir acceso en función de su relación con el NMSDC o de la relación de su empresa con el NMSDC.
Protección de credenciales de usuario. Las credenciales de usuario deben mantenerse confidenciales para evitar el acceso no autorizado al sistema.

Gestión de datos y privacidad

Copia/Descarga de datos. Los usuarios tienen estrictamente prohibido copiar o descargar detalles y datos de certificación de MBE y ponerlos a disposición de usuarios ajenos a su propia organización. Esto incluye la prohibición de añadir detalles de certificación a los datos del perfil del proveedor que se comparten a través de corporaciones o cualquier otra plataforma de terceros.
Marketing. Los usuarios no deben utilizar la información para comercializar productos o servicios.
Tratamiento de datos. Los usuarios deben tratar los datos con cuidado, asegurándose de que la información confidencial no se divulgue, pierda o ponga en peligro de forma inadecuada.
Confidencialidad de los datos. Los usuarios deben tratar toda la información a la que accedan dentro de la Base de Datos como confidencial y no deben revelarla a ninguna persona a la que el NMSDC no haya autorizado a recibirla.

Supervisión de bases de datos

El afiliado reconoce y acepta que NMSDC tiene derecho a supervisar el uso de la base de datos electrónicamente de vez en cuando y a revelar cualquier información según sea necesario o apropiado para cumplir cualquier ley, para operar la base de datos o para protegerse a sí mismo o a sus clientes.

Sanciones por uso indebido de detalles y datos de certificación de MBE

Limitación/Revocación del acceso. En caso de uso indebido, el NMSDC se reserva el derecho de limitar o revocar el acceso de un usuario a la Base de datos.
Finalización de la relación. El uso indebido de la Base de Datos puede dar lugar a sanciones, que pueden llegar a la rescisión del Acuerdo.

Exención de responsabilidad sobre la exactitud de los datos

El NMSDC hace todo lo posible para proporcionar datos exactos y actualizados en la base de datos. Sin embargo, el NMSDC no garantiza la exactitud, integridad o fiabilidad de la información proporcionada en el sistema.

Limitación de responsabilidad

El NMSDC no se hace responsable de ningún daño directo, indirecto, incidental, especial o consecuente derivado del uso de la base de datos por parte de los afiliados.

Enlaces de terceros. La Base de Datos puede contener enlaces a sitios web o recursos de terceros. El NMSDC no es responsable de la disponibilidad o el contenido de estos sitios externos y no se hace responsable de ninguna pérdida o daño derivado del uso de dichos recursos externos.

Política de acceso remoto

Propósito. La Política de Acceso Remoto rige el uso del acceso remoto a los sistemas de información y datos del NMSDC. El acceso remoto a los sistemas y datos del NMSDC se concederá únicamente al personal autorizado a través de conexiones seguras y cifradas y utilizando métodos de autenticación fuertes.
Requisitos de acceso remoto. Todos los activos de información se clasificarán en función de su sensibilidad e importancia en las siguientes categorías:
- El acceso remoto a los sistemas y datos del NMSDC se autorizará y concederá en función de las funciones y responsabilidades del puesto.
- Los usuarios remotos deben utilizar conexiones seguras y cifradas, como redes privadas virtuales (VPN) u otros métodos aprobados.
- Para el acceso remoto deben utilizarse métodos de autenticación fuertes, como la autenticación de dos factores (2FA).
Supervisión. Las sesiones de acceso remoto se supervisarán para garantizar la seguridad y el cumplimiento. Se notificarán e investigarán los intentos de acceso no autorizado.
Terminación. Los privilegios de acceso remoto se extinguirán al finalizar el contrato de un empleado o cuando el acceso ya no sea necesario para su puesto de trabajo.

Aplicaciones alojadas en la nube

Todas las aplicaciones alojadas en la nube deben ser aprobadas por NMSDC IT antes de ser utilizadas.
El acceso a las aplicaciones alojadas en la nube debe gestionarse a través del sistema de gestión de identidades y accesos (IAM) del NMSDC.
Las aplicaciones alojadas en la nube deben configurarse para utilizar un cifrado fuerte para todos los datos en reposo y en tránsito.
Las aplicaciones alojadas en la nube deben supervisarse periódicamente para detectar vulnerabilidades de seguridad.

Política de excepciones

Propósito. La Política de Solicitud de Excepciones define el proceso para solicitar excepciones a las políticas de seguridad de la información establecidas.
Procedimiento de solicitud de excepción. Los empleados o el personal autorizado pueden solicitar una excepción a una política de seguridad presentando una solicitud formal de excepción. La solicitud debe incluir detalles de la política que se quiere exceptuar, una justificación y una medida de seguridad alternativa propuesta.
Revisión y aprobación. Las solicitudes de excepción serán revisadas por el Responsable de Seguridad de la Información (ISO) y las partes interesadas pertinentes. Las excepciones podrán concederse, denegarse o estar sujetas a las condiciones que determinen el ISO y la alta dirección.
Todas las solicitudes de excepción, decisiones y documentación relacionada se conservarán a efectos de auditoría y cumplimiento.

Política de tiempo de inactividad

Propósito. La política de tiempo de inactividad describe los requisitos para cerrar automáticamente las sesiones de los usuarios tras un periodo de inactividad.
Ajustes de tiempo de espera. Las sesiones de usuario en los sistemas del NMSDC se configurarán para que se desconecten automáticamente tras un periodo definido de inactividad. El periodo de tiempo de espera será adecuado a la sensibilidad de los datos y sistemas a los que se accede.

Política de seguridad del correo electrónico

Propósito. La Política de seguridad del correo electrónico describe las directrices y las mejores prácticas para el uso seguro del correo electrónico en el NMSDC.
Cifrado de correo electrónico. Los correos electrónicos que contengan información sensible o confidencial deben encriptarse durante su transmisión. Los usuarios son responsables de utilizar las herramientas de cifrado de correo electrónico proporcionadas por el NMSDC cuando sea necesario.
Concienciación sobre el phishing. Los empleados recibirán formación y programas de concienciación para reconocer y denunciar los intentos de phishing. Los correos electrónicos sospechosos deben comunicarse al departamento de TI para su investigación.
Anexos. Hay que tener cuidado al abrir archivos adjuntos de correo electrónico. No deben abrirse los archivos adjuntos que no sean de confianza, y deben tratarse con precaución los archivos adjuntos de fuentes desconocidas.
Retención del correo electrónico. El NMSDC establecerá políticas de retención del correo electrónico para cumplir con los requisitos legales y reglamentarios. Los correos electrónicos deben archivarse y conservarse durante el periodo de tiempo especificado.

Conformidad

El NMSDC revisará y actualizará periódicamente estas políticas para garantizar que se ajustan a las leyes, reglamentos y normas del sector aplicables.

Ejecución

El incumplimiento de esta Política de Seguridad de la Información puede dar lugar a medidas disciplinarias, que pueden llegar hasta el despido o la rescisión del Contrato.

Cambios en la política

NMSDC se reserva el derecho de actualizar o modificar esta política en cualquier momento y por cualquier motivo. Cualquier cambio será efectivo inmediatamente, NMSDC lo notificará al Afiliado, y el Afiliado es responsable de revisar los cambios en la política y cumplirla.

Información de contacto

Si tiene preguntas o dudas relacionadas con estas Condiciones, póngase en contacto con el NMSDC en itsupport@nmsdc.org.

Certificación NMSDC

Programas MBE de alto crecimiento

Historias de la Red

El NMSDC moderniza la certificación con el NMSDC HUB

Conectar con empresas de minorías

Conectar con los diputados

Únete a la conversación sobre diversidad de proveedores 🔒

Marketing y ventas

Excelencia operativa

Formación en liderazgo ejecutivo

Acceso a capital y contratos

Conferencia e intercambio anuales

Eventos con firma

Calendario de actos de la Red

North Central MSDC: Evento vertical de la industria

Ohio MSDC: Gala de entrega de premios

Florida MSDC: Mesa redonda sobre diversidad de proveedores (SDR)

Afiliación corporativa

Afiliación Corporate Plus (MBE)

Apoye a NMSDC

Gobernanza del NMSDC

Operaciones del NMSDC

Nuestro impacto