Plusoft está certificada con ISO27001 desde 2017, y ya en 2023 nos recertificamos en la nueva versión de la norma ISO27001/2022. Cumplimos con los 93 controles establecidos en la norma que nos garantiza la madurez de todo nuestro proceso de Seguridad.

Por trabajar con soluciones basadas en tecnología, reconocemos los riesgos asociados a posibles filtraciones o pérdidas de información. Por este motivo, dedicamos una atención especial a todos los aspectos que involucran la seguridad de la información de datos. Además de operar en conformidad con la legislación vigente, incluyendo la Ley General de Protección de Datos (LGPD, ley 13.709/2018), implementamos una serie de procedimientos formales para identificar y mitigar potenciales amenazas. De esta forma, creamos procesos rígidos en nuestras actividades por medio de la adopción de una variedad de políticas internas, las cuales son constantemente revisadas y actualizadas. Son ellas:

Política de Seguridad de la Información PSI: esta política se aplica a toda la organización y tiene como objetivo evitar el uso indebido y la destrucción o divulgación no autorizada de las informaciones de propiedad de Plusoft. Tiene como finalidad garantizar la continuidad del negocio y maximizar el retorno sobre las inversiones y las oportunidades;

Política de Seguridad de la Información en la nube: creada para establecer directrices adicionales y específicas para la solución de relacionamiento con los clientes OMNI Plusoft – o cualquier otra solución bajo la gestión del área de Infraestructura, que es cliente del servicio en la nube. El documento orienta a los colaboradores a buscar la mejora continua en las actividades relacionadas con la planificación, ejecución, análisis de sus procesos/productos, protección de la seguridad de las informaciones generadas y el correcto funcionamiento del Sistema de Gestión de la Seguridad de la Información;

Política corporativa de privacidad: el propósito de este contenido es aclarar qué informaciones son recolectadas de los usuarios de nuestro sitio, de qué forma estos datos son utilizados y con quién son compartidos, buscando la mayor transparencia en la relación entre Plusoft y el usuario;

SOA-Declaración de Aplicabilidad: aclarar qué controles de la ISO27001/2022 adoptamos en nuestro modelo de negocio;

Plan de Comunicación de Incidentes: definición de procesos a seguir para la Comunicación entre Plusoft y sus clientes sobre incidentes;

Plan de continuidad de negocio: Plusoft Informática S.A. asume el compromiso de asegurar la continuidad del negocio en caso de ocurrencia de eventos anómalos que puedan comprometer el funcionamiento normal de su actividad, salvaguardando los intereses de sus clientes, de sus colaboradores y demás partes interesadas. Esta política se aplica a toda la organización;

Política corporativa de protección de datos: la protección de datos en el procesamiento de informaciones de nuestros clientes y consumidores representa hoy uno de los grandes activos a ser protegidos en nuestra estructura. Por ese motivo, en cumplimiento de la legislación relativa a la protección de datos, el Grupo Plusoft ha elaborado la presente Política Corporativa de Protección de Datos;

Política de escritorio y pantalla limpia: esta política busca dar conocimiento de las buenas prácticas tanto en el trabajo presencial, como en el teletrabajo, relacionadas con asegurar que informaciones sensibles, tanto en formato digital como físico, estén protegidas. Garantizando que activos (portátiles, teléfonos móviles, tablets, etc.) no sean dejados desprotegidos en espacios de trabajo personales o públicos cuando no están en uso. O cuando alguien deja su área de trabajo, sea por un corto período de tiempo o al final del día.

Ebook Seguridad de la Información – Sepa cómo Plusoft protege los datos de clientes, colaboradores y socios.

Y contamos con otros documentos internos que garantizan la madurez de todo nuestro proceso.

Norma de Gestión de Cambio: el objetivo de esta norma es proporcionar las directrices para el proceso de Gestión de Cambio de Plusoft, atendiendo los aspectos técnicos, organizacionales y los de Seguridad de la Información. Con esta política, queremos obtener transparencia y seguridad en las rutinas de trabajo, mitigando los riesgos e impactos en el proceso de actualización de los artefactos o componentes de los activos de la infraestructura de la solución de relacionamiento con los clientes – o cualquier otra solución bajo la gestión del área de Infraestructura;

Plan de Concientización: este Plan tiene como objetivo definir el programa de acciones de concientización de Seguridad de la Información a todos los colaboradores de Plusoft;

Política interna de sanción disciplinaria: el objetivo de esta política consiste en dar conocimiento y orientar sobre las penalidades, en caso de incumplimiento, de las directrices de Seguridad de la Información y al Código de Ética y Conducta. Para, así, garantizar que todos los involucrados compartan la responsabilidad por los procesos de seguridad y aseguren la integridad, disponibilidad y confidencialidad de los activos de información. Buscando la mejora continua en las actividades relacionadas con la planificación, ejecución, análisis de los procesos/productos y protección de la seguridad de las informaciones generadas;

Metodología de mejora continua: definición de las directrices de ejecución periódica de un proceso de mejora continua, que busca mejorar los controles existentes o la viabilidad de nuevos controles, mitigando las amenazas y los riesgos identificados;

Metodología de análisis de riesgo: proporcionar las directrices del proceso de gestión de riesgos de la Seguridad de la Información, atendiendo a los requisitos de un sistema de gestión de seguridad de la información (SGSI) de acuerdo con la ABNT NBR ISO/IEC 27001. La metodología define los criterios de identificación y evaluación de riesgos, así como documentar los resultados, válidos y consistentes, de los criterios de aceptación de riesgos e identificar a los responsables;

Norma de Gestión de Human Experience: esta norma define las directrices del proceso de selección, contratación, movimiento y desvinculación de los colaboradores sobre gestión del área de infraestructura o ambiente corporativo de Plusoft;

Norma de Desarrollo Seguro: busca garantizar una gestión eficiente del proceso de desarrollo y homologación de software, considerando los requisitos de adquisición, desarrollo y mantenimiento de sistemas de información abordados en la norma ISO 27001;

Norma de Gestión de Actualizaciones: esta norma tiene como objetivo definir las directrices para la gestión de actualizaciones, correcciones y vulnerabilidades de los activos, a fin de evitar la explotación de vulnerabilidades técnicas;

Norma de Gestión de Operaciones: esta norma tiene como objetivo definir las reglas y procedimientos para monitoreo, capacidad de operación y administración de ambientes y sistemas de tecnología de la información;

Norma de Seguridad Física y del Ambiente: este documento proporciona las directrices para la gestión de accesos de la solución de relacionamiento con los clientes. La norma también instituye reglas para el acceso físico a ambientes y áreas que contengan informaciones y otros activos asociados, atendiendo a los requisitos de un sistema de gestión de seguridad de la información (SGSI). De esa forma, garantizamos que solo personas autorizadas tengan acceso a datos cuando sea necesario, evitando el acceso no autorizado, daño o interferencias a los sistemas de informaciones o áreas de tratamiento de informaciones;

Norma de Gestión de la Información Documental: el objetivo de esta norma es proporcionar las directrices para la gestión de documentos de Plusoft, atendiendo a los aspectos técnicos, organizacionales y de seguridad de la información;

Norma de dispositivos Endpoint: esta norma complementa la Política de Seguridad de la Información para el ámbito específico de reglamentar el uso de dispositivos endpoint;

Norma de uso aceptable de activos: esta norma define las reglas y procedimientos para identificar, tratar y clasificar los activos de la organización que están bajo propiedad o custodia de Plusoft;

Norma de seguridad en las comunicaciones: definición de las reglas y procedimientos de seguridad en las comunicaciones que involucran los activos de la organización, con el principal objetivo de mitigación de riesgos al ámbito de los cuales los activos estén involucrados;

Norma de Gestión y Clasificación de la información: definición de las reglas y los procedimientos de clasificación de la información, documentación y registros. Para, así, asegurar que las informaciones de propiedad de Plusoft, o que estén bajo su custodia, reciban un nivel adecuado de protección y sean, de acuerdo con el grado de confidencialidad, garantizadas por la confidencialidad, integridad y disponibilidad;

Norma de relacionamiento con proveedores y prestadores de servicios: mantenimiento del nivel acordado de seguridad de la información en las relaciones con proveedores y prestadores de servicios;

Norma de Gestión de Eventos de Seguridad de la Información: proporcionamiento de directrices para el proceso de Gestión de Incidentes, atendiendo a los requisitos del Sistema de Gestión de Seguridad de la Información (SGSI) de acuerdo con la ABNT NBR ISO/IEC 27001;

Norma de control de acceso: este documento proporciona las directrices necesarias para la gestión de accesos a la solución de relacionamiento con los clientes, atendiendo a los requisitos de un sistema de gestión de seguridad de la información (SGSI). Garantizando de esa forma que usuarios autorizados obtengan acceso cuando sea necesario, evitando el acceso no autorizado a los sistemas de informaciones;

Norma de Trabajo Remoto: protección de las informaciones accedidas, tratadas o almacenadas fuera de las instalaciones;

Plan de Auditoría: establecimiento del programa de auditorías internas a intervalos planificados, proporcionando informaciones sobre cómo mantener un programa de auditoría, incluyendo la frecuencia, métodos, responsabilidades, requisitos de planificación e informes. Este programa de auditoría tiene en cuenta la importancia de los procesos pertinentes y los resultados de auditorías anteriores;

Manual del Sistema de Gestión de Seguridad de la Información: este manual tiene por objetivo establecer las directrices y el funcionamiento del Sistema de Gestión de la Seguridad de la Información, orientando a sus colaboradores a buscar la mejora continua en las actividades relacionadas con la planificación, ejecución, análisis de sus procesos/productos y protección de la seguridad de las informaciones generadas;

Análisis de Impacto: identificar las actividades más relevantes en la Infraestructura de Producción y evaluar los impactos en casos adversos de contingencia o de desastre;

SOA-Declaración de Aplicabilidad: aclarar cuáles son los controles de la ISO27001/2022 que adoptamos en nuestro modelo de negocio y cuáles son los documentos que justifican la adopción o no de cada control.