Política de seguridad de la información

Establecer directrices y principios que aseguren que la Política de Seguridad de la Información de ORAEX garantice la confidencialidad, integridad y disponibilidad de todos los activos físicos y lógicos, asegurando que la organización cumpla con los requisitos de la norma ISO/IEC 27001:2022. Así como atender los objetivos de seguridad de la información establecidos en el MAN-SGSI-01 – Manual del Sistema de Gestión de la Información.

2. Definiciones

Seguridad de la información: preservación de la confidencialidad, integridad y disponibilidad de la información; adicionalmente, otras propiedades como autenticidad, responsabilidad, no repudio y confiabilidad también pueden estar involucradas.

Confidencialidad: que la información solo pueda ser accedida y visualizada por personas autorizadas, evitando su divulgación deliberada o accidental.

Integridad: que la información esté protegida contra modificaciones o destrucción deliberada o accidental por usuarios autorizados o no autorizados, garantizando la exactitud de la información de la organización.

Disponibilidad: que los activos y la información estén disponibles y accesibles para los usuarios autorizados cuando sea necesario.
Transparencia: informar a las partes interesadas sobre cómo se recopilan, procesan y protegen los datos personales.
Minimización de datos: recopilar y procesar únicamente los datos personales necesarios para finalidades específicas y legítimas.
Datos personales: cualquier información que identifique o pueda identificar a una persona.
Datos sensibles: información personal que revele origen racial o étnico, opiniones políticas, creencias religiosas, datos genéticos, biométricos, entre otros.

3. Alcance

Esta política se aplica a todos los colaboradores, prestadores de servicios, terceros y socios que procesan información de la organización, incluyendo datos personales de clientes, proveedores y colaboradores.

4. Condiciones generales

Las directrices de seguridad de la información son lineamientos que regulan la conducta y el comportamiento en relación con los temas de seguridad, detallando la Política de Seguridad de la Información y sirviendo de base para la creación de otras políticas y procedimientos.

Estas directrices están, y deben integrarse continuamente en los métodos de gestión de proyectos de ORAEX para asegurar que los riesgos de Seguridad de la Información sean identificados y considerados como parte de un proyecto. Esto se aplica a cualquier proyecto, independientemente de su propósito, por ejemplo, si se trata de un proceso crítico del negocio, de un proceso de Tecnología de la Información (TI), de gestión de recursos o de cualquier otro proceso de apoyo.

5. Compromiso de la Dirección con la Seguridad de la Información

La Dirección de ORAEX apoya activamente la Seguridad de la Información, proporcionando recursos para el Sistema de Gestión de Seguridad de la Información (SGSI), realizando análisis crítico del sistema de gestión, respaldando iniciativas y campañas internas de concienciación, reforzando su apoyo y destacando la importancia estratégica del SGSI como un diferencial competitivo para la compañía.

6. Roles y responsabilidades

Los roles y responsabilidades en la seguridad de la información se asignan para garantizar la protección y la gestión eficaz de los activos de información.

Todos los colaboradores, prestadores de servicios y terceros involucrados deben seguir las directrices de seguridad establecidas, mientras que el equipo de Seguridad de la Información es responsable de la definición, implementación y monitoreo de las políticas y controles de seguridad.

La dirección de la organización apoya y promueve la cultura de seguridad, garantizando la asignación de recursos y la alineación estratégica para la protección continua contra amenazas y vulnerabilidades.

Dirección ejecutiva: proporciona recursos y apoyo estratégico a la seguridad de la información, promoviendo una cultura organizacional de cumplimiento.
Director de Seguridad de la Información (CISO): responsable de implementar, monitorear y actualizar los controles de seguridad.
Responsable de Protección de Datos (DPO): garantiza el cumplimiento de la legislación y las regulaciones, y actúa como punto de contacto para cuestiones de protección de datos.
Colaboradores y terceros: siguen las directrices de seguridad establecidas en esta y otras políticas, y son responsables de la protección de la información bajo su custodia.

7. Gestión de riesgos

ORAEX lleva a cabo la gestión continua de los riesgos asociados a la seguridad de la información para identificar, evaluar y mitigar amenazas que puedan impactar la confidencialidad, integridad y disponibilidad de los activos de información. Los procesos y criterios detallados para la evaluación y el tratamiento de riesgos están definidos en la POL-SGSI-02 - Política de Gestión de Riesgos, que sirve como guía para asegurar un enfoque proactivo y eficaz en la gestión de los riesgos de seguridad de la información.

8. Tratamiento de datos personales

Todos los datos personales se tratan de conformidad con la legislación aplicable y respetando los derechos de los titulares. Los datos se recopilan, procesan y conservan únicamente durante el tiempo necesario para las finalidades definidas.

9. Derechos de los titulares de datos

La organización garantiza el cumplimiento de los derechos de los titulares de datos, incluyendo:

Acceso a la información sobre sus datos personales.
Rectificación de datos inexactos o incompletos.
Eliminación de datos, cuando sea aplicable.
Portabilidad de datos.

Restricción del tratamiento, conforme a lo previsto en la legislación.

10. Seguridad de recursos humanos

La admisión y/o contratación de colaboradores, homologación de consultores y prestadores de servicios debe estar precedida por la adhesión formal a los términos del proceso de onboarding de la empresa y, cuando corresponda, por mecanismos adicionales de protección legal o contractual, teniendo también como referencia los documentos POL-SGSI-07 – Recursos Humanos y Concienciación y PRO-SGSI-02 – Procedimiento de Reclutamiento y Selección.

Todos los colaboradores, consultores y prestadores de servicios deben recibir capacitación y concienciación sobre Seguridad de la Información en el momento de su contratación y de forma periódica durante su tiempo de prestación de servicios.
11. Sanciones disciplinarias

El incumplimiento de las directrices establecidas en esta política puede comprometer la integridad, la confidencialidad y la disponibilidad de los datos de la organización, generando riesgos significativos para el negocio. Por lo tanto, cualquier violación intencional o negligente de las normas de seguridad será evaluada y podrá resultar en sanciones disciplinarias, de acuerdo con la gravedad de la infracción y conforme a lo previsto en el PRO-SGSI-03 – CÓDIGO DE CONDUCTA vigente. Las medidas correctivas pueden incluir desde advertencias formales hasta, en casos graves, la rescisión del contrato de trabajo, además de posibles implicaciones legales previstas en la legislación vigente.

11. Propiedad de los activos

Los “Activos” caracterizan equipos y/o dispositivos que procesan y almacenan información corporativa, ya sea de ORAEX o de sus clientes.

El proceso de gestión de inventario de activos es realizado y administrado por el área administrativa y de recursos humanos de ORAEX. Algunos activos contratados para la ejecución de actividades laborales también cuentan con un inventario estructurado por el proveedor, de forma automática a través de la plataforma proporcionada por este, donde se dispone de toda la información necesaria para garantizar la gestión del entorno.

12. DIRETRIZES

12.1. Clasificación de la información

La información debe clasificarse para indicar su importancia y el nivel de protección necesario de acuerdo con su uso en los negocios de ORAEX, la relación con clientes, proveedores externos y requisitos gubernamentales.

Cualquier información exigida por ley o por un tribunal, autoridad gubernamental o reguladora, o en virtud de un contrato celebrado y reconocido entre ORAEX y terceros, solo podrá ser divulgada tras el análisis y consentimiento de la alta dirección o del área jurídica de ORAEX.

Es imprescindible que la información sea tratada adecuadamente durante todo su ciclo de vida, asegurando el nivel adecuado de protección. Los siguientes criterios deben considerarse para la definición de la clasificación de los datos:

Requisitos legales para garantizar la gestión y protección de los datos;
El compromiso de proteger los datos personales y sensibles de clientes, colaboradores y proveedores externos;
La protección de los negocios de ORAEX en el mercado para evitar pérdidas;
El valor que la información puede tener para otras empresas externas a ORAEX;
Interés intrínseco de los datos;
El costo de recuperación de los datos en caso de modificación o eliminación.

ORAEX adopta cuatro categorías de clasificación de la información, destacadas a continuación:

A) RESTRINGIDO

La información que requiera confidencialidad y tratamiento especial en ORAEX debe ser protegida contra alteraciones, divulgaciones, transferencias y accesos no autorizados. Debe estar disponible únicamente para las personas pertinentes y autorizadas a gestionarla, siempre que sea necesario. Requiere todos los esfuerzos de seguridad necesarios para su protección.

Son ejemplos de información crítica:

Datos personales sensibles, como información de salud, biometría, información de adolescentes y/o niños menores de 14 años, fotografías, afiliación sindical o política.

B) CONFIDENCIAL

La información que requiera confidencialidad absoluta en ORAEX debe ser protegida contra modificaciones no autorizadas y estar disponible únicamente para las personas pertinentes y autorizadas a trabajar con ella, cuando sea necesario. Requiere todos los esfuerzos de seguridad necesarios para su protección.

Son ejemplos de información confidencial:

• Cualquier información sobre los clientes de ORAEX.

• Datos Personales de Colaboradores y Proveedores Externos que deben ser protegidos por obligación legal, incluyendo datos de registro (DNI, pasaporte, etc.), situación financiera y movimientos bancarios.

Información sobre productos y servicios que revele ventajas competitivas de ORAEX frente al mercado.
Todo el material considerado estratégico de la organización por la Alta Dirección, como material impreso, almacenado en sistemas, en mensajes electrónicos o incluso en forma de conocimiento de negocio de la persona.
Declaraciones de salarios, pagos de honorarios y proyecciones, así como cualquier información de ORAEX, que no deben ser divulgadas al medio externo antes de su publicación por las áreas competentes.
Todos los tipos de credenciales de acceso (usuarios, contraseñas, frases, etc.) a sistemas, redes, estaciones de trabajo, dispositivos móviles y otra información utilizada en la verificación y autenticación de identidades. Esta información es personal e intransferible, y no debe ser compartida, bajo pena de sanciones administrativas.

C) USO INTERNO

La información de uso y acceso restringido a los colaboradores no debe ser divulgada fuera de ORAEX. Requiere esfuerzos de seguridad para evitar pérdidas, con especial atención a la integridad y disponibilidad de la información.

Son ejemplos de información de uso interno:

Informes, boletines, dictámenes, hojas de trabajo, hojas de cálculo y correspondencia interna de naturaleza no confidencial.
Información contenida en sistemas, mensajes electrónicos y procesos de trabajo que son utilizados por los colaboradores al ejercer sus funciones en ORAEX.
Información utilizada fuera de las instalaciones de ORAEX, relacionada con la actividad laboral y de naturaleza no confidencial.
Procedimientos y formularios.

D) PÚBLICO

Es información divulgada a los medios públicos, sin distinción. Requiere esfuerzos mínimos de seguridad, con especial atención a la disponibilidad de la información.

Son ejemplos de información de uso público:

Folletos comerciales y resultados financieros puestos a disposición del mercado.
Política de Calidad.
Política de Datos

Más información en el documento Cuadro Resumen de la Clasificación de la Información.

NOTA 1: la aplicabilidad de uso en la clasificación de la información también debe ser de conocimiento y uso para los proveedores de servicios y socios de negocios, cuando corresponda.

13. Etiquetado de la información

Los documentos controlados deberán ser rotulados de acuerdo con su clasificación. Esta actividad debe realizarse de la forma más adecuada para cada tipo de información. Ejemplos de formas de rotular la información:

Utilización de recursos del tipo “Encabezado y Pie de página” presentes en editores de texto;
Utilización de recursos de marca de agua;
Indicaciones visuales en pantallas de sistema.

Es importante que el método elegido para rotular determinada información sea adecuado y garantice que cualquier persona que obtenga acceso pueda identificar su clasificación.

14. Control de acceso

Todos los sistemas y activos lógicos poseen perfiles de autorizaciones mediante el documento Tabla RACI de los activos de información y el documento Gestión de Acceso Físico y Lógico.

Los Colaboradores son responsables de la utilización y eventuales usos inadecuados de los derechos de acceso y credenciales que les son asignados, siendo estos intransferibles.

Los colaboradores deben:

Mantener la confidencialidad, memorizar y no registrar las contraseñas en ningún lugar. Es decir, no divulgarlas a nadie y no anotarlas en papel.
Cambiar las contraseñas siempre que exista cualquier sospecha de que hayan sido comprometidas.
Seleccionar contraseñas de calidad que sean difíciles de adivinar.
Impedir el uso de su equipo por otras personas, mientras este contenga información de ORAEX y de sus clientes.
Bloquear siempre el equipo al ausentarse (Ctrl + Alt + Del).

15. Cláusulas de Confidencialidade

Las cláusulas de conocimiento, responsabilidad y confidencialidad relativas a la política y directrices de seguridad de la información tienen como objetivo alertar y responsabilizar a los colaboradores y prestadores de servicios de que el acceso y el manejo de la información deben restringirse estrictamente al ejercicio de la función o proceso que requiera dicha información, quedando prohibido su uso para cualquier otro propósito distinto al designado.

Colaboradores y Prestadores de servicios: el acuerdo de confidencialidad se enviará junto con el Contrato de Prestación de Servicios, el cual debe ser firmado por ambas partes y cuya existencia debe ser exigida.

15.1 Transferência de Informações

De acuerdo con el estilo de trabajo remoto de ORAEX, con el uso predominante de herramientas SaaS, la transferencia de información entre colaboradores, prestadores de servicios, socios y clientes ocurre, mayoritariamente, por medios digitales. Para garantizar la seguridad de estas transferencias, ORAEX adopta prácticas y herramientas que buscan proteger los datos contra accesos no autorizados, interceptaciones o alteraciones.

Toda la información intercambiada debe realizarse exclusivamente a través de canales autorizados, como correos electrónicos corporativos, plataformas de comunicación protegidas (Slack, Microsoft Teams) y sistemas SaaS debidamente homologados por la empresa.

Siempre que sea necesario, se utilizan mecanismos de protección como:

Lugares de almacenamiento que solo son accesados vía SSL y comunicación TLS;
Control de permisos y acceso basado en el perfil de usuario;
Autenticación multifactor (MFA);
Registro de logs y auditorías de acceso;

La transferencia de información a terceros debe realizarse de forma segura, preferiblemente respaldada por acuerdos de confidencialidad o contratos formales. Incluso en interacciones rutinarias, como el envío de datos por correo electrónico corporativo o a través de herramientas con control de acceso, es fundamental garantizar que los medios utilizados estén previamente autorizados y alineados entre las partes involucradas.

16. Derechos de propiedad intelectual

Todo producto o material resultante del trabajo y/o relativo a los proyectos de clientes de ORAEX, producido por los Colaboradores, Consultores Asociados, Pasantes o Socios de Negocio (sistema, documentación, metodología, entre otros), es propiedad de ORAEX y no puede ser compartido con terceros. En caso de finalización de la prestación de servicios o del contrato laboral, toda la información debe ser entregada a ORAEX y destruida de los equipos personales o de aquellos que no figuren en el inventario de activos.

Es responsabilidad del Colaborador, prestador de servicios y Socio de Negocios no compartir, divulgar o destruir cualquier producto resultante del trabajo ejecutado en ORAEX sin la debida autorización de la compañía.

En la homologación y/o contratación de servicios de Consultores, debe incluirse una cláusula contractual que asegure a ORAEX la propiedad de la información desarrollada o manejada durante la prestación del servicio. Para los demás productos resultantes de la prestación de servicios, como sistemas, metodología y documentación, debe existir una cláusula equivalente; sin embargo, se admite una situación diferenciada únicamente en el caso de que dichos productos sean objeto de condiciones negociadas específicamente.

17. Serviços de terceiros

Servicios tercerizados deben incluir:

Requisitos mínimos de seguridad de la información, incluyendo la confidencialidad, integridad y disponibilidad;
Una descripción del nivel de seguridad acordado;
Una descripción del derecho de ORAEX a realizar evaluaciones y/o auditorías a sus Proveedores y Prestadores de Servicios en cualquier momento.

18. Configuración y uso de equipos

Los equipos puestos a disposición por ORAEX deben clasificarse con el mismo nivel de seguridad de la información que almacenan. El uso de los equipos está restringido a los negocios y actividades de ORAEX, y solo pueden instalarse los softwares autorizados y licenciados de acuerdo con el documento "Lista de Softwares y Aplicativos", almacenado en el repositorio oficial para el acceso de todo el personal interno.

Los equipos portátiles y correos electrónicos se mantienen de forma cifrada.

Los equipos particulares / privados, como computadoras o cualquier dispositivo portátil o medios removibles que puedan almacenar y/o procesar datos (como pendrives, discos duros externos, celulares en función de almacenamiento y similares) utilizados para tratar información relacionada con el negocio de ORAEX, pueden ser permitidos y tratados como una excepción para el modelo de negocio.
Sin embargo, estos deben respetar estrictamente las directrices de los documentos:
POL-SGSI-08 - USO ACEPTABLE DE RECURSOS DE TI
POL-SGSI-20 - UTILIZACIÓN DE DISPOSITIVOS MÓVILES
Además, deben cumplir con todos los límites y controles descritos en la presente política de seguridad.

A los Consultores que utilicen equipos portátiles y/o dispositivos móviles, así como a los Colaboradores con información de ORAEX y de sus clientes, se les deben aplicar las siguientes orientaciones:

Tomar todas las medidas necesarias para mitigar el riesgo de robo o hurto de la computadora portátil. No dejarla desatendida en la oficina o en cualquier lugar público. Si es necesario dejarla sola, asegúrese de que esté sujeta a la mesa con un cable de seguridad. Si el periodo de ausencia es extenso, guárdela bajo llave en un armario, fuera de la vista de otras personas.

En caso de que tenga que viajar en automóvil, asegúrese de que la computadora portátil no esté a la vista. Colóquela en el maletero (portaequipajes) al iniciar el viaje.

Al viajar en avión, transpórtelos como equipaje de mano. Nunca los despache con el equipaje de bodega.

No utilizarlos en lugares públicos donde otras personas puedan visualizar la pantalla.
Si la computadora portátil es robada o se pierde, avisar inmediatamente a su superior jerárquico y formalizar un reporte policial (boletín de ocurrencia).

Los mismos principios son aplicables a otras computadoras portátiles, tales como: dispositivos móviles, smartphones y tablets corporativos, pendrives, discos duros externos y otros medios removibles.

En casos de mantenimiento de equipos, como computadoras portátiles, estos deben permanecer bajo la custodia de ORAEX o del proveedor contratado para el suministro del activo.
Antes de cualquier intervención técnica, el equipo debe pasar por un proceso de limpieza que incluya la eliminación segura de toda la información contenida en él. Cuando sea necesario, se debe gestionar la sustitución del equipo para garantizar la continuidad de la prestación de servicios.

19. Uso del correo electrónico

Para el intercambio de mensajes (correos electrónicos) relacionados con funciones de trabajo en ORAEX, se debe utilizar exclusivamente el sistema estándar de correo electrónico corporativo.

Los recursos de correo electrónico disponibles para el intercambio de mensajes deben ser utilizados por los colaboradores para fines de negocios, como apoyo al desempeño de sus funciones organizacionales.

La limitación del acceso y el monitoreo del correo electrónico es una prerrogativa de ORAEX, cuando considere que estos recursos se están utilizando de manera inadecuada, o que están afectando negativamente la disponibilidad y la productividad de los demás servicios que utilizan la red.

Los colaboradores deben tener en cuenta que los archivos de datos y cualquier otra información que se incluya en los correos electrónicos deben cumplir con los criterios de seguridad establecidos según su nivel de clasificación.
Esto incluye obtener la autorización del gestor de la información y la aplicación de cifrado para información confidencial, siempre que así lo determine el propietario de dicha información.

La transmisión de información de uso interno, crítico o confidencial a buzones de correo personales privados o particulares no está permitida. Esta regla se aplica a todo tipo de finalidad y destinatario, excepto en los casos de clientes que autoricen este tipo de envío a determinadas áreas de la Organización.

20. Aplicaciones corporativas

ORAEX cuenta con aplicaciones corporativas para el intercambio de información sobre base de conocimientos, información de mercado, asuntos internos aleatorios (no estratégicos), capacitaciones, entre otros. Todo ello conforme a lo orientado en el procedimiento de Onboarding del colaborador o prestador de servicios.

El intercambio de información relacionada con asuntos de ORAEX debe realizarse obligatoriamente a través de Microsoft Teams, Outlook (perteneciente al paquete Office 365), Autotask, ITGlue o Slack.

En este grupo están autorizados únicamente los participantes que estén clasificados como colaboradores, prestadores de servicios, socios de negocios y clientes.

O Administrador dessas ferramentas é área técnica de Cloud.

21. Almacenamiento en red

El almacenamiento de la información, datos personales y activos de clientes, colaboradores, consultores y proveedores externos debe realizarse únicamente en la red corporativa de ORAEX, la cual cuenta con los controles de seguridad adecuados para garantizar la confidencialidad, integridad y disponibilidad de los datos.
Las reglas de seguridad deben cumplir con los requisitos de la norma ISO/IEC 27001:2022 y con la Ley General de Protección de Datos (LGPD).

Solo los colaboradores autorizados podrán tener accesos administrativos y privilegiados, de acuerdo con el procedimiento PRO-SGSI-04 - CONCESIÓN Y REVOCACIÓN DE ACCESO.

22. Uso de controles criptográficos

Como se menciona en este documento, siempre que sea posible, se debe asegurar el uso efectivo y adecuado de cifrado para proteger la confidencialidad, autenticidad y/o integridad de la información.

23. Uso de medios removibles

Está prohibido el uso de medios removibles como pendrives, discos duros externos, celulares en función de almacenamiento y similares. Su uso solo se permitirá en situaciones de excepción y deberá ser autorizado formalmente por el líder del área técnica con la aprobación de la Dirección.

24. Descarte das Informações

La organización adopta prácticas de descarte seguro para garantizar que la información confidencial, sensible o personal no sea accesible tras el fin de su vida útil, evitando así riesgos de filtración o uso indebido.

En el contexto remoto y con el uso predominante de herramientas SaaS, el descarte seguro de información se aplica principalmente a:

Archivos digitales: deben ser eliminados de forma definitiva de los sistemas y herramientas cuando ya hayan sido utilizados para la actividad designada y no exista la necesidad de almacenarlos y, cuando sea necesario, mediante el uso de herramientas de sobrescritura segura, respetando las directrices de la LGPD y del ciclo de vida de la información, garantizando que: los datos solo se almacenarán mientras sean necesarios, que habrá un descarte seguro y definitivo, así como el respeto a la voluntad de los titulares en cuanto a la eliminación de los datos.
Equipamientos de TI: que son utilizados y proporcionados por ORAEX para la prestación de servicios, deben pasar por un proceso de limpieza segura antes de ser descartados, reutilizados o devueltos a terceros. Los usuarios deben evitar mantener datos locales en los equipos y priorizar el uso del almacenamiento en herramientas autorizadas por la empresa.
Documentos físicos: de forma orientativa, deben evitarse las impresiones que contengan datos sensibles. En caso de que existan, el descarte debe realizarse mediante fragmentación.

25. Escritorio limpio

ORAEX determina que:

Las informaciones de negocio sensibles o críticas, por ejemplo, en papel o formatos electrónicos, deben guardarse en un lugar seguro (caja fuerte, armario con llave, entre otros).
Los equipos (p. ej.: notebooks) deben mantenerse apagados o protegidos con mecanismos de bloqueo de pantalla y contraseña cuando no se estén utilizando.

26. Redes sociales

ORAEX está presente en diversas redes sociales públicas y privadas, con el propósito de interactuar digitalmente con sus clientes y no clientes, ofreciendo contenido informativo.

ORAEX promueve el uso, con sentido común, en el entorno de trabajo, de las redes sociales en las que ORAEX tiene presencia oficial, como forma de estimular la interacción y la colaboración. La adhesión, en nombre de ORAEX, a cualquier red social pública, privada o interna, así como el uso de la imagen de marca de ORAEX, no está permitida; se requiere una evaluación previa y la aprobación de la alta dirección para la activación de cualquier red social, ya sea pública o privada, así como para el uso de la imagen de las marcas de ORAEX.

Es deber de todos los colaboradores y prestadores de servicios conocer y aplicar las instrucciones de Clasificación de la Información. Cabe destacar que las recomendaciones son válidas tanto para el entorno físico como para el entorno virtual.

Toda y cualquier información considerada confidencial, tales como información de clientes, productos y ofertas de ORAEX, etc., que no haya sido previamente divulgada en alguno de los perfiles oficiales de ORAEX, no debe ser reproducida por los colaboradores, salvo mediante previa y expresa autorización de la alta dirección.

ORAEX se reserva el derecho de tomar las medidas pertinentes en caso de violación de su nombre, marca, imagen o de cualquier información confidencial.

La creación de perfiles en redes sociales públicas utilizando el nombre y/o la marca de ORAEX es una decisión estratégica, que deberá ser aprobada exclusivamente por la alta dirección, la cual es responsable de este tipo de iniciativas.

ORAEX no se responsabiliza por las informaciones, textos, documentos, comentarios y/u opiniones individuales de sus colaboradores y prestadores de servicios divulgados en las redes sociales, ni por la conducta o comunicación ocurrida entre sus usuarios; en caso de violación de derechos de cualquier miembro de ORAEX o de terceros, la responsabilidad recaerá exclusivamente sobre quien haya adoptado la conducta incompatible con la presente política o con las leyes vigentes, sin que se pueda vincular a ORAEX con ningún acto.

El documento PRO-SGSI-03 - Código de Conducta prevé orientaciones y sanciones sobre la conducta y postura de los colaboradores, proveedores y prestadores de ORAEX.

Si tiene conocimiento o dudas sobre un caso de violación al nombre, marca y/o imagen de ORAEX, se debe realizar una denuncia por escrito dirigida al correo electrónico compliance@oraex.com; el responsable identificará la necesidad de contactar a la Dirección y al departamento Jurídico para el conocimiento y seguimiento del caso.

27. Comunicación de incidentes de seguridad y de protección de datos personales

Es responsabilidad de todos informar de inmediato cualquier comportamiento o circunstancia sospechosa que amenace la integridad de los activos de la empresa o los recursos de procesamiento de información. En caso de que perciba alguna anormalidad, actividad fraudulenta o evento que configure un incidente de seguridad, siga las orientaciones previstas en la POL-SGSI-22 - GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN y la MATRIZ DE ESCALAMIENTO. De esta forma:

Evite tomar acciones arbitrarias como eliminar archivos desconocidos o reiniciar el sistema. El usuario no debe realizar ningún intento de corregir el problema, a menos que sea bajo la orientación directa de la alta dirección.

Tome nota de los eventos que le llevaron a creer que está ocurriendo un incidente, tales como: fecha, hora, sistemas, computadora o personas afectadas/involucradas.

Notifique inmediatamente los incidentes de Seguridad de la Información de Datos a través del correo electrónico incidentes.seguranca@oraex.com.
O e-mail compliance@oraex.com es un medio de comunicación para asuntos pertinentes a la Protección de Datos Personales, tales como reclamaciones, peticiones de los titulares, mitigación de riesgos y otros aspectos relacionados con el tratamiento de datos personales o sensibles.

El incumplimiento de algún punto de esta política, intencional o no, puede llevar al colaborador a ser sometido a sanciones disciplinarias o legales, dependiendo del caso. Ejemplos que pueden ocasionar sanciones:

Uso ilegal de software.
Introducción (intencional o no) de virus informáticos.
Intentos de acceso no autorizado a datos y sistemas.
Compartimiento de información sensible del negocio.
Recolección, procesamiento y almacenamiento indebido de datos personales.
Uso incorrecto de Internet, del correo electrónico, entre otros activos lógicos.

28. Gestão da Continuidade de Negócios

Las estrategias de gestión de la Continuidad del Negocio deben estar alineadas con los objetivos de negocio y con los sistemas de gestión adoptados en la organización.

La gestión de la Continuidad del Negocio debe enfocarse correctamente en las necesidades inherentes a la capacidad de recuperación, ser considerado y adecuadamente utilizado en todas las etapas de las operaciones y prácticas de negocio de ORAEX.

28.1. Estrategias de continuidad

Con el fin de garantizar la mejora continua, se realizarán, mediante pruebas, mantenimientos y evaluaciones de resultados, las posibles alteraciones en la Estrategia Corporativa.

La estrategia operativa de ORAEX debe incluir en su alcance acciones de gestión de crisis y continuidad operativa para las actividades críticas a corto plazo.

Las demás actividades verán su desempeño paralizado y/o su nivel de servicio reducido al mínimo necesario hasta el retorno a la nueva normalidad, de acuerdo con el escenario de indisponibilidad, actualmente desconocido. Los documentos que hacen referencia a este capítulo son el Plan de comunicación y la POL-SGSI-04 - CONTINUIDAD DEL NEGOCIO.

29. Contato com as Autoridades

Cuerpo de Bomberos al 193
SAMU (Servicio de Atención Móvil de Urgencia) al 192
Policía Militar al 190
ANPD – Autoridad Nacional de Protección de Datos Casa Civil de la Presidencia de la República
- Teléfonos: (61) 3411-1345 - (61) 3411-1345
- Correo electrónico: imprensaccivil@presidencia.gov.br
- Sitio web de la ANPD

Contacto de grupos especiales

ORAEX establece contacto con grupos especiales de ciberseguridad como forma de mantenerse actualizada sobre tendencias, nuevas amenazas y tecnologías.

Mantenemos contacto con estos grupos especiales a través del correo electrónico incidentes.seguranca@oraex.com.

31. Monitoreo y auditoría

La conformidad con esta política y con los controles de seguridad es monitoreada y auditada periódicamente. Auditorías regulares garantizan que los controles sean efectivos y estén alineados con las prácticas recomendadas.

32. Melhoria Contínua

ORAEX busca mejorar continuamente su Sistema de Gestión, a través del análisis crítico, la identificación y el tratamiento de las no conformidades, riesgos, vulnerabilidades e incidentes de seguridad de la información.

Adicionalmente, el Comité de Seguridad busca adoptar las buenas prácticas del mercado y seguir las novedades en relación con la innovación, como por ejemplo, la nueva fase de la tecnología de Inteligencia Artificial y su aplicabilidad.

Los procesos y recursos necesarios para el Sistema de Gestión de Seguridad de la Información están asegurados por el compromiso de la alta dirección.

Validez de la Política

Esta política tiene validez indeterminada, hasta que sea formalmente sustituida, alterada o revocada por la organización. Cualquier revisión, actualización o sustitución será comunicada a todas las partes interesadas de manera clara y oportuna, garantizando la conformidad y el alineamiento con los objetivos institucionales y las exigencias legales aplicables. Además, las acciones de cambio serán debidamente registradas en el historial de revisiones al final del presente documento.

Se recomienda la revisión periódica de esta política, como mínimo una vez al año, o siempre que ocurran cambios significativos en los procesos internos, la legislación aplicable u otras condiciones relevantes que puedan impactar su eficacia. Durante estas revisiones, los responsables deberán considerar sugerencias de mejora, resultados de auditorías internas y externas, así como el feedback de las partes interesadas.

La versión vigente de esta política estará siempre disponible por medios accesibles a todos los colaboradores y demás partes interesadas, con el fin de asegurar la transparencia y el cumplimiento de las directrices establecidas. Documento adjunto en el repositorio oficial de la empresa ORAEX.

Versión	Motivo	Fecha de Publicación	Aprobado por
0	Creación del Documento	27/03/2025	Directoria
1	Cambio de alcance para SGSI	23/06/2025	Directoria

Descubre por qué ORAEX es el socio ideal para impulsar tu empresa con la tecnología.

Nuestra historia

Conformidad

Manifiesto

Código de conducta

Seguridad de la Información

Política de privacidad

Tecnología a medida para impulsar el rendimiento y la innovación de tu empresa.

Todas nuestras soluciones

CaaS

CCaaS

Gestión de suscripciones y facturación en la nube