Seguridad

Información sobre la protección de la información

Protección de la Información

Todo nuestro personal está cubierto por acuerdos de confidencialidad.Nuestro personal solo tiene acceso a los sistemas y funciones que necesitan para realizar sus tareas.Nuestro personal está sujeto a pautas y reglas, así como supervisado y monitoreado cuando accede a información específica del cliente.El acceso a su información almacenada está limitado a unas pocas personas en operaciones y soporte técnico. Otro personal de soporte solo puede ver su información cuando Ud. lo aprueba activamente, por ejemplo, a través de un caso de soporte. Cumplimos con todos los requerimientos legales y regulatorios requeridos.Visma Latam tiene amplias pautas de seguridad interna, revisiones de seguridad y una sólida organización de seguridad.

Gestión de Incidentes

Cuando se producen incidentes, contamos con un equipo especializado en incidentes de seguridad que proporciona la coordinación, gestión, comentarios y comunicación necesarios. También tienen la responsabilidad de evaluar, responder y aprender de los incidentes de seguridad de la información para asegurarse de que minimizamos el riesgo de que vuelvan a ocurrir. Si Ud. es un cliente, partner o proveedor puede reportar los incidentes de seguridad por medio de su contacto directo o a través de la mesa de ayuda.

Resumen sobre la Política de Seguridad de la Información – Versión 7 – Vigencia 06/06/2025

Las Políticas de seguridad de la información se basan en la norma ISO / IEC 27001: 2022 Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de la información - Requisitos (en adelante, ISO 27001).

El estándar contiene una Declaración de Aplicabilidad (SOA), que forma parte del Sistema de Gestión de Seguridad de la Información (SGSI) de Visma Latam. La SOA constituye políticas, procedimientos, procesos, procesos de toma de decisiones organizacionales y actividades dentro de las siguientes áreas de control de seguridad de la información en Visma Latam:

Organización

Personas

Físicos

Tecnológicos

Para mantener un nivel de seguridad y control de la información adecuado a los estándares de Visma Corporativo, Visma Latam ha implementado políticas, controles y procesos para cubrir las áreas de seguridad de la información que se describen a continuación.

Visma Latam ha implementado ISO 27001 como marco en la seguridad de la información para mantener y desarrollar un alto estándar en la gestión de la seguridad. ISO 27001 aborda acciones y medidas para preservar:

Confidencialidad
Asegurar que personas no autorizadas no puedan obtener acceso a datos que puedan ser objeto de abuso para dañar a los clientes, socios comerciales o empleados de Visma Latam

Integridad
Asegurar que los sistemas brinden información precisa y completa

Disponibilidad
Asegurar que la información y los sistemas relevantes estén disponibles y que los sistemas sean estables

Gestión de Riesgo en Seguridad de la Información
Un proceso de gestión de riesgos de seguridad de la información está integrado en los procesos de trabajo y las tareas diarias de los empleados y consultores externos. La gestión del riesgo de la información se controla y mejora continuamente.

La evaluación del riesgo de la información es una parte importante del proceso de gestión del riesgo de la información y el desarrollo del producto, y se realiza de acuerdo con un plan predeterminado. Para cada activo o clase de activos, la importancia del activo y su función para la organización se especifica desde el punto de vista de la confidencialidad, integridad y disponibilidad.

La evaluación del riesgo de la información se realiza de acuerdo con la Política de gestión de riesgos empresariales de Visma Latam.

Requerimientos de Seguridad
Organizacionales
- Políticas y procedimientos de seguridad documentados y revisados periódicamente.
- Gestión integral de riesgos de seguridad de la información.
- Realizar evaluaciones de riesgos al menos una vez al año y ante cambios significativos.
- Documentar y tratar los riesgos identificados según su criticidad y probabilidad.
- Inventario y clasificación de activos.
- Clasificación y etiquetado de la información según su sensibilidad.
- Gestión de accesos e identidades, con revisiones periódicas.
- Gestión de incidentes de seguridad, con procedimientos claros de reporte y respuesta.
- Seguridad en la cadena de suministros de la Tecnología de la información y comunicaciones, incluyendo evaluaciones de riesgos a proveedores.
- Cumplir con los requisitos legales, regulatorios y contractuales aplicables.
- Implementación de objetivos de seguridad anuales

Personas
- Inclusión de cláusulas de confidencialidad en contratos laborales y de terceros.
- Programas regulares de concienciación y formación en seguridad.
- Todos los empleados deben participar en programas de formación inicial y continua en seguridad de la información.
- Realización de campañas de concienciación sobre amenazas actuales (phishing, ingeniería social, etc.).
- Procesos disciplinarios en caso de incumplimiento.
- Políticas para trabajo remoto y teletrabajo seguro.
- Politicas de uso aceptable.

Físicos
- Control de acceso físico a instalaciones y áreas críticas.
- Protección de equipos y dispositivos contra robo, daño o acceso no autorizado.
- Monitoreo físico mediante CCTV o sistemas de alarma.
- Gestión segura de medios de almacenamiento y su destrucción segura al final de su vida útil.

Tecnológicos
- Restricción y control de acceso lógico a sistemas y aplicaciones.
- Autenticación multifactor para accesos críticos.
- Protección contra malware y software no autorizado.
- Copias de seguridad periódicas y pruebas de restauración.
- Seguridad de redes mediante firewalls, segmentación y monitoreo.
- Gestión de cambios en sistemas críticos.
- Uso de cifrado en tránsito y en reposo para información sensible
- Desarrollo y adquisición segura de software.    
- Realización de evaluaciones periodicas sobre los reuerimientos de seguridad de las aplicaciones
- Implementación Test de Seguridad Estático durante el ciclo de vida del Desarrollo
- Implementación Analisis de Composición del Software durante el ciclo de vida del Desarrollo
- Implementación Test de Seguridad Dinámico durante el ciclo de vida del Desarrollo
- Ejecucón de Test de Penetración periodicos en las aplicaciones desarrolladas
- Integración de los logs de las aplicaciones con el SIEM corporativo
- Implementacion de herramientas de monitoreo sobre la confirugación de infraestructura
- Adhesión a los principios de seguridad desde el diseño y por defecto para las aplicaciones desarrolladas    
- Implementación de mecanismos de autenticación fuerte en las aplicaciones desarrolladas

- Gestión y remediación de vulnerabilidades.
- Inteligencia sobre amenazas: Monitoreo y análisis continuo de amenazas emergentes y ajuste de controles.
- Continuidad de Tecnologias de la Información y Comunicaciones: Planes y pruebas de continuidad para sistemas críticos.
- Gestión de configuración: Registro y control de la configuración de sistemas para prevenir cambios no autorizados.
- Eliminación segura de información: Procedimientos para destrucción física o lógica de datos y dispositivos.
- Enmascaramiento de datos: Uso de técnicas para ocultar datos sensibles en ambientes de prueba o desarrollo.
- Prevención de fugas de datos (DLP): Implementación de soluciones y procedimientos para evitar la filtración de información.
- Monitoreo de actividades: Supervisión continua de eventos y actividades en sistemas críticos.
- Filtrado web: Restricción de acceso a sitios web no autorizados o riesgosos.