5.1.1 - política general de seguridad de la información

Política General de Seguridad de la Información

Clasificación del documento: Confidencial

Clave: SI-G

Versión del documento: 1.9

Fecha de última actualización: 09 de Febrero de 2007

Responsable del documento: Seguridad de la Información

Autorización para publicación: Vicepresidente Sr.

Autorización de acceso: Asociados de la Institución, proveedores que requieren acceso y con los que existe un acuerdo de confidencialidad

Adelante CONFIDENCIAL Página 1 de 11Programa de Seguridad de la Información, versión 1.16

“Este documento no podrá ser alterado y/o distribuido parcialmente y sólo podrá ser distribuido a personal autorizado”

ÍndiceÍNDICE................................................................................................................................................................2

OBJETIVO.........................................................................................................................................................3

ALCANCE..........................................................................................................................................................4

ANTECEDENTES.............................................................................................................................................5

1. ESTÁNDARES INTERNACIONALES Y REGULACIONES...............................................................................5

2. JUSTIFICACIÓN........................................................................................................................................6

RESPONSABILIDADES...................................................................................................................................7

CUMPLIMIENTO.............................................................................................................................................8

SANCIONES.......................................................................................................................................................9

CONTENIDO...................................................................................................................................................10

1. SOBRE CUESTIONES GENERALES...........................................................................................................10

2. SOBRE LA INFORMACIÓN......................................................................................................................10

3. SOBRE LA OPERACIÓN..........................................................................................................................11

4. Sobre los recursos informáticos...........................................................................................................11



ObjetivoEsta política general tiene como propósito definir la filosofía de Seguridad de la Información del el Banco. (al que en adelante nos referiremos en el presente documento y demás normatividad derivada del mismo como “la Institución”), con el fin de asegurar la operación de la Institución en lo relativo al uso de Tecnologías de Información, conforme a los requerimientos legales aplicables, las mejores prácticas y los intereses de la misma Institución y de sus clientes (a quienes en adelante se les denominará Usuarios Bancarios).



AlcanceEl presente documento aplica a toda la información generada, procesada o almacenada por medios electrónicos, como parte de la operación de la Institución.

Quedan incluidos todos los recursos informáticos involucrados en la operación de la Institución, incluidos aquellos que están en poder de proveedores y entidades con las cuales existe una relación.

También se contemplan las responsabilidades en materia de Seguridad de la Información por parte de asociados de la Institución, las entidades con las cuales la institución mantiene alguna relación y sus Usuarios Bancarios, con el propósito de proteger sus propios intereses y los de la Institución.

De igual forma, se contemplan las disposiciones de Seguridad de la Información para instituciones financieras que marca la legislación aplicable.



AntecedentesMediante escrito con fecha del 18 de agosto de 2006 presentado ante la Secretaría de Hacienda y Crédito Público (SHCP), las sociedades HF Banco Wal-Mart, S.A. de C.V, Arrendadora de Centros Comerciales, S. de R.L. de C.V. y Banco Wal-Mart de México, S.A. de C.V. – esta última controlada indirectamente por Wal Mart Stores Inc., empresa constituida bajo las leyes de los Estados Unidos de América- solicitaron a través de su representante legal, C. José Luis Rodríguez Macedo Rivera, que otorgue, de conformidad con la Ley de Instituciones de Crédito, su autorización para la organización y operación de una institución de banca múltiple, cuya denominación sería “Banco Wal-Mart de México Adelante, S.A.”.

Tras las comunicaciones pertinentes entre dichas entidades y la SHCP, y entre la SHCP y la Comisión Nacional Bancaria y de Valores (CNBV) y el Banco de México, quienes expresaron sus opiniones a la SHCP en esta cuestión, la SHCP resolvió el día 22 de noviembre de 2006, mediante resolución publicada en el Diario Oficial de la Federación, dar la autorización correspondiente.

En esta resolución, quedó establecido que la autorización a que se refiere estaba sujeta a una serie de condiciones que se incluyen en dicha resolución. Dentro de esta resolución, destacan los resolutivos sexto, fracción II, y séptimo. El resolutivo sexto, fracción II, establece la siguiente condición: “Banco Wal-Mart de México Adelante, S.A deberá contar con la infraestructura, incluyendo personal, y los controles internos necesarios para realizar sus operaciones, independientes de los que utilice Banco Wal-Mart de México SA. De C.V., o sus negocios afiliados o vinculados, tales como sistemas operativos, informáticos, contables y de seguridad”. Por su parte, el resolutivo séptimo se refiere a las visitas de inspección que la CNBV podrá practicar a la Institución, para verificar entre otras cuestiones las medidas de seguridad

Con el propósito cumplir con la legislación aplicable en la materia y mantener los altos estándares de calidad y el compromiso con sus clientes, mismos que siempre han caracterizado a Banco Wal-Mart y sus empresas afiliadas, la Institución, a través del área de Seguridad de la Información, desarrolló la presente Política General de Seguridad de la Información, así como un conjunto de políticas, procedimientos, estándares y guías, basándose en mejores prácticas y estándares de Seguridad de la Información internacionales.

1. Estándares internacionales y regulacionesLa presente política general y normatividad que de ella se derivan toman en consideración las mejores prácticas y estándares internacionales, entre los que se encuentran aquellos definidos por:

ISO/IEC 17799:2005 ISO/IEC 27001:2005 Control Objectives for Information and related Technology (COBIT) Information Technology Infrastructure Library (ITIL)



International Information Systems Security Certification Consortium [(ISC)2] National Institute of Standards and Technology (NIST) Common Criteria (CC) Payment Card Industry Data Security Standard (PCI DSS)

Así mismo, la presente política general y la normatividad que de ella se deriva se apegan a las regulaciones y leyes aplicables, que incluyen pero no se limitan a:

Código de Comercio Disposiciones de Carácter General Aplicables a las Instituciones de Crédito Ley de Instituciones de Crédito Manual de Seguridad y Protección “Tipo”, emitido por la SHCP Acuerdo Basilea II Sarbanes-Oxley Act of 2002 Gramm-Leach-Bliley Act (GLBA) Fair and Accurate Credit Transactions Act of 2003 (FACTA) Health Insurance Portability and Accountability Act (HIPAA)

2. JustificaciónLa presente política general se fundamenta en la legislación aplicable que regula aspectos de Seguridad de la Información en instituciones bancarias, y en particular, en las siguientes disposiciones que establecen como requerimiento la existencia de medidas de Seguridad de la Información dentro de estas instituciones:

Artículo 96 de la Ley de Instituciones de Crédito Artículo 12 de las Disposiciones de Carácter General Aplicables a las Instituciones

de Crédito



ResponsabilidadesEs responsabilidad del todo el personal de la Institución cumplir con la presente política y aquellas políticas, estándares y procedimientos derivados de la presente.

Las responsabilidades de los Usuarios Bancarios y entidades con las cuales la Institución mantiene alguna relación, en lo relativo a esta política y normatividad derivada de la misma, estarán indicadas en los contratos que éstos celebren con la Institución.

El área encargada de la Seguridad de la Información dentro de la Institución será responsable de diseñar, implementar y administrar controles para el cumplimiento con esta política general y la normatividad que de ella se deriva, ya sea directamente o a través de terceros.



CumplimientoEl área de Auditoria Interna, verificará la existencia de controles adecuados para el cumplimiento de la presente política.

Las autoridades competentes y unidades administrativas internas correspondientes vigilarán que esta política general, los controles implementados para su cumplimiento y la normatividad que se deriva de la misma, se apeguen a los requerimientos legales en materia de Seguridad de la Información para Instituciones Bancarias.



SancionesToda violación a esta política general o a las políticas, estándares y procedimientos derivados de la presente será objeto de las sanciones determinadas por la ley vigente en la materia así como los contratos y regulaciones internas que correspondan, los cuales incluyen pero no se limitan a:

Contratos comerciales Contratos laborales Acuerdos de confidencialidad Reglamentos y políticas internas

En los casos de violaciones a la legislación local y/o federal, los responsables serán acreedores de las sanciones que determinen las autoridades competentes con base en dicha legislación. Dichas leyes incluyen pero no se limitan a:

Código Penal Federal Leyes estatales Ley de Instituciones de Crédito Disposiciones de Carácter General Aplicables a las Instituciones de Crédito Código de Comercio



Contenido1. Sobre cuestiones generales

la Institución aplicará medidas de Seguridad de la Información para proteger sus intereses, el de sus Usuarios Bancarios y el de entidades con las cuales mantenga relaciones, así como para cumplir con la legislación aplicable.

la Institución contará con un área encargada de la administración, operación y demás actividades relacionadas con la Seguridad de la Información.

la Institución identificará y analizará y clasificará riesgos relativos a la seguridad de la información, y aplicará medidas de seguridad para minimizar estos riesgos, de acuerdo con su clasificación.

la Institución fomentará una cultura de Seguridad de la Información entre sus Usuarios Bancarios, su personal y entidades con las cuales mantenga relaciones.

la Institución requerirá a sus proveedores y entidades con las cuales mantenga alguna relación, que intervengan en la operación o procesamiento de información bancaria, mantengan niveles de seguridad adecuados y cumplan con la legislación aplicable en la materia de no ser así aplicará las sanciones correspondientes.

la Institución estandarizará el uso de términos y definiciones que se ocupen dentro de esta política y normatividad derivada de la misma, con el objetivo de evitar ambigüedad en su interpretación y mantener congruencia con términos utilizados por la legislación aplicable.

2. Sobre la información Toda información en poder de la Institución que esté relacionada con su operación

deberá ser clasificada de acuerdo a su nivel de importancia para el negocio, utilizando los criterios que marque la legislación aplicable o en su defecto criterios Institucionales.

Toda información en poder de la Institución que esté relacionada con su operación deberá contar con medidas de seguridad que protejan su integridad, confidencialidad, disponibilidad y autenticidad, siendo estas medidas congruentes con la clasificación y relevancia de la información.

Toda información confidencial de Usuarios Bancarios y otras entidades con las cuales exista algún tipo de relación, que esté en poder de la Institución, deberá protegerse adecuadamente y estar disponible en los términos que marcan la ley y los contratos y acuerdos correspondientes.

Toda información de los asociados que laboran en la Institución deberá estar disponible sólo para sus propietarios y para quienes les ha sido autorizado por la Institución, y ésta sólo deberá ser utilizada para los fines que la Institución autorice.

3. Sobre la operación la Institución aplicará medidas de Seguridad de la Información con el propósito de

asegurar la continuidad de las operaciones. la Institución aplicará medidas de Seguridad de la Información para prevenir,

identificar, controlar y solucionar incidentes de Seguridad de la Información que Adelante CONFIDENCIAL Página 10 de 11

Programa de Seguridad de la Información, versión 1.16“Este documento no podrá ser alterado y/o distribuido parcialmente y sólo podrá ser distribuido a personal autorizado”

pudieran afectar la operación, con base en lo que indiquen la legislación vigente y los análisis de riesgos correspondientes.

la Institución aplicará medidas de Seguridad de la Información que afecten lo menos posible a su operación, usando como criterios los índices de disponibilidad requeridos por la legislación aplicable y normatividad interna.

la Institución, dentro del ámbito de su competencia, hará lo posible para proteger la integridad, disponibilidad, confidencialidad y autenticidad de las comunicaciones que establezca con los Usuarios Bancarios y sean relevantes para la operación.

4. Sobre los recursos informáticos Ningún recurso informático propiedad de la Institución deberá ser utilizado para

propósitos distintos de los que la Institución le ha definido. Todo recurso informático propiedad de la Institución deberá estar protegido de

manera adecuada para preservar la integridad, disponibilidad y confidencialidad de sus funciones, de acuerdo a su importancia para la operación de la Institución.

El uso e ingreso de todo recurso informático que no sea propiedad de la Institución en instalaciones de la mencionada Corporación, deberá estar controlado.



5.1.1 - política general de seguridad de la información

Documents