1. Alcance
Esta política es de cumplimiento obligatorio para todas las personas y entidades que intervienen en la gestión de información vinculada a OLVA COURIER S.A.C.
| Grupo | Alcance de la obligación |
|---|---|
| Colaboradores de OLVA COURIER | Todo el personal, sin distinción de cargo, modalidad de contratación o ubicación geográfica, que acceda, procese o administre información de la empresa o de terceros. |
| Terceros y proveedores | Empresas de mensajería asociadas, operadores logísticos, proveedores de TI, consultores y cualquier tercero que, en virtud de un contrato o encargo, tenga acceso a información de OLVA COURIER. |
| Clientes, aliados comerciales y otros usuarios | En la medida en que utilicen plataformas digitales, sistemas o canales habilitados por OLVA COURIER y se les hayan comunicado los lineamientos de uso seguro de la información. |
La presente política aplica a todas las actividades, plataformas digitales, sistemas de información, equipos y soportes gestionados o utilizados por OLVA COURIER, orientados a proteger la confidencialidad, integridad y disponibilidad de la información propia y de terceros (clientes, colaboradores, proveedores, aliados, etc.).
2. Objetivo
OLVA COURIER considera la información (operativa, comercial, personal, logística, etc.) como un activo estratégico para el cumplimiento de su misión y la prestación de servicios de mensajería y logística a nivel nacional.
En esa línea, el objetivo de esta política es establecer los principios y compromisos que guían la gestión de la seguridad de la información:
| Compromiso | Descripción |
|---|---|
| Cumplimiento normativo | Ajustar el tratamiento de la información –incluyendo datos personales– a la Ley N.° 29733, su Reglamento y demás normativa aplicable en materia de seguridad de la información y protección de datos. |
| Protección de los activos de información | Resguardar la información crítica de los procesos del negocio (operaciones, clientes, rutas, sistemas, etc.), preservando su confidencialidad, integridad y disponibilidad. |
| Gestión de riesgos e incidentes | Identificar, evaluar y controlar los riesgos asociados a la seguridad de la información, así como gestionar los incidentes que se puedan producir, documentándolos y adoptando medidas correctivas. |
| Protección de datos personales y datos críticos | Implementar medidas para evitar la adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento de los datos personales y de la información sensible para la empresa. |
| Continuidad del negocio | Proteger la información y la infraestructura tecnológica que la soporta como parte de la estrategia de continuidad operativa de OLVA COURIER. |
| Cultura de seguridad | Promover en colaboradores y proveedores una cultura orientada al uso responsable de la información, la reserva y el cumplimiento de los lineamientos de seguridad. |
| Mejora continua | Revisar periódicamente el Sistema de Gestión de Seguridad de la Información (SGSI) y los controles implementados, impulsando su mejora continua. |
3. Lineamientos y directrices generales
3.1. Protección de la información y uso de controles
| Tema | Lineamiento |
|---|---|
| Datos críticos y sensibles | Toda información sensible (por ejemplo, datos personales, información financiera, datos de seguridad de sistemas, claves, etc.) deberá ser protegida mediante controles como: cifrado, autenticación robusta, restricciones de acceso por perfiles y trazabilidad de accesos. |
| Acceso basado en roles | El acceso a sistemas y repositorios de información se otorgará siguiendo el criterio de “necesidad de conocer”, en función del rol, responsabilidades y funciones del colaborador o proveedor. |
| Autenticación y contraseñas | Se deberán emplear mecanismos de autenticación seguros y políticas de contraseñas robustas, así como revisiones periódicas de cuentas activas. |
3.2. Responsabilidad individual
Cada colaborador y tercero que acceda a información de OLVA COURIER es responsable de:
- Utilizarla únicamente para fines laborales o contractuales autorizados.
- Respetar las políticas, manuales y procedimientos de seguridad.
- Reportar de inmediato cualquier incidente o sospecha de vulneración de la información.
El incumplimiento de la presente política puede dar lugar a medidas disciplinarias internas, sin perjuicio de las responsabilidades legales que correspondan.
3.3. Gestión de incidentes de seguridad
| Aspecto | Lineamiento |
|---|---|
| Equipo responsable | OLVA COURIER contará con personal y/o un equipo designado para la gestión de incidentes de seguridad de la información y ciberseguridad. |
| Actuación ante incidentes | Ante una posible vulneración de la información, este equipo deberá actuar de forma rápida para contener, analizar y mitigar el incidente, documentar lo ocurrido y proponer acciones de mejora. |
| Evaluaciones periódicas | El equipo realizará evaluaciones periódicas de riesgos y controles, a fin de actualizar las medidas de seguridad según la evolución de amenazas y tecnologías. |
3.4. Capacitación y concientización
OLVA COURIER impulsará programas de formación y sensibilización en seguridad de la información y ciberseguridad dirigidos a:
- Colaboradores de todas las áreas.
- Proveedores y aliados que manejen información crítica o datos personales.
Estos programas tendrán por finalidad mantener actualizados a los involucrados sobre:
- Nuevas amenazas.
- Buenas prácticas en el manejo de información.
- Cambios normativos relevantes.
3.5. Evaluación continua de riesgos
Se llevará a cabo una evaluación continua de los riesgos asociados a la seguridad de la información, que permita:
- Identificar vulnerabilidades en procesos, sistemas y conductas.
- Priorizar controles y medidas de mitigación.
- Ajustar la política y los procedimientos cuando sea necesario.
Esta Política de Seguridad de la Información se complementa con políticas específicas, lineamientos y procedimientos internos (por ejemplo, lineamientos de contraseñas, política de uso aceptable de equipos, procedimientos de respaldo, etc.), que desarrollan aspectos puntuales y deben ser observados conjuntamente.
4. Documentos de referencia
| Documento / Norma | Descripción |
|---|---|
| Ley N.° 29733 – Ley de Protección de Datos Personales | Marco legal principal en materia de protección de datos personales en el Perú. |
| Reglamento de la Ley de Protección de Datos Personales (D.S. N.° 003-2013-JUS, y sus modificatorias) | Detalla el ejercicio de derechos, las obligaciones de los responsables y la seguridad en el tratamiento de datos personales. |
| Otras normas y lineamientos aplicables | Disposiciones emitidas por la Autoridad Nacional de Protección de Datos Personales, directivas internas de OLVA COURIER y estándares de buenas prácticas en seguridad de la información. |
5. Responsabilidades
| Rol / Área | Responsabilidades principales |
|---|---|
| Gerencia de TI (o quien haga sus veces) |
|
| Responsable o Analista de Seguridad de la Información |
|
| Áreas usuarias / Jefaturas |
|
| Colaboradores de OLVA COURIER |
|
| Proveedores y terceros |
|
6. Registros
| Ítem | Situación |
|---|---|
| Registros formales de esta política | No se exige un registro específico adicional para esta política; no obstante, los registros generados por la gestión de incidentes, auditorías y capacitaciones serán conservados conforme a los procedimientos internos de OLVA COURIER. |
7. Anexos
| Anexo | Descripción |
|---|---|
| N/A | La presente política no cuenta con anexos específicos. Cualquier procedimiento o lineamiento complementario podrá emitirse como documento separado (procedimientos SIG, instructivos, etc.). |
