POLÍTICA DE USO Y MANEJO DE INFORMACIÓN CONFIDENCIAL
1.0 PROPÓSITO:
El propósito de esta política es definir los estándares para salvaguardar la información contra uso no autorizado, divulgación o revelación, modificación, daño o pérdida y para asegurar el cumplimiento de regulaciones y leyes aplicables a la Cooperativa de Ahorro y Crédito Aguas Buenas.
2.0 ALCANCE:
Esta política aplica a todo el personal incluyendo pero no limitado a empleados, contratistas, consultores, personal temporero y otro personal.
3.0 BASE LEGAL:
Artículo 5.11 de la Ley Número 255 de 28 de octubre de 2002, según enmendada, conocida como “Ley de Sociedades Cooperativas de Ahorro y Crédito de 2002”
Reglamento 6758 Corporación para la Supervisión y Seguros de Cooperativas de Puerto Rico (COSSEC).
Fair and Accurate Credit Transactions Act (FACTA) Secciones 114 y 315
Gramm-Leach-Bliley Act (GLBA) Privacy of Consumer Financial Information Sección 501
“Controles Internos Mínimos que Deben Adoptar las Cooperativas de Ahorro y Crédito”, Rev. 07/06. Corporación para la Supervisión y Seguros de Cooperativas de Puerto Rico (COSSEC).
4.0 DEFICIONES:
Información sensitiva – Esta información debe estar disponible a los empleados de la Cooperativa, pero no disponible al público.
Información restringida – Acceso a esta información debe estar limitada a una audiencia restringida, determinada por la Administración.
Información confidencial – Esta información debe estar solamente disponible a personas designadas.
5.0 POLÍTICA:
Dado a la naturaleza de la información que se maneja en la Cooperativa, se debe considerar la sensibilidad de los datos que residen en los sistemas de información para el debido control y acceso. Pérdida o mal uso de esta información puede resultar en una variedad de daños, tales como pérdida de confidencialidad e incumplimiento de regulaciones y leyes aplicables a la Cooperativa.
5.1 ASPECTOS GENERALES
5.1.1 Todo documento, carpeta, y otros medios de almacenamiento que contienen información sensitiva, restringida o confidencial debe ser ubicada en áreas protegidas. Estos medios de almacenamiento de información nunca deben ser ubicados en un lugar donde visitantes pueda tener acceso a ellos.
5.1.2 Diversos tipos de datos presentan varios riesgos. Preste atención particular a cómo se guarda la información personal: números de Seguro Social, tarjetas de crédito o información financiera, y otros datos sensibles. Si no existe una necesidad legítima de información personalmente identificable, para un proceso específico no la guarde. Si existe una necesidad legítima de negocio de la información, guárdela solamente mientras sea necesario.
5.1.3 Los números de Seguro Social deben ser utilizados solamente para propósitos requeridos o legales.
5.1.4 Los medios de almacenamiento de información que contienen información sensitiva, restringida o confidencial debe ser guardada en un área segura a final de cada día laborable.
5.1.5 Las computadoras portátiles (“laptops”) y otros dispositivos portátiles (tales como memoria USB / pendrive, etc.) que contiene información de la Cooperativa, debe tener instalado software de cifrado (“encryption”) y si no está siendo utilizada o no está en la posesión directa del usuario asignado, debe estar asegurada físicamente.
5.1.6 Toda información de respaldo de datos (“backup”) enviado o almacenado en medios de datos (por ejemplo. disquetes, CD, discos ópticos, etc.) debe ser protegido y debe ser manejado según los procedimientos aplicable de librerías de medios políticas y seguridad vigentes en la institución.
5.1.7 Las infracciones de esta política pueden tener como resultado acciones disciplinarias conforme a políticas y procedimientos disciplinarios vigentes en la institución.
5.2 PRÁCTICAS EN LAS ÁREAS DE OFICINAS
5.2.1 Todas las computadora deben ser aseguradas cuando el área de trabajo está desocupada o desatendida. El Departamento de EDP será responsable de aplicar un mecanismo automático para imponer esta práctica.
5.2.2 Todo documento, carpeta, y otros medios de almacenamiento que contienen información sensitiva, restringida o confidencial debe debe ser retirada del escritorio y asegurada en archivos de gaveta al final de la jornada de trabajo.
5.2.3 Cada usuario es responsable de asegurar todo documento y medio electrónico de almacenamiento que contenga informacion sensitiva o confidencial que esta esté ubicada en gavetas o archivos con llave.
5.2.4 Las contraseñas no pueden ser dejadas en notas en el escritorio ni en una ubicación accesible.
5.2.5 Los informes impresos que contienen información sensitiva, restringida o confidencial deben ser retirados inmediatamente de las impresoras.
5.2.6 Al momento de desechar, los documentos sensitivos o confidenciales deben ser destruidos en equipos “shredders”.
5.2.7 Controles de acceso y monitoreo deben ser aplicados en áreas de oficina e instalaciones de almacenaje donde resida información restringida o confidencial.
5.2.8 Las impresoras y los equipos para facsímil (“Fax”) deben ser localizados en áreas donde el público no pueda ver información sensitiva, restringida o confidencial.
5.3 PROCESO DE NOTIFICACIÓN
5.3.1 En eventos los cuales información sensitiva, restringida o confidencial es extraviada o es divulgada a entidades no autorizadas o si este acontecimiento incluye pérdida de cualquier equipo, medio electrónico de almacenamiento o componente tecnológico, se debe notificar inmediatamente a la Administración.
5.4 Notificación al Socio
5.4.1 La Cooperativa en una base anual, le divulgará a todos sus socios con cuentas activas la política de confidencialidad en la información personal y financiera que estos suministran y es custodiada por la institución.
5.4.2 La divulgación será presentada en formato tabulado y enviado por correo a la última dirección conocida del socio, en cumplimiento con las disposiciones de la “Gramm-Leach-Bliley Act (GLBA) Privacy of Consumer Financial Information”, Sección 501.
5.4.3 Esta divulgación de privacidad, será suministrada de igual forma, a toda persona que así lo solicite.
6.0 MEDIDAS DISCIPLINARIAS
6.1 Las sanciones aplicables al personal, de acuerdo a la ocurrencia o severidad de la violación o infracción a esta política se regirá por lo establecido en el Manual del Empleado.
6.2 La Cooperativa se reserva la facultad de aplicar la sanción más severa, en este caso el despido, en aquella ocasión en que la gravedad o seriedad de la infracción no amerite permitir que se repita en una futura ocasión.
7.0 VIGENCIA
7.1 Esta Política deja sin efecto cualquier circular, carta o política anteriormente emitido sobre los aspectos aquí cubiertos. La Junta de Directores puede enmendar esta política en cualquier momento.
7.2 La Administración, mediante la implantación de esta política, debe asegurar que la debida diligencia sea ejercitada por todos los individuos involucrados en la operación de los sistemas de información presentes en la Cooperativa.