Política de seguridad de la información

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN y PROCEDIMIENTO DE NOTIFICACIÓN DE INCIDENTESSUPER LEADS GESTIÓN DIGITAL, S.A.P.I. DE C.V. Pedro Camino 242-1, Ampliación Los Ángeles, Torreón, Coahuila, C.P. 27148 – México Web : SuperLeads.mx • Correo : [email protected] • Tel. +52 871 232 7181

1. Propósito

Proteger la confidencialidad, integridad y disponibilidad de toda la información y establecer un proceso uniforme para responder y notificar brechas en un plazo máximo de 72 horas desde su detección, alineado con ISO 27001, SOC 2, la LFPDPPP y el RGPD.

2. Alcance

Obligatorio para todo el personal, contratistas, sistemas, datos, oficinas, infraestructuras en la nube y dispositivos móviles que gestione o controle la empresa.

3. Marco normativo de referencia

ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST CSF 2.0, CIS Controls v8, Ley Federal de Protección de Datos Personales (México), RGPD (UE) y lineamientos del INAI.

4. Definiciones clave

Incidente de seguridad: suceso confirmado que compromete la C-I-D de la información.
Brecha de datos personales: acceso, divulgación, pérdida o alteración no autorizada de datos personales.
IRT (Incident Response Team): equipo multidisciplinario encargado de gestionar el incidente.

5. Roles y responsabilidades

Dirección General – Aprueba la política, asigna recursos y aplica sanciones.
CISO / Responsable de Seguridad – Mantiene el SGSI, lidera el IRT y coordina auditorías.
Equipo IRT – Detecta, contiene, erradica, recupera y elabora el informe posterior.
Áreas de Negocio – Clasifican la información y reportan eventos en ≤ 30 minutos.
Todos los colaboradores – Cumplen los controles y reportan sospechas de inmediato.
Oficial de Protección de Datos (DPO) – Atiende derechos ARCO/GDPR, DPIA y notificaciones a autoridades.