Declaración de Intención de la Alta Dirección: SISTEMAS DE COMERCIO DIGITAL, S. DE R.L. DE C.V. protegerá los recursos de información y la tecnología usada para su procesamiento, de las amenazas internas o externas, deliberadas o accidentales; con el fin de asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la información. Además de poder garantizar la continuidad de los sistemas de información, minimizar riesgos de daño y asegurar el eficiente cumplimiento de objetivos de la empresa.

Objetivo de la política de Seguridad de la Información: Garantizar la calidad y continuidad de la prestación del servicio de Timbrado Electrónico para los distintos documentos (comprobantes fiscales, nómina, etc.), a fin de dar cumplimiento a los requisitos establecidos por el SAT para este fin.
De acuerdo a lo anterior, la información que genera y gestiona la empresa, constituye un activo estratégico clave para asegurar la continuidad del negocio. En este contexto, la Política General de Seguridad de la Información está orientada a proteger: la información en la totalidad de su ciclo de vida (creación, difusión, modificación, almacenamiento, preservación y eliminación), los medios que permiten dicho ciclo y las personas que acceden a la información y/o la manipulan. Esto con el fin de garantizar su integridad, disponibilidad y confidencialidad.

Seguridad de la Información: La seguridad de la información se define como la preservación de las siguientes características:
* Confidencialidad: se garantiza que la información sea accesible sólo a aquellas personas autorizadas a tener acceso a ella.
* Integridad: se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento.
* Disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la información y a los recursos relacionados con ella toda vez que se requiera.
La confidencialidad, integridad y disponibilidad de la información hoy en día son esenciales para mantener la ventaja competitiva, el flujo de fondos, la rentabilidad, el cumplimiento de las leyes y la imagen comercial o incluso la operación y existencia misma del Negocio.
La seguridad de la información debe contemplar, de acuerdo a la Matriz de Controles de Seguridad de Información del SAT, la definición e implantación de controles con base en los siguientes criterios:
* Grado de Confidencialidad, determinado por el daño o pérdida que puede tener “Sistemas de Comercio Digital” ante un acceso o divulgación de información no autorizada.
* Grado de Integridad, determinado por el daño o pérdida que puede tener “Sistemas de Comercio Digital” ante la inexactitud de la información.
* Grado de Disponibilidad, determinado por el daño o pérdida que puede tener “Sistemas de Comercio Digital” frente a la no-disponibilidad de la información cuando ésta sea requerida.
La seguridad de la información se logrará:
- Estableciendo y monitoreando un conjunto acordado de controles, que abarcan políticas, prácticas, procedimientos administrativos, tecnológicos y/o estructuras organizacionales. Se deben establecer estos controles para garantizar que se logren los objetivos específicos de seguridad de la organización.
- Implementando medios técnicos que deben ser respaldados por una gestión y controles adecuados. La definición de los controles que deben implementarse mismos que requiere una cuidadosa planificación y atención, que permita el flujo de las actividades y procesos de negocio a un nivel de seguridad autorizado; los controles de seguridad de la información resultan considerablemente más económicos y eficaces si se incorporan en la etapa de especificación de requerimientos y diseño de la solución o logística de la operación.
- Finalmente, la administración de la seguridad de la información exige la participación de todos los miembros de la organización y puede requerir la participación de proveedores, clientes y accionistas.
Las organizaciones, sus redes, bases de datos y sistemas de información, se enfrentan en forma creciente con amenazas relativas a la seguridad y de diversos orígenes, incluyendo el fraude asistido por computadora, extorsión, chantaje, espionaje, sabotaje, vandalismo, incendio o inundación; asimismo, la dependencia de las organizaciones respecto de los sistemas y servicios de información denota que ellas son más vulnerables a las amenazas concernientes a la seguridad. Entonces, es esencial que una organización identifique sus requerimientos de seguridad.
De acuerdo con las mejores prácticas se identifican 3 componentes para lograrlo:
I. Identificar los activos de información y evaluar los riesgos en dichos activos; mediante la evaluación de riesgos se identifican las amenazas a los activos, se evalúan las vulnerabilidades y probabilidades de ocurrencia y se estima su impacto potencial a la organización.
II. Dar cumplimiento a los requisitos legales, normativos, reglamentarios y contractuales que debe cumplir la organización, sus socios comerciales, los contratistas y los prestadores de servicios.
III.Identificar el conjunto específico de principios, objetivos y requisitos para el procesamiento de la información, que ha desarrollado la organización para respaldar su operación.
Una vez establecidos los requerimientos de seguridad, su cumplimiento debe darse a través de controles, políticas, normas y procedimientos que dirija la conducta, los privilegios y las funciones del personal de una empresa. La creación de los mismos, contribuye a establecer el rumbo de la organización, muestra el apoyo institucional que se requiere para poder cumplir los objetivos propios de la función de Seguridad de la Información y sirve como guía para el comportamiento de todos sus empleados.

Atentamente

Sistemas de Comercio Digital, S de RL de CV