POLITICA DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN.

La dirección de CONCEPT HAUS CREATIVE AGENCY S.C. entendiendo la importancia de una adecuada Gestión de la Información, se ha comprometido con la implementación de un Sistema de Gestión de Seguridad de la Información buscando establecer un marco de confianza con nuestros usuarios, clientes, encargados y terceros en el ejercicio de sus deberes, todo enmarcado en el estricto cumplimiento de las leyes y en concordancia con la misión y visión de la entidad. Para CONCEPT HAUS CREATIVE AGENCY S.C. la protección de la información busca la disminución del impacto generado sobre sus activos, por los riesgos identificados de manera sistemática con objeto de mantener un nivel de exposición que permita responder por la integridad, confidencialidad y la disponibilidad de la misma, acorde con las necesidades de los diferentes grupos de interés identificados. De acuerdo con lo anterior, esta política aplica a usuarios en general, clientes, encargados, responsables y terceros según como se define en el alcance, teniendo en cuenta que los principios sobre los que se basa el desarrollo de las acciones o toma de decisiones alrededor del Sistema de Gestión de Seguridad de la Información (SGSI) estarán determinadas por las siguientes premisas:

1. Minimizar el riesgo en las funciones más importantes.
2. Cumplir con los principios de la protección de los datos personales.
3. Cumplir con los principios de la función administrativa.
4. Mantener la confianza de sus usuarios, clientes, encargados, responsables y terceros
5. Apoyar la innovación tecnológica.
6. Proteger los activos tecnológicos
7. Establecer las políticas, procedimientos e instructivos en materia de seguridad de la información.
8. Fortalecer la cultura de seguridad de la información en los usuarios, clientes, encargados, terceros y responsables de CONCEPT HAUS CREATIVE AGENCY S.C.
9. Garantizar la continuidad del negocio frente a incidentes
10. Propiciar y tomar la mejor decisión respecto a los controles más relevantes e inmediatos a implementar, para la protección de datos personales.

CONCEPT HAUS CREATIVE AGENCY S.C, ha decidido definir, implementar, operar y mejorar de forma continua un Sistema de Gestión de Seguridad de la Información, soportado en lineamientos claros alineados a las necesidades del negocio, y a los requerimientos regulatorios.

FACTORES PARA DETERMINAR LAS MEDIDAS DE SEGURIDAD.

CONCEPT HAUS CREATIVE AGENCY S.C. determinará según lo establecido en el artículo 60 del Reglamento de la Ley Federal de Protección de datos Personales en Posesión de los Particulares las medidas aplicables a los datos personales que trate, considerando los siguientes factores:

1. El riesgo inherente por tipo de dato persona;
2. La sensibilidad de los datos personales tratados;
3. El desarrollo tecnológico, y
4. Las posibles consecuencias de una vulneración para los titulares.

De manera adicional, se procurará tomar en cuenta los siguientes elementos:

1. El número de titulares;
2. Las vulnerabilidades previas ocurridas en los sistemas de tratamiento;
3. El riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener los datos personales tratados para una tercera persona no autorizada para su posesión, y
4. Demás factores que puedan incidir en el nivel de riesgo o que resulten de otras leyes o regulación aplicable al responsable

En CONCEPT HAUS CREATIVE AGENCY S.C. implementamos controles de seguridad que permiten delimitar el nivel de riesgo aceptable para los datos personales a tráves de dos tipos de criterios de evaluación dentro de la organización, los de impacto y los de aceptación. Los primeros corresponden a todo el posible daño a los titulares, mientras que los de aceptación se alinean de manera general a los niveles de riesgo que una organización se fije como meta respecto a sus alcances y objetivos, ambos criterios se detallan a continuación:
Criterios de impacto. Se definen en términos del posible nivel de daño y perjuicio al titular causado por un evento negativo a la seguridad de los datos personales, considerando:

1. El valor de los datos para la organización
2. El incumplimiento con las obligaciones legales y contractuales relacionadas con el titular
3. Vulneraciones de seguridad (según el art. 63 del Reglamento de la LFPDPPP)
4. Daño a la integridad de los titulares de datos personales
5. Daño a la reputación de la organización

Criterios de aceptación del riesgo. Estos se aplican cuando se podría aceptar o no ciertos niveles de riesgo, siempre y cuando la naturaleza del riesgo, sus consecuencias o su probabilidad sean consideradas como muy poco significativas.

1. Se realiza una evaluación del beneficio o del riesgo estimado, aplicando diferentes criterios de aceptación correspondientes al riesgo, como los que pueden resultar del incumplimiento de la ley que no pueden ser aceptados
2. Como responsables, analizamos diferentes umbrales en circunstancias específicas, correspondientes a diferentes niveles de aceptación, previniendo así, la aceptación de los riesgos sobre estos.
3. Un riesgo puede ser aceptado si hay aprobación y el compromiso por la dirección especializada en Datos Personales de CONCEPT HAUS, para tomar acciones que permitan reducirlo a un nivel aceptable dentro de un periodo definido

IDENTIFICACIÓN DE AMENAZAS.

Una amenaza tiene el potencial de dañar un activo y causar una vulneración a la seguridad. Las amenazas pueden ser de origen natural o humano, y pueden ser accidentales o deliberadas y además provenir de adentro o desde afuera de la organización. Por lo qué en CONCEPT HAUS CREATIVE AGENCY S.C. consideramos lo siguiente

1. Se debe identificar la amenaza presentada, considerando que algunas pueden afectar a más de un activo al mismo tiempo.
2. El personal responsable de la custodia de los activos y sus usuarios podrá proporcionar asesoría para identificar y estimar las amenazas relacionadas

El análisis de riesgo deberá arrojar como resultado un valor del riesgo para cada uno de los activos identificados con respecto a cada una de las vulneraciones mencionadas en el artículo 63 del Reglamento de la LFPDPPP, de forma que se identifiquen los escenarios que podrían llevar a cada uno de los activos a las posibles vulneraciones y se seleccionen los controles y medidas de seguridad que permitan tratar dichos riesgos.
En CONCEPT HAUS CREATIVE AGENCY S.C. se ha designado un área especializada en protección de Datos Personales, responsable de la rendición de cuentas de la gestión de los mismos dentro de la organización, de modo que se de cumplimiento a la legislación en la materia, así como a nuestro aviso de privacidad y a esta política de seguridad y privacidad.
CONCEPT HAUS CREATIVE AGENCY S.C. establece 12 principios de seguridad que soportan el Sistema de Gestión de Seguridad de la Información.

1. Las responsabilidades frente a la seguridad de la información serán definidas, compartidas, publicadas y aceptadas por cada uno de los empleados responsables de la custodia de los activos y datos personales, nuestros usuarios, clientes, encargados y terceros.
2. Protegerá la información generada, procesada o resguardada motivo de la relación jurídica que llegará a existir entre las partes, su infraestructura tecnológica y activos del riesgo que se genera de los accesos otorgados a terceros (ej.: encargados o clientes).
3. Protegerá la información creada, procesada, transmitida o resguardada por sus procesos de negocio, con el fin de minimizar impactos financieros, operativos o legales debido a un uso incorrecto de esta
4. Para ello es fundamental la aplicación de controles de acuerdo con la clasificación de la información de su propiedad o en custodia.
5. Protegerá su información de las amenazas originadas por parte del personal.
6. Protegerá las instalaciones de procesamiento y la infraestructura tecnológica que soporta sus procesos críticos.
7. Controlará la operación de sus procesos de negocio garantizando la seguridad de los recursos tecnológicos y las redes de datos.
8. Implementará control de acceso a la información, sistemas y recursos de red.
9. . Garantizará que la seguridad sea parte integral del ciclo de vida de los sistemas de información.
10. Garantizará a través de una adecuada gestión de los eventos de seguridad y las debilidades asociadas con los sistemas de información una mejora efectiva de su modelo de seguridad.
11. Garantizará la disponibilidad de sus procesos de negocio y la continuidad de su operación basada en el impacto que pueden generar los eventos.
12. Garantizará el cumplimiento de las obligaciones legales, regulatorias y contractuales establecidas.

PROCEDIMIENTO DE ACTUACION ANTE INCIDENTE DE SEGURIDAD QUE AFECTAN DATOS PERSONALES

CONCEPT HAUS CREATIVE AGENCY S.C como responsable tiene el deber de analizar las causas por las cuales se pudiera presentar una vulneración de seguridad, por lo que implementamos las siguientes medidas de seguridad preventivas y correctivas para evitar que estos incidentes ocurran:

1. Informar a los titulares de los datos personales lo siguiente:
   1. La naturaleza del incidente
   2. Los datos personales afectados.
   3. Las recomendaciones al titular acerca de las medidas que éste puede adoptar para protegerse.
   4. Las acciones correctivas realizadas de forma inmediata.
   5. Los medios donde los titulares pueden obtener más información
2. La imposición de sanciones por parte del INAI, las cuales podrán atenuarse en caso de que el responsable haya atendido las Recomendaciones en materia de seguridad de datos personales del Instituto, publicadas en el Diario Oficial de la Federación.

En caso de una revelación de información que exponga datos personales a un sin número de terceros a través de internet o en medios masivos de comunicación, resultado de una vulneración de seguridad CONCEPT HAUS CREATIVE AGENCY S.C tomará todas las medidas que estén a su alcance para mitigar la difusión o publicación de los mismos:

1. Solicitará la baja de contenido al administrador de la página web que realice la revelación.
2. Solicitará la eliminación resultados del motor de búsqueda, a fin de minimizar el daño a los titulares.

ALCANCE/APLICABILIDAD

Esta Política de Seguridad y Privacidad de la Información es la declaración general que representa la posición de la administración de CONCEPT HAUS CREATIVE AGENCY S.C, con respecto a la protección de los activos de información, de los datos personales, los procesos, las tecnologías de información incluido el hardware y el software, que soportan los procesos y apoyan la implementación del Sistema de Gestión de Seguridad de la Información, por medio de la generación y publicación de sus políticas, procedimientos e instructivos, así como de la asignación de responsabilidades generales y específicas para la gestión de la seguridad de la información.

Esta política de seguridad y privacidad tendrá el alcance y aplicabilidad para todo el personal de CONCEPT HAUS, así como nuestos usuarios, clientes, encargados y terceros en el ejercicio de sus deberes, por lo que deberán dar cumplimiento al 100% de dicha política.

El incumplimiento a la política de Seguridad y Privacidad de la Información traerá consigo, las consecuencias legales que apliquen según la Ley Federal De Protección de Datos Personales en Posesión De Los Particulares, su Reglamento y demás norvatividad vigente en el país, así como de los tratados internacionales de los que México sea parte.

"CONCEPT HAUS CREATIVE AGENCY S.C" ÚLTIMA ACTUALIZACIÓN ENERO DE 2021.