Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria
Subido por NessYagamy

politica de seguridad

Anuncio 
Código
Edición
FS-PO-SI-02
06
Fecha de elaboración
28/06/2022
Fecha de siguiente revisión
28/06/2024
DIRECCIÓN: TECNOLOGÍAS EN INFORMACIÓN
ÁREA: SEGURIDAD INFORMÁTICA
POLÍTICA SEGURIDAD DE LA INFORMACIÓN PARA EL USO DE MEDIOS EN EL COBRO CON TARJETA
1. FIRMAS DE APROBACIÓN
Responsable de Procesos de Negocio / Documentó
Nombre
Puesto
Fecha
Estatus
Aurea Zamora Romero
Gerente de Proyectos y
Procesos de Negocio
28/06/2022
Documentó
Miguel Ángel Huitrón
Martínez
Ingeniero de Procesos
28/06/2022
Documentó
Revisó
Nombre
Puesto
Fecha
Estatus
Geisel Álvarez Aguirre
Subdirector de
Tecnologías de la
Información
28/06/2022
Revisó
César Martínez Uribe
Gerente de Operaciones
28/06/2022
Revisó
Mercedes Eréndira
Zubillaga Vergara
Gerente de Cuentas por
Cobrar
05/07/2022
Revisó
Autorizó
Nombre
Puesto
Fecha
Estatus
Roger Jiménez Ruíz
Director de Tecnologías
de la Información
06/07/2022
Autorizó
La información aquí contenida es confidencial y es propiedad de Farmacias de Similares, S.A. de C.V. Queda prohibida su reproducción, copia, transformación
y/o aprovechamiento, cualquiera que sea su finalidad o medio. El incurrir en cualquiera de las prohibiciones anteriores, originará las acciones administrativas,
civiles o penales que correspondan
Edición: 01 - (01-10-2020)
Página 1 / 21
Código
Edición
FS-PO-SI-02
06
Fecha de elaboración
28/06/2022
Fecha de siguiente revisión
28/06/2024
DIRECCIÓN: TECNOLOGÍAS EN INFORMACIÓN
ÁREA: SEGURIDAD INFORMÁTICA
POLÍTICA SEGURIDAD DE LA INFORMACIÓN PARA EL USO DE MEDIOS EN EL COBRO CON TARJETA
2. CONTROL DE CAMBIOS
Edición afectada
05
Fecha
28 jun. 2022
Tipo de cambio
Actualización
Motivo
Actualización de información
Justificación
Se actualiza la presente política en atención a la auditoría de PCI realizada en
el mes de marzo del presente año. Así mismo, debido a que se han generado
portales independientes para la consulta de detalles de cobro con tarjeta de
los bancos BBVA y HSBC se actualiza la definición de Sistemas e Información
a Comercios (GIC).
Descripción del cambio
1. Se actualiza la definición Sistemas e Información a Comercios (GIC).
2. Se incluye el término "GIC BBVA" y corrige el término "GIC" por "GIC
HSBC" en cada una de las menciones que se hace de "GIC" dentro de
la política. Derivado de este cambio se actualiza la definición
"Sistemas e Información a Comercios (GIC) HSBC" por "Sistemas e
Información a comercios (GIC) HSBC y BBVA".
3. Se ajusta la cédula de firmas integrando únicamente a aquellos
usuarios que están directamente involucrados con los cambios
realizados en la presente política, excluyendo a los siguientes:
• Director de Ventas
• Director de Contraloría
• Subdirector Jurídico
• Gerente de Servicios Administrativos
• Gerente de Auditoría
• Gerente de Marketing Digital
• Administrador de Proyectos
4. Se eliminan los documentos de la sección de referencias que solo se
menionan en en el desarrollo de la política pero que no se utilizaron
como consulta bibliográfica para la elaboración de la misma, listando
los siguientes:
• FS-MA-CR-01 Manual Administración del cumplimiento de la
seguridad de pagos con tarjeta
• FS-MA-RL-07 Manual para el Personal de vigilancia de Farmacias
Similares
• FS-MA-VS-01 Manual para el jefe de Sucursal
• FS-MA-VS-02 Manual para el supervisor de Ventas Propias
• FS-MA-VS-04 Manual para el Cajero
• FS-PE-DC-20 Procedimiento Gestión de pedidos por venta en
línea
• FS-PE-DS-06 Procedimiento Desarrollo de Sistemas
• FS-PE-JU-09 (02) Procedimiento Atención de documentos
jurídicos
• FS-PE-SA-15 (01) Procedimiento Atención de visitas a oficinas
corporativas de las empresas del Grupo
• FS-PE-SI-10 (01) Procedimiento Atención de vulnerabilidades en
servidores
• FS-PE-SC-09 Procedimiento de Gestión de cambios
• FS-PE-VT-42 Procedimiento Cobro en farmacia
La información aquí contenida es confidencial y es propiedad de Farmacias de Similares, S.A. de C.V. Queda prohibida su reproducción, copia, transformación
y/o aprovechamiento, cualquiera que sea su finalidad o medio. El incurrir en cualquiera de las prohibiciones anteriores, originará las acciones administrativas,
civiles o penales que correspondan
Edición: 01 - (01-10-2020)
Página 2 / 21
Código
Edición
FS-PO-SI-02
06
Fecha de elaboración
28/06/2022
Fecha de siguiente revisión
28/06/2024
DIRECCIÓN: TECNOLOGÍAS EN INFORMACIÓN
ÁREA: SEGURIDAD INFORMÁTICA
POLÍTICA SEGURIDAD DE LA INFORMACIÓN PARA EL USO DE MEDIOS EN EL COBRO CON TARJETA
•
•
•
FS-PO-SA-06 Política Atención de visitas y colaboradores en el
corporativo de las empresas del Grupo
Inventario de las TPV en el documento “Inventario de equipos TPV
en sucursales”.
Listado de proveedores con acceso al entorno PCI-DSS.
Edición afectada
04
Fecha
4 ene. 2022
Tipo de cambio
Actualización
Motivo
Actualización de información
Justificación
Asegurar que Farmacias Similares cuente con políticas para la no distribución
y no almacenamiento de datos de tarjetas del cliente, e incluir a American
Express y Mercado Pago dentro de las plataformas bancarias. Asimismo,
cumplir con el estándar de Procesos.
Descripción del cambio
1. Se agregaron políticas acerca de la no distribución y no
almacenamiento de datos de la tarjeta del cliente.
2. Se agregaron los portales bancarios de American Express y Mercado
Pago al listado de plataformas con las que cuenta Farmacias Similares
para el pago con tarjeta.
3. Se agregó una política acerca de la creación de contraseñas de acceso
para los usuarios del portal bancario de American Express.
4. Se agregó la política de regulación del seguimiento a aclaración de
venta en línea realizada a través de Mercado Pago.
5. Se agregó la política acerca de la restricción de reembolso para la
venta en línea realizada a través de Mercado Pago.
6. Se agregó la política que determina las características que debe tener
la contraseña de acceso a la plataforma de Mercado Pago.
7. Se corrigieron las políticas de accesos para ingresar a los portales
bancarios de Sistemas e Información a Comercios y Centro de
Información a Comercios.
8. Se actualizaron las referencias a los procedimientos, manuales y las
políticas a las que hace mención la política.
9. Se agregaron definiciones a la política para mayor entendimiento de
algunos conceptos.
10. Se modificó el nombre del siguiente formato: FS-FO-CR-11 Formato
Solicitud de alta y modificación de usuarios en plataformas
electrónicas a FS-FO-CR-11 Formato Solicitud de alta y modificación
de usuarios en plataformas relacionadas al entorno de datos de titular
de tarjeta.
Edición afectada
Fecha
30 nov. 2020
Tipo de cambio
Actualización
Motivo
Migración a Aris
Justificación
Migración a Aris
Descripción del cambio
1. Migración a Aris
La información aquí contenida es confidencial y es propiedad de Farmacias de Similares, S.A. de C.V. Queda prohibida su reproducción, copia, transformación
y/o aprovechamiento, cualquiera que sea su finalidad o medio. El incurrir en cualquiera de las prohibiciones anteriores, originará las acciones administrativas,
civiles o penales que correspondan
Edición: 01 - (01-10-2020)
Página 3 / 21
Código
Edición
FS-PO-SI-02
06
Fecha de elaboración
28/06/2022
Fecha de siguiente revisión
28/06/2024
DIRECCIÓN: TECNOLOGÍAS EN INFORMACIÓN
ÁREA: SEGURIDAD INFORMÁTICA
POLÍTICA SEGURIDAD DE LA INFORMACIÓN PARA EL USO DE MEDIOS EN EL COBRO CON TARJETA
ÍNDICE
1. FIRMAS DE APROBACIÓN .....................................................................................................................................1
2. CONTROL DE CAMBIOS .........................................................................................................................................2
3. OBJETIVO ................................................................................................................................................................6
4. ALCANCE .................................................................................................................................................................6
5. DEFINICIONES Y SIGLAS .......................................................................................................................................6
6. POLÍTICA ..................................................................................................................................................................9
6.1. En materia de seguridad de la información para el uso de medios de cobro con tarjeta ................................9
6.2. En materia de control de acceso al corporativo de Farmacias Similares ......................................................10
6.3. En materia de control de acceso y gestión de las plataformas (Open Pay, Vtex, Aranda, SPOS, GIC
BBVA, GIC HSBC, CIC, AMEX y Mercado Pago)..........................................................................................10
6.4. En materia de intercambio de información en medios de cobro ....................................................................11
6.5. En materia de proveedores de resguardo, procesamiento y trasmisión de datos de medios de cobro ........12
6.6. En materia de gestión de incidentes de seguridad de datos de titular de tarjeta ..........................................12
6.7. En materia de controles para el uso de dispositivos de cobro con tarjeta .....................................................13
6.8. En materia de recursos tecnológicos para dispositivos de cobro con tarjeta ................................................13
6.9. En materia de protección contra software malicioso para dispositivos con cobro de tarjeta .........................14
6.10. En materia de configuración general del antivirus .......................................................................................14
6.11. En materia de control y clasificación de activos de información relacionados con el uso de dispositivos
de cobro con tarjeta ........................................................................................................................................15
6.12. En materia de protección y ubicación de equipos relacionados al uso de dispositivos de cobro con
tarjeta ..............................................................................................................................................................15
6.13. En materia de capacitación de dispositivos de cobro con tarjeta ................................................................16
6.14. En materia de gestión de medios móviles relacionados al uso de dispositivos de cobro con tarjeta ..........16
6.15. En materia del buen estado de los dispositivos de cobro con tarjeta ..........................................................16
6.16. En materia de desarrollo seguro de aplicaciones relacionados al uso de dispositivos de cobro con
tarjeta ..............................................................................................................................................................16
6.17. En materia de identificación de nuevas vulnerabilidades relacionados al uso de dispositivos de cobro
con tarjeta .......................................................................................................................................................17
6.18. En materia de uso de internet y protocolos inseguros .................................................................................18
6.19. En materia de control de contraseñas para la tienda en línea .....................................................................18
6.20. En materia de controles para el uso de dispositivos de cobro de venta en línea ........................................19
6.21. En materia de recursos tecnológicos para venta en línea ...........................................................................19
6.22. En materia de protección contra software malicioso para la tienda en línea ...............................................19
6.23. En materia de reembolsos de pagos referentes al uso de plataformas electrónicas para la venta en
línea ................................................................................................................................................................20
La información aquí contenida es confidencial y es propiedad de Farmacias de Similares, S.A. de C.V. Queda prohibida su reproducción, copia, transformación
y/o aprovechamiento, cualquiera que sea su finalidad o medio. El incurrir en cualquiera de las prohibiciones anteriores, originará las acciones administrativas,
civiles o penales que correspondan
Edición: 01 - (01-10-2020)
Página 4 / 21
Código
Edición
FS-PO-SI-02
06
Fecha de elaboración
28/06/2022
Fecha de siguiente revisión
28/06/2024
DIRECCIÓN: TECNOLOGÍAS EN INFORMACIÓN
ÁREA: SEGURIDAD INFORMÁTICA
POLÍTICA SEGURIDAD DE LA INFORMACIÓN PARA EL USO DE MEDIOS EN EL COBRO CON TARJETA
6.24. En materia de cuentas genéricas (Vtex) ......................................................................................................20
6.25. En materia de seguridad de datos de tarjetas bancarias del cliente ............................................................20
7. DOCUMENTOS DE REFERENCIA ........................................................................................................................21
8. ANEXOS .................................................................................................................................................................21
La información aquí contenida es confidencial y es propiedad de Farmacias de Similares, S.A. de C.V. Queda prohibida su reproducción, copia, transformación
y/o aprovechamiento, cualquiera que sea su finalidad o medio. El incurrir en cualquiera de las prohibiciones anteriores, originará las acciones administrativas,
civiles o penales que correspondan
Edición: 01 - (01-10-2020)
Página 5 / 21
Código
Edición
FS-PO-SI-02
06
Fecha de elaboración
28/06/2022
Fecha de siguiente revisión
28/06/2024
DIRECCIÓN: TECNOLOGÍAS EN INFORMACIÓN
ÁREA: SEGURIDAD INFORMÁTICA
POLÍTICA SEGURIDAD DE LA INFORMACIÓN PARA EL USO DE MEDIOS EN EL COBRO CON TARJETA
3. OBJETIVO
Garantizar la seguridad de la información de los datos del tarjetahabiente en el uso de medios de cobro con tarjeta
por parte de Farmacias Similares, estableciendo los lineamientos que el personal involucrado debe cumplir respecto
al resguardo y manejo de la información a la que se tiene acceso, a través de los 3 pilares básicos de la seguridad
de la información: confidencialidad, integridad y disponibilidad.
4. ALCANCE
Actividades
Áreas involucradas
1. Seguridad de la información de los datos del
tarjetahabiente.
2. Cobro con Pin Pad y Terminal Punto de
Venta.
3. Uso, recursos, protección y controles de los
dispositivos de cobro Pin Pad y Terminal
Punto de Venta.
4. Intercambio de información en dispositivos de
cobro.
5. Protección contra software malicioso y
vulnerabilidades.
6. Control de accesos a instalaciones de
Farmacias Similares.
7. Desarrollo de aplicaciones para el uso de
dispositivos de cobro.
8. Protocolos seguros y uso de internet.
9. Mantenimiento a los equipos de punto de
venta.
10. Inventario Terminal Punto de Venta y Pin
Pad.
11. Uso de plataformas electrónicas para venta
en línea.
12. Cobro por medio de venta en línea.
1.
2.
3.
4.
5.
6.
7.
8.
9.
Auditoría
Cuentas por Cobrar
Jurídico
Soporte Punto de Venta
Servicios Administrativos
Tecnologías en Información
Coordinación Nacional de Ventas Propias
Marketing Digital
Tesorería
5. DEFINICIONES Y SIGLAS
Concepto
Definición
American Express (AMEX)
Institución de Banca Múltiple son compañías globales de Servicios Integrados
de Viajes y Financieros.
Attestation of compliance (AOC)
Declaración de conformidad avalado por el QSA y la empresa certificadora de
la Norma PCI DSS que muestra los resultados de la evaluación de los puntos
aplicables a dicha norma.
Cardholder Data Environment–
Entorno de datos de titular de
tarjeta (CDE)
Personas, procesos y tecnologías que almacenan, procesan o transmiten
datos de tarjetas de pago o datos sensibles de autenticación.
La información aquí contenida es confidencial y es propiedad de Farmacias de Similares, S.A. de C.V. Queda prohibida su reproducción, copia, transformación
y/o aprovechamiento, cualquiera que sea su finalidad o medio. El incurrir en cualquiera de las prohibiciones anteriores, originará las acciones administrativas,
civiles o penales que correspondan
Edición: 01 - (01-10-2020)
Página 6 / 21
Código
Edición
FS-PO-SI-02
06
Fecha de elaboración
28/06/2022
Fecha de siguiente revisión
28/06/2024
DIRECCIÓN: TECNOLOGÍAS EN INFORMACIÓN
ÁREA: SEGURIDAD INFORMÁTICA
POLÍTICA SEGURIDAD DE LA INFORMACIÓN PARA EL USO DE MEDIOS EN EL COBRO CON TARJETA
Concepto
Definición
Centro de Información
Comercios (CIC)
Common Vulnerability
System (CVSS)
a
Página electrónica administrada por BBVA donde se reflejan los movimientos
realizados con las PIN PAD de todas las afiliaciones bancarias.
Score
Sistema de puntaje diseñado para proveer un método abierto y estándar que
permite estimar el impacto de vulnerabilidades, por lo que se utiliza para
cuantificar la severidad que pueden representar estas debilidades en el
software o hardware.
Confidencialidad
Garantizar que la información y lo sistemas sean accedidos exclusivamente
por las personas debidamente autorizadas.
Datos
de
autenticación
(CAV2/CVC2/CVV2/CID)
Valores visibles al usuario y utilizados en el momento de una transacción no
presencial. Dependiendo de la marca de pago asociada con la tarjeta, este
código puede tener una longitud, ubicación y nombre diferente:
CAV2
–
Card
Authentication
Value
2
(tarjetas
JCB)
CVC2
–
Card
Validation
Code
2
(tarjetas
MasterCard)
CVV2
–
Card
Verification
Value
2
(tarjetas
Visa
CID – Card Identification Number (tarjetas American Express y Discover)
Disponibilidad de la información
Propiedad de la información que garantiza el acceso a un servicio o a los
recursos, en el momento que se requiera.
Dispositivos de cobro
Equipos PIN PAD y Terminal Punto de Venta (TPV) que se utilizan para realizar
los cobros con tarjetas.
E-commerce
El comercio electrónico es el proceso mediante el cual dos o más partes
realizan una transacción de negocios a través de una red de acceso
Hyper Text Transfer Protocol
Secure (HTTPS)
Protocolo bajo el que se envían los datos entre un navegador y el sitio web al
que se está conectado. La 'S' al final de HTTPS significa 'Seguro', esto quiere
decir que todas las comunicaciones entre un navegador y el sitio web están
encriptadas. HTTPS a menudo se usa para proteger transacciones en línea
altamente confidenciales como la banca en línea y los formularios de órdenes
de compra en línea.
Incidente de Seguridad
Es un evento adverso, confirmado o bajo sospecha, que haya vulnerado la
seguridad de la información o que intente vulnerarla, sin importar la información
afectada, la plataforma tecnológica, la frecuencia, las consecuencias, el
número de veces ocurrido o el origen (interno o externo).
Instituto Nacional de Estándares
y Tecnología (NIST)
Marco de referencia dependiente del Departamento de Comercio de los EE.
UU. el cual ayuda a los negocios a comprender mejor, administrar y reducir los
riesgos de Ciberseguridad, así como proteger sus redes y datos.
Integridad
Propiedad de la información que pretende garantizar que los datos sean los
que se supone que son, es decir, la información original tiene que ser
exactamente igual a la final.
Ley Federal de Protección al
Consumidor
Ley que promueve y protege los derechos y cultura del consumidor,
procurando la equidad, certeza y seguridad jurídica en las relaciones entre
proveedores y consumidores.
Ley Federal de Protección de
Datos Personales en Posesión
de Particulares (LFPDPPP)
Ley que tiene como objetivo proteger los datos personales en posesión de los
particulares y regular su tratamiento legítimo, controlado e informado, a efecto
de garantizar la privacidad y el derecho a la autodeterminación informativa de
los individuos. Esta ley es regulada por el Instituto Nacional de Acceso a la
Información.
La información aquí contenida es confidencial y es propiedad de Farmacias de Similares, S.A. de C.V. Queda prohibida su reproducción, copia, transformación
y/o aprovechamiento, cualquiera que sea su finalidad o medio. El incurrir en cualquiera de las prohibiciones anteriores, originará las acciones administrativas,
civiles o penales que correspondan
Edición: 01 - (01-10-2020)
Página 7 / 21
Código
Edición
FS-PO-SI-02
06
Fecha de elaboración
28/06/2022
Fecha de siguiente revisión
28/06/2024
DIRECCIÓN: TECNOLOGÍAS EN INFORMACIÓN
ÁREA: SEGURIDAD INFORMÁTICA
POLÍTICA SEGURIDAD DE LA INFORMACIÓN PARA EL USO DE MEDIOS EN EL COBRO CON TARJETA
Concepto
Definición
Medios de cobro
Dispositivos o plataformas electrónicas utilizadas para el cobro con tarjeta
bancaria. Estos medios pueden ser: dispositivos TPV, Pin Pad o plataformas
Vtex, Open Pay y Mercado Pago, entre otros.
Mercado Pago
Plataforma de pagos online que funciona como una billetera virtual donde los
clientes pueden pagar con tarjetas de crédito, con transferencia bancaria e
incluso efectivo; evita trámites y ahorra tiempo
Número de cuenta principal
(Personal Account Number PAN)
Número único para tarjetas de débito y crédito que identifica la cuenta del titular
de tarjeta.
Open Pay
Plataforma de pagos que permite de manera rápida y sencilla aceptar pagos
en el Sitio Web o App.
Pasarela de pagos
Es el servicio de un proveedor de aplicación de comercio electrónico, con el
que se autorizan pagos a negocios electrónicos.
Payment Card Industry - Data
Security Standard (PCI-DSS)
Estándar de seguridad para la Industria de Tarjetas de Pago, Norma
Internacional que obliga a cumplir con el estándar que ayuda a las
organizaciones a proteger la información de sus clientes, derivado del proceso
de pago con tarjeta.
Pin Pad
Dispositivo vinculado al punto de venta con el que se puede efectuar cobros
con tarjetas bancarias y monederos electrónicos, el cual requiere de conexión
a internet.
Plataforma
Sistema que sirve como base para hacer funcionar determinados módulos de
hardware o de software con los que es compatible
Protocolo de transferencia de
archivos (FTP)
Protocolo de red para la transferencia de archivos entre sistemas conectados
a una red TCP, basado en la arquitectura cliente-servidor. Desde un equipo
cliente se puede conectar a un servidor para descargar archivos desde él o
para enviarle archivos, independientemente del sistema operativo utilizado en
cada equipo.
Protocolo trivial de transferencia
de archivos (TFTP)
Protocolo simple que proporciona una función básica de transferencia de
archivos sin autenticación de usuario.
Qualys
Herramienta que se utiliza para el escaneo de vulnerabilidades, para las
pruebas de intrusión con base en la norma de cumplimiento PCI DSS y NIST.
Riesgo
Evento o condición incierta que, si se produce, tiene un efecto positivo o
negativo en la organización.
Secure Shell (SSH)
Protocolo y el nombre de programa que lo implementa cuya principal función
es el acceso remoto a un servidor por medio de un canal seguro en el que toda
la información está cifrada. SSH también permite la transferencia de archivos
de manera segura.
Secure Sockets Layer (SSL)
Tecnología que proporciona autenticación y privacidad de la información entre
extremos sobre Internet mediante el uso de criptografía. Habitualmente, solo
el servidor es autenticado (es decir, se garantiza su identidad) mientras que el
cliente se mantiene sin autenticar.
Seguridad de la información
(CIA)
Preservación de la confidencialidad, integridad y disponibilidad de la
información
La información aquí contenida es confidencial y es propiedad de Farmacias de Similares, S.A. de C.V. Queda prohibida su reproducción, copia, transformación
y/o aprovechamiento, cualquiera que sea su finalidad o medio. El incurrir en cualquiera de las prohibiciones anteriores, originará las acciones administrativas,
civiles o penales que correspondan
Edición: 01 - (01-10-2020)
Página 8 / 21
Código
Edición
FS-PO-SI-02
06
Fecha de elaboración
28/06/2022
Fecha de siguiente revisión
28/06/2024
DIRECCIÓN: TECNOLOGÍAS EN INFORMACIÓN
ÁREA: SEGURIDAD INFORMÁTICA
POLÍTICA SEGURIDAD DE LA INFORMACIÓN PARA EL USO DE MEDIOS EN EL COBRO CON TARJETA
Concepto
Definición
Sistemas e Información a
Comercios (GIC) HSBC y BBVA
Portal de consulta donde se visualiza el detalle de los cobros con tarjeta
realizados con Terminal Punto de Venta de HSBC y BBVA.
Software malicioso
Variedad de software o programas de códigos hostiles e intrusivos que tienen
como objeto infiltrarse o dañar los recursos tecnológicos, sistemas operativos,
redes de datos o sistemas de información.
Teletype Network (Telnet)
Protocolo de red TCP/IP que es utilizado desde 1960 para establecer
conexiones remotas con otros ordenadores, servidores, y dispositivos con un
sistema compatible en el acceso mediante este sistema de comunicación.
Terceros
Todas las personas, jurídicas o naturales, como proveedores, contratistas o
consultores, que provean servicios o productos a Farmacias de Similares.
Terminal Punto de Venta (TPV)
Dispositivo no vinculado al punto de venta con el que se pueden efectuar
cobros con tarjetas bancarias y monederos electrónicos, su conexión es vía
celular o por línea telefónica.
Virtual Private Network (VPN)
Tecnología de red que se utiliza para conectar una o más computadoras a una
red privada utilizando Internet. En conjunto con lo anterior, una implementación
correcta de esta tecnología permite asegurar la confidencialidad e integridad
de la información.
Vulnerabilidad tecnológica
Debilidad en el software o en el hardware que permite a un atacante
comprometer la integridad, disponibilidad o confidencialidad del sistema o de
los datos que procesa.
6. POLÍTICA
6.1. En materia de seguridad de la información para el uso de medios de cobro con tarjeta
6.1.1
La presente política debe ser revisada al menos una vez al año y mantenerse actualizada por las áreas
de Seguridad Informática, Marketing Digital y Cuentas por Cobrar, para cumplir con los propósitos de
la empresa.
6.1.2
La política de seguridad de la información para el uso de medios de cobro con tarjeta debe permanecer
disponible en el portal de procesos para consulta de los colaboradores que intervienen en la política.
6.1.3
Los activos de información de Farmacias Similares relacionados con el uso de medios de cobro con
tarjeta deben ser identificados y clasificados a través de un inventario, para establecer los mecanismos
de protección necesarios.
6.1.4
El personal interno, proveedores y todos aquellos que tengan responsabilidades sobre las fuentes,
repositorios y recursos de procesamiento de la información relacionada al uso de los medios de cobro
con tarjeta de Farmacias Similares (sistemas, recursos tecnológicos y redes de datos), deben adoptar
los lineamientos contenidos en la presente política y en los procedimientos, políticas y manuales
relacionados, con el fin de mantener la confidencialidad, la integridad y asegurar la disponibilidad de la
información.
La información aquí contenida es confidencial y es propiedad de Farmacias de Similares, S.A. de C.V. Queda prohibida su reproducción, copia, transformación
y/o aprovechamiento, cualquiera que sea su finalidad o medio. El incurrir en cualquiera de las prohibiciones anteriores, originará las acciones administrativas,
civiles o penales que correspondan
Edición: 01 - (01-10-2020)
Página 9 / 21
Código
Edición
FS-PO-SI-02
06
Fecha de elaboración
28/06/2022
Fecha de siguiente revisión
28/06/2024
DIRECCIÓN: TECNOLOGÍAS EN INFORMACIÓN
ÁREA: SEGURIDAD INFORMÁTICA
POLÍTICA SEGURIDAD DE LA INFORMACIÓN PARA EL USO DE MEDIOS EN EL COBRO CON TARJETA
6.2. En materia de control de acceso al corporativo de Farmacias Similares
6.2.1
El acceso al corporativo de Farmacias Similares por cualquier persona debe apegarse a los controles
establecidos para la seguridad de las oficinas y colaboradores. Para mayor detalle ver los FS-PE-SA15 (01) Procedimiento Atención de visitas a oficinas corporativas de las empresas del Grupo,
FS-PO-SA-06 Política Atención de visitas y colaboradores en el corporativo de las empresas del
Grupo y FS-MA-RL-07 Manual para el Personal de vigilancia de Farmacias Similares.
6.3. En materia de control de acceso y gestión de las plataformas (Open Pay, Vtex, Aranda, SPOS, GIC
BBVA, GIC HSBC, CIC, AMEX y Mercado Pago)
6.3.1
El acceso a los componentes del sistema y a los datos del titular de la tarjeta se debe limitar a aquellos
individuos cuyas tareas o puestos necesitan de ese acceso.
6.3.2
Por default se debe negar todo acceso a las plataformas (Open Pay, Vtex, Aranda, SPOS, GIC BBVA,
GIC HSBC, CIC, AMEX y Mercado Pago) excepto lo que se autorice explícitamente en el formato de
autorización.
6.3.3
La aprobación y justificación de los accesos debe quedar documentada en el FS-FO-CR-11 Formato
Solicitud de alta y modificación de usuarios en plataformas relacionadas al entorno de datos de
titular de tarjeta.
6.3.4
Los perfiles y contraseñas para el acceso a las plataformas deben ser personales, únicos e irrepetibles.
6.3.5
La asignación de los usuarios a los sistemas se debe realizar por el administrador de la plataforma de
acuerdo con la tarea y función del personal con base en la matriz de roles y funciones.
6.3.6
El control de los ID de usuarios (alta, modificación y baja) de las plataformas (Open Pay, Vtex, Aranda,
SPOS, GIC BBVA, GIC HSBC, CIC, AMEX y Mercado Pago) se debe gestionar como se cita en el FSMA-CR-01 Manual Administración del cumplimiento de la seguridad de pagos con tarjeta.
6.3.7
La gestión de la matriz de roles y funciones de cada plataforma electrónica (Open Pay, Vtex, Aranda,
SPOS, GIC BBVA, GIC HSBC, CIC, AMEX y Mercado Pago) se debe realizar conforme lo estipulado
en el FS-MA-CR-01 Manual Administración del cumplimiento de la seguridad de pagos con
tarjeta.
6.3.8
Cada 90 días se deben revisar las plataformas electrónicas donde se gestionan los accesos de los
usuarios (Open Pay, Vtex, Aranda, SPOS, GIC BBVA, GIC HSBC, CIC, AMEX y Mercado Pago), para
dar de baja aquellas cuentas que están inactivas, generando evidencia de la información revisada.
6.3.9
Todo usuario que ha causado baja debe ser reportado al administrador de la plataforma de manera
inmediata, para que sea eliminado.
6.3.10
Las cuentas de proveedores con acceso a plataformas electrónicas de Farmacias Similares deben
habilitarse solamente cuando se requiera y se cuente con el FS-FO-CR-11 Formato Solicitud de alta
y modificación de usuarios en plataformas relacionadas al entorno de datos de titular de tarjeta,
como se establece en el FS-MA-CR-01 Manual Administración del cumplimiento de la seguridad
de pagos con tarjeta.
La información aquí contenida es confidencial y es propiedad de Farmacias de Similares, S.A. de C.V. Queda prohibida su reproducción, copia, transformación
y/o aprovechamiento, cualquiera que sea su finalidad o medio. El incurrir en cualquiera de las prohibiciones anteriores, originará las acciones administrativas,
civiles o penales que correspondan
Edición: 01 - (01-10-2020)
Página 10 / 21
Código
Edición
FS-PO-SI-02
06
Fecha de elaboración
28/06/2022
Fecha de siguiente revisión
28/06/2024
DIRECCIÓN: TECNOLOGÍAS EN INFORMACIÓN
ÁREA: SEGURIDAD INFORMÁTICA
POLÍTICA SEGURIDAD DE LA INFORMACIÓN PARA EL USO DE MEDIOS EN EL COBRO CON TARJETA
6.3.11
En el FS-FO-CR-11 Formato Solicitud de alta y modificación de usuarios en plataformas
relacionadas al entorno de datos de titular de tarjeta se debe mencionar el tiempo aproximado en
que serán utilizadas las cuentas y se monitorearán mientras se encuentran en uso por el proveedor y
de lo contrario se tienen que eliminar.
6.3.12
La matriz de roles y funciones debe mantener el historial de todas las actualizaciones realizadas a los
usuarios de cada una de las plataformas electrónicas (Open Pay, Vtex, Aranda, SPOS, GIC BBVA, GIC
HSBC, CIC, AMEX y Mercado Pago) de Farmacias Similares.
6.3.13
Los datos mínimos que debe de contener la matriz de roles y funciones son:
•
•
•
•
Nombre de la plataforma
Perfil y/o rol
Estatus
Accesos permitidos
6.4. En materia de intercambio de información en medios de cobro
6.4.1
Farmacias Similares debe firmar acuerdos de confidencialidad con el personal, clientes y proveedores
que por diferentes razones requieran conocer o intercambiar información restringida o confidencial de
la empresa. En estos acuerdos deben quedar especificadas las responsabilidades para el intercambio
de la información para cada una de las partes y se debe firmar antes de permitir el acceso o uso de
dicha información.
6.4.2
La información que se requiere intercambiar se debe definir por el propietario de la misma, mediante
niveles y perfiles de autorización para acceso, modificación y eliminación de esta y son responsables
de implementar los controles que garanticen el cumplimiento de los criterios de confidencialidad e
integridad requeridos.
6.4.3
El propietario de la información, en correlación con el área de Jurídico deben solicitar al proveedor la
suscripción del correspondiente convenio de confidencialidad.
6.4.4
Los convenios de confidencialidad se deben elaborar de acuerdo con lo descrito en FS-PE-JU-09 (02)
Procedimiento Atención de documentos jurídicos.
6.4.5
Los convenios de confidencialidad deben ser validados y resguardados por el área de Jurídico, a
solicitud del usuario, para su correcto manejo y cumplimiento con la autoridad correspondiente.
6.4.6
Los terceros deben aceptar los acuerdos de confidencialidad definidos por la empresa, los cuales
reflejan los compromisos de protección y buen uso de la información de acuerdo con los criterios
establecidos.
6.4.7
El propietario de la información, previo a la divulgación de ésta debe solicitar la firma del convenio de
confidencialidad.
6.4.8
El tratamiento de la información proporcionada por el cliente debe ser conforme a las políticas
establecidas por Farmacias Similares y la Ley Federal de Protección de Datos Personales en Posesión
de Particulares.
La información aquí contenida es confidencial y es propiedad de Farmacias de Similares, S.A. de C.V. Queda prohibida su reproducción, copia, transformación
y/o aprovechamiento, cualquiera que sea su finalidad o medio. El incurrir en cualquiera de las prohibiciones anteriores, originará las acciones administrativas,
civiles o penales que correspondan
Edición: 01 - (01-10-2020)
Página 11 / 21
Código
Edición
FS-PO-SI-02
06
Fecha de elaboración
28/06/2022
Fecha de siguiente revisión
28/06/2024
DIRECCIÓN: TECNOLOGÍAS EN INFORMACIÓN
ÁREA: SEGURIDAD INFORMÁTICA
POLÍTICA SEGURIDAD DE LA INFORMACIÓN PARA EL USO DE MEDIOS EN EL COBRO CON TARJETA
6.5. En materia de proveedores de resguardo, procesamiento y trasmisión de datos de medios de cobro
6.5.1
Farmacias Similares debe asegurar previo a la contratación de proveedores que almacenen, procesen
o transmitan información derivado del uso de tarjetas de cobro, cumplan con los requerimientos de la
norma PCI, mediante la solicitud del AOC vigente o el soporte del trámite en proceso. De acuerdo con
lo descrito en el FS-PE-JU-09 (02) Procedimiento Atención de documentos jurídicos.
6.5.2
El personal y listado de proveedores con acceso al entorno PCI-DSS de Farmacias Similares deben
reportar los incidentes de seguridad, eventos sospechosos y el mal uso de los recursos tecnológicos
que identifiquen en los equipos de punto de venta o el portal de venta en línea, en Open Pay o en
Mercado Pago.
6.5.3
La actualización de alta, baja y administración del listado de proveedores con acceso al entorno PCIDSS de Farmacias Similares se debe llevar por el asesor contable responsable de Cuentas por Cobrar,
para su consulta correspondiente.
6.5.4
El listado de proveedores con acceso al entorno PCI-DSS de Farmacias Similares debe estar integrado
por proveedores que se encuentren certificados en la norma PCI vigente, el cual garantiza se cumple
con la seguridad de la información relacionada al cobro con tarjeta. En caso de no contar con esté, no
se debe considerar al proveedor para este servicio.
6.5.5
El AOC de los proveedores debe estar vigente, en caso de que vaya a terminar la vigencia el área de
Cuentas por Cobrar tienen que dar seguimiento a su actualización.
6.5.6
El acceso a plataformas, aplicaciones, servicios y en general a cualquier recurso de información
relacionado con el portal de venta en línea y las plataformas de Farmacias Similares debe ser asignado
de acuerdo con los roles y funciones del personal que se definen por el administrador de cada
plataforma
6.5.7
El área de Cuentas por Cobrar de Farmacias Similares debe administrar el listado de proveedores con
acceso al entorno PCI DSS a los proveedores de servicios que poseen, almacenan, procesan o
transmiten información de tarjetas de cobro a nombre del cliente.
6.5.8
El área de Cuentas por Cobrar de Farmacias Similares debe asegurarse anualmente, mediante la
solicitud de información a sus proveedores/bancos adquirientes relacionados con el uso de datos o
información de tarjetas, que estos y los proveedores de ellos, den cumplimento a la norma PCI-DSS,
proporcionando el AOC vigente y la matriz de responsabilidad del proveedor actualizada
6.5.9
El proceso de revisión de solicitud de información vigente se debe realizar previo al vencimiento para
contar con esta a más tardar en el mes de septiembre de cada año, por el área de Cuentas por Cobrar.
6.5.10
La revisión al cumplimiento de los AOC vigente, matriz de responsabilidad de los proveedores y de los
contratos firmados con los proveedores para el cumplimiento en materia de procesamiento,
almacenamiento y transmisión en relación con los cobros con tarjeta, debe hacerse por el área de
Auditoría.
6.6. En materia de gestión de incidentes de seguridad de datos de titular de tarjeta
6.6.1
Se deben gestionar los incidentes de seguridad de la información relacionados al CDE (Entorno de
datos de titular de tarjeta), con el fin de prevenir y mitigar el impacto de estos, de acuerdo con los
procesos establecidos de Cuentas por Cobrar y Tecnologías de la Información para su atención
correspondiente.
La información aquí contenida es confidencial y es propiedad de Farmacias de Similares, S.A. de C.V. Queda prohibida su reproducción, copia, transformación
y/o aprovechamiento, cualquiera que sea su finalidad o medio. El incurrir en cualquiera de las prohibiciones anteriores, originará las acciones administrativas,
civiles o penales que correspondan
Edición: 01 - (01-10-2020)
Página 12 / 21
Código
Edición
FS-PO-SI-02
06
Fecha de elaboración
28/06/2022
Fecha de siguiente revisión
28/06/2024
DIRECCIÓN: TECNOLOGÍAS EN INFORMACIÓN
ÁREA: SEGURIDAD INFORMÁTICA
POLÍTICA SEGURIDAD DE LA INFORMACIÓN PARA EL USO DE MEDIOS EN EL COBRO CON TARJETA
6.6.2
El personal que tenga acceso a los sistemas o aplicaciones que interactúen con algún medio de cobro
con tarjeta, debe reportar los eventos de seguridad que identifique, siguiendo los procedimientos
operativos establecidos para tal fin.
6.6.3
Todo evento o incidente relacionado al entorno CDE que sea reportado, debe ser registrado en el
Sistema Aranda, de acuerdo con la matriz de escalamiento.
6.6.4
La gestión de cada incidente se debe realizar contemplando todas las etapas de su ciclo: reporte,
asignación, tratamiento, respuesta y cierre.
6.6.5
Se deben adoptar medidas de seguridad eficientes para proteger los activos de información.
6.6.6
Los incidentes de seguridad reportados con anterioridad se deben analizar y generar la conciencia
necesaria a fin de prevenir nuevos eventos.
6.6.7
Todo incidente que afecte el CDE se debe asegurar que sea tratado a través de un proceso establecido.
6.6.8
La atención de incidentes se debe brindar durante las 24 horas del día, los 7 días de la semana por el
personal de atención definido.
6.6.9
A finales de cada mes se debe validar que no existan registros de incidentes abiertos con más de 30
días.
6.7. En materia de controles para el uso de dispositivos de cobro con tarjeta
6.7.1
Farmacias Similares debe definir e implementar controles para proteger la información relacionada al
uso de los dispositivos de cobro con tarjeta contra violaciones de autenticidad, accesos no autorizados,
la pérdida de integridad que garantizan la disponibilidad requerida por los usuarios con base en las
funciones que realiza.
6.7.2
Los controles referentes al uso de los dispositivos de cobro con tarjeta se deben cumplir de acuerdo
con lo descrito en los FS-MA-VS-01 Manual para el jefe de Sucursal, FS-MA-VS-02 Manual para el
supervisor de Ventas Propias y FS-MA-VS-04 Manual para el Cajero.
6.7.3
Las contraseñas de accesos generadas para ingresar al portal bancario GIC BBVA y GIC HSBC deben
ser enviadas al correo corporativo del usuario por el tercero. La contraseña debe de cambiarse la
primera vez que se ingresa y ésta debe ser alfanumérica.
6.7.4
Las contraseñas del portal bancario CIC deben ser enviadas al correo corporativo por el tercero, en dos
archivos distintos, uno contiene la contraseña asignada y el otro contiene una contraseña para abrir el
archivo adjunto.
6.7.5
Las contraseñas de acceso del portal bancario AMEX deben ser enviadas al correo corporativo del
usuario por el contacto asignado por Farmacias Similares, indicando que está es genérica y debe ser
cambiada la primera vez que se ingresa. La contraseña debe ser alfanumérica, contener un carácter
especial (%, &, _, ?, #, -) y con una longitud de 8 a 20 caracteres.
6.8. En materia de recursos tecnológicos para dispositivos de cobro con tarjeta
6.8.1
Los equipos de cómputo de Farmacias Similares que requieran realizar la instalación de cualquier tipo
de software o hardware se deben hacer por el área de Tecnologías en Información, y por tanto son los
únicos autorizados.
6.8.2
Sólo el personal autorizado debe realizar actividades de administración remota de dispositivos, equipos
o servidores de la infraestructura de procesamiento de información de Farmacias Similares; las
conexiones establecidas para este fin deben utilizar los esquemas y herramientas de seguridad y
administración definidos por el área de Tecnologías en Información.
La información aquí contenida es confidencial y es propiedad de Farmacias de Similares, S.A. de C.V. Queda prohibida su reproducción, copia, transformación
y/o aprovechamiento, cualquiera que sea su finalidad o medio. El incurrir en cualquiera de las prohibiciones anteriores, originará las acciones administrativas,
civiles o penales que correspondan
Edición: 01 - (01-10-2020)
Página 13 / 21
Código
Edición
FS-PO-SI-02
06
Fecha de elaboración
28/06/2022
Fecha de siguiente revisión
28/06/2024
DIRECCIÓN: TECNOLOGÍAS EN INFORMACIÓN
ÁREA: SEGURIDAD INFORMÁTICA
POLÍTICA SEGURIDAD DE LA INFORMACIÓN PARA EL USO DE MEDIOS EN EL COBRO CON TARJETA
6.9. En materia de protección contra software malicioso para dispositivos con cobro de tarjeta
6.9.1
Farmacias Similares establece que todos los recursos informáticos deben estar protegidos mediante
herramientas y software de seguridad como antivirus, antispam y otras aplicaciones que brindan
protección contra código malicioso y prevención del ingreso de este a la red institucional, en donde se
cuenta con los controles adecuados para detectar, prevenir y recuperar posibles fallos causados por
código malicioso. Es responsabilidad del área de Tecnologías en Información autorizar el uso de las
herramientas y asegurar que estas y el software de seguridad no sean deshabilitados en ninguna
circunstancia, así como de su actualización permanente.
6.9.2
No se debe realizar la desinstalación y/o desactivación de software y herramientas de seguridad
avaladas previamente por el área Tecnologías en Información de Farmacias Similares.
6.9.3
Está prohibido escribir, generar, compilar, copiar, propagar, ejecutar o intentar introducir cualquier
código de programación diseñado para auto replicarse, dañar o afectar el desempeño de cualquier
dispositivo o infraestructura tecnológica.
6.9.4
El mantener las configuraciones adecuadas con base en las mejores prácticas por el fabricante o
distribuidor de solución antivirus utilizada en Farmacias Similares y cubrir los requerimientos mínimos
por la norma PCI-DSS, debe ser garantizada por el área de Tecnologías en Información.
6.10. En materia de configuración general del antivirus
6.10.1
La administración de la solución antivirus debe ser centralizada para permitir tener el control
centralizado y monitoreo de los equipos de cómputo.
6.10.2
La consola de administración antivirus se debe proteger con autenticación de usuarios, mediante la
restricción de accesos no autorizados, roles y perfiles definidos.
6.10.3
Se debe mantener una actualización automática de firmas en las consolas de administración y
distribución para los equipos de cómputo, para proteger a los sistemas de los nuevos virus o mutaciones
de estos.
6.10.4
Se deben realizar tareas de escaneo y disponer de un análisis periódico que permitan la detección de
cualquier tipo de amenaza inactiva dentro de un sistema.
6.10.5
Se deben asignar contraseñas para la protección de la política de configuración en los equipos de
cómputo, con la finalidad de proteger los parámetros de configuración para evitar modificar privilegios,
desactivar protección o desinstalar el software por los usuarios o accesos no autorizados en los
equipos.
6.10.6
Se debe detectar, eliminar o enviar a cuarentena los software maliciosos conocidos, conforme lo
descrito en la presente política.
6.10.7
Se debe contar con notificaciones activas en caso de ocurrencia de algún problema o brote de virus, a
fin de poder reaccionar de manera inmediata.
6.10.8
En cumplimiento con la norma PCI-DSS se deben mantener los registros y logs de eventos por 1 año,
con un mínimo de disponibilidad para análisis de 3 meses.
6.10.9
Se deben realizar reportes periódicos para tener a la mano información de eventos de seguridad que
permitan llevar a cabo medidas adicionales y optimizar los niveles de seguridad.
6.10.10
Se debe realizar la configuración del sistema antivirus, la cual se describe en el FS-M-SI Manual de
Procedimiento Servicios Administrados de productos Antivirus Kaspersky en Farmacias Similares.
La información aquí contenida es confidencial y es propiedad de Farmacias de Similares, S.A. de C.V. Queda prohibida su reproducción, copia, transformación
y/o aprovechamiento, cualquiera que sea su finalidad o medio. El incurrir en cualquiera de las prohibiciones anteriores, originará las acciones administrativas,
civiles o penales que correspondan
Edición: 01 - (01-10-2020)
Página 14 / 21
Código
Edición
FS-PO-SI-02
06
Fecha de elaboración
28/06/2022
Fecha de siguiente revisión
28/06/2024
DIRECCIÓN: TECNOLOGÍAS EN INFORMACIÓN
ÁREA: SEGURIDAD INFORMÁTICA
POLÍTICA SEGURIDAD DE LA INFORMACIÓN PARA EL USO DE MEDIOS EN EL COBRO CON TARJETA
6.11. En materia de control y clasificación de activos de información relacionados con el uso de
dispositivos de cobro con tarjeta
6.11.1
Las áreas de Farmacias Similares relacionadas con el uso de los dispositivos de cobro con tarjeta
deben tener plenamente identificados los activos de información que se manejan, así como también el
valor e importancia de estos.
6.11.2
Los dueños o propietarios de la información relacionada con los dispositivos de cobro con tarjeta en
Farmacias Similares deben mantener y actualizar un inventario de sus activos de información, indicando
para cada uno sus sistemas asociados y su clasificación correspondiente:
• Activos de Información: Manuales, procedimientos de operación o soporte.
• Activos de software: Sistemas, aplicaciones, sistemas operativos, utilerías
• Activos físicos: Equipos de cómputo, dispositivos de cobro (Pin Pad, TPV), voucher.
6.11.3
Por cada tipo de dispositivo de cobro con tarjeta, debe existir un claro procedimiento en cuanto a la
impresión y destrucción de voucher, y el intercambio físico de dispositivos de cobro considerando lo
siguiente:
• Farmacias Similares debe asegurar que el envío de activos físicos se lleve a cabo por medio de
canales seguros y fácilmente trazables; si el envío a sucursales es urgente, se debe utilizar el
servicio de mensajería privada definido para tal fin y los dispositivos de cobro (TPV) deben ser
entregados y recolectados por el técnico del proveedor.
• El envío de vouchers debe hacerse por medio de mensajería privada definida por Farmacias
Similares.
• Los vouchers que ya no sean necesarios para el negocio deben ser eliminados físicamente,
tomando en cuenta las disposiciones legales vigentes, a través de los servicios del proveedor
definido por la organización.
• La recepción de vouchers se debe acusar formalmente de recibido.
6.11.4
Para las aclaraciones y seguimiento con el banco se deben compartir a los usuarios finales los últimos
cuatro dígitos de las tarjetas.
6.12. En materia de protección y ubicación de equipos relacionados al uso de dispositivos de cobro con
tarjeta
6.12.1
Las terminales bancarias, equipo de cómputo y equipos de comunicaciones relacionados al cobro,
deben:
• Ser ubicados y protegidos adecuadamente para prevenir la pérdida, daño, robo o acceso no
autorizado de los mismos.
• Adoptar los controles necesarios para mantener los equipos alejados de sitios que puedan tener
riesgo de amenazas potenciales como fuego, explosivos, agua, polvo, vibración e interferencia
electromagnética.
• Llevar el control de inventario de las TPV en el documento “Inventario de equipos TPV en
sucursales”.
• Llevar el control de inventario de las Pin Pad por medio del “Portal de Sucursales recuperable
en:
“Base
de
inventario
de
sucursales”
http://simimxmoss:8090/libti/_layouts/15/start.aspx#/Lists/Inventario%20Equipo%20de%20Cm
puto/Vista%2 0MS.aspx
• Permitir el uso de los dispositivos solo al personal autorizado y debidamente identificado.
• El cajero debe cumplir con lo establecido en el FS-MA-VS-04 Manual para el Cajero.
La información aquí contenida es confidencial y es propiedad de Farmacias de Similares, S.A. de C.V. Queda prohibida su reproducción, copia, transformación
y/o aprovechamiento, cualquiera que sea su finalidad o medio. El incurrir en cualquiera de las prohibiciones anteriores, originará las acciones administrativas,
civiles o penales que correspondan
Edición: 01 - (01-10-2020)
Página 15 / 21
Código
Edición
FS-PO-SI-02
06
Fecha de elaboración
28/06/2022
Fecha de siguiente revisión
28/06/2024
DIRECCIÓN: TECNOLOGÍAS EN INFORMACIÓN
ÁREA: SEGURIDAD INFORMÁTICA
POLÍTICA SEGURIDAD DE LA INFORMACIÓN PARA EL USO DE MEDIOS EN EL COBRO CON TARJETA
•
•
El jefe de sucursal debe cumplir con lo establecido en el FS-MA-VS-01 Manual para el jefe de
Sucursal.
El supervisor de sucursal debe cumplir con lo establecido en el FS-MA-VS-02 Manual para el
supervisor de Ventas Propias.
6.13. En materia de capacitación de dispositivos de cobro con tarjeta
6.13.1
Farmacias Similares cuenta con una plataforma E-learning a través de la cual debe capacitar a los
colaboradores de nuevo ingreso que tienen contacto con los dispositivos de cobro con tarjeta, así como
mantener actualizado el proceso en los colaboradores activos en Farmacias Similares el curso de PCI
se remite al plan de capacitación (Documento Oficial), donde se establece que todo el personal con los
puestos de gerentes, supervisores de Ventas de Sucursales, cajeros, vendedores, subjefes y jefes de
la Sucursal deben de realizar el curso de PCI vía E-learning una vez al año en el periodo de Agosto a
Octubre y todos los colaboradores de nuevo ingreso deben realizar el curso en los 3 primeros meses
(periodo de capacitación), obteniendo un resultado aprobatorio en ambos casos.
6.14. En materia de gestión de medios móviles relacionados al uso de dispositivos de cobro con tarjeta
6.14.1
El uso de medios de almacenamiento removibles (ejemplo: CDs, DVDs, USBs, memorias flash, discos
duros externos, Lap Top, cintas) sobre la infraestructura para el procesamiento de la información de
Farmacias Similares, debe estar restringido, y solo está autorizado para aquellos colaboradores cuyo
perfil del cargo y funciones lo requiera y este justificado.
6.14.2
El acceso a plataformas, aplicaciones, servicios y en general a cualquier recurso de información
relacionado con el uso de terminales bancarias de Farmacias Similares debe ser asignado de acuerdo
con la identificación previa de requerimientos de seguridad que intervienen en el uso de dispositivos de
cobro con tarjeta.
6.14.3
Toda persona que realice mantenimiento a los equipos de cómputo de la sucursal debe identificarse
para poder realizar sus actividades, y registrarse en la bitácora de acceso.
6.15. En materia del buen estado de los dispositivos de cobro con tarjeta
6.15.1
El cuidado del buen estado y del uso adecuado de los dispositivos de cobro con tarjeta en las sucursales
de Farmacias Similares, debe llevarse a cabo, conforme a lo descrito en los FS-MA-VS-02 Manual
para el supervisor de Ventas Propias y FS-MA-VS-01 Manual para el jefe de Sucursal.
6.16. En materia de desarrollo seguro de aplicaciones relacionados al uso de dispositivos de cobro con
tarjeta
6.16.1
Farmacias Similares debe contar con procesos y controles para el desarrollo de programas seguros.
Lo cual se describe en el FS-PE-DS-06 Procedimiento Desarrollo de Sistemas.
La información aquí contenida es confidencial y es propiedad de Farmacias de Similares, S.A. de C.V. Queda prohibida su reproducción, copia, transformación
y/o aprovechamiento, cualquiera que sea su finalidad o medio. El incurrir en cualquiera de las prohibiciones anteriores, originará las acciones administrativas,
civiles o penales que correspondan
Edición: 01 - (01-10-2020)
Página 16 / 21
Código
Edición
FS-PO-SI-02
06
Fecha de elaboración
28/06/2022
Fecha de siguiente revisión
28/06/2024
DIRECCIÓN: TECNOLOGÍAS EN INFORMACIÓN
ÁREA: SEGURIDAD INFORMÁTICA
POLÍTICA SEGURIDAD DE LA INFORMACIÓN PARA EL USO DE MEDIOS EN EL COBRO CON TARJETA
6.16.2
Los entornos de prueba/desarrollo deben estar separados del entorno de producción y se debe
implementar un control de acceso para reforzar la separación. Lo cual se describe en el FS-PE-DS-06
Procedimiento Desarrollo de Sistemas.
6.16.3
Los accesos a los ambientes productivos deben realizarse con cuentas de usuario diferentes a las que
se utilizan para acceder a los ambientes de desarrollo y calidad. El personal que libera a productivo
debe ser diferente al personal que desarrolla o genera pruebas de calidad.
6.16.4
Los datos de Tarjetas (PAN activos) solo deben encontrarse en ambientes productivos, no así en los
ambientes de desarrollo y/o calidad. Para ejecutar las pruebas se solicitan las tarjetas de prueba a
través del área de Cuentas por Cobrar.
6.16.5
Se deben eliminar las cuentas de desarrollo, de prueba y aplicaciones personalizadas, las ID de usuario
y las contraseñas antes de que las aplicaciones se activen o se pongan a disposición de los clientes.
6.16.6
Se deben documentar los procedimientos de control de cambios relacionados con la implementación
de parches de seguridad y las modificaciones del software. De acuerdo con lo descrito en el FS-PESC-09 Procedimiento de Gestión de cambios.
6.16.7
Los desarrolladores deben ser capacitados y actualizados en técnicas de codificación segura, por lo
menos una vez al año, según las guías y las mejores prácticas de la industria. Lo cual se describe en
el FS-PE-DS-06 Procedimiento Desarrollo de Sistemas.
6.16.8
Se debe verificar que los procesos implementados protejan las aplicaciones contra las siguientes
vulnerabilidades:
•
•
Se deben identificar los errores de inyección, desbordamiento de buffer, almacenamiento cifrado
inseguro, comunicaciones inseguras, manejo inadecuado de errores, todas las vulnerabilidades
de “alto riesgo” detectadas en el proceso de identificación de vulnerabilidades, lenguaje de
comandos entre distintos sitios (XSS), control de acceso inapropiado, falsificación de solicitudes
entre distintos sitios (CSRF) y autenticación y administración de sesión interrumpidas. Lo cual
se describe en el FS-PE-DS-06 Procedimiento Desarrollo de Sistemas.
Las vulnerabilidades detectadas para aplicaciones deben ser resueltas antes de pasar el
desarrollo a productivo; o en su caso se debe tener la carta de aceptación de riesgo firmada por
los responsables, ver FS-PE-DS-06 Procedimiento Desarrollo de Sistemas.
6.17. En materia de identificación de nuevas vulnerabilidades relacionados al uso de dispositivos de cobro
con tarjeta
6.17.1
El área de Seguridad Informática de Farmacias Similares debe contar con controles que ayudan a la
correcta administración y seguimiento relacionado con la detección de nuevas vulnerabilidades.
6.17.2
Las notificaciones y boletines recibidos por los fabricantes de tecnologías se deben atender para la
mitigación de vulnerabilidad cuando aplique de acuerdo con su impacto correspondiente.
6.17.3
La mitigación de las vulnerabilidades se debe realizar mediante la herramienta Qualys, por medio de
un escaneo que permita identificar los riesgos.
6.17.4
El calendario de escaneo de vulnerabilidades se debe validar cada año al inicio del mismo para su
aplicación en el año en curso.
6.17.5
El calendario de escaneo de vulnerabilidades debe indicar mes, semana, hora y grupo en que se debe
realizar este a cada grupo correspondiente.
La información aquí contenida es confidencial y es propiedad de Farmacias de Similares, S.A. de C.V. Queda prohibida su reproducción, copia, transformación
y/o aprovechamiento, cualquiera que sea su finalidad o medio. El incurrir en cualquiera de las prohibiciones anteriores, originará las acciones administrativas,
civiles o penales que correspondan
Edición: 01 - (01-10-2020)
Página 17 / 21
Código
Edición
FS-PO-SI-02
06
Fecha de elaboración
28/06/2022
Fecha de siguiente revisión
28/06/2024
DIRECCIÓN: TECNOLOGÍAS EN INFORMACIÓN
ÁREA: SEGURIDAD INFORMÁTICA
POLÍTICA SEGURIDAD DE LA INFORMACIÓN PARA EL USO DE MEDIOS EN EL COBRO CON TARJETA
6.17.6
Los riesgos se deben clasificar de acuerdo con las métricas del sistema de puntuación de vulnerabilidad
CVSS, esto permite identificar, priorizar y abordar los elementos de mayor riesgo más rápidamente, se
deben atender inmediatamente las vulnerabilidades críticas y altas, así se reduce la probabilidad de
que se exploten las vulnerabilidades que representan el mayor riesgo.
Escala CVSS
Gravedad
0
Ninguna
0.1 - 3.9
Baja
4.0 - 6.9
Media
7.0 - 8.9
Alta
9.0 - 10.0
Crítica
6.17.7
En caso de detectarse una vulnerabilidad clasificada con riesgo alto o crítico, se debe iniciar el
procedimiento de escaneo y remediación en los servidores identificados con la misma.
6.17.8
Se deben gestionar los controles de cambios necesarios para poder realizar, configuraciones,
instalaciones de parche, actualización de versiones, esto dependiendo de la solución que requiera la
vulnerabilidad en cuestión, para esta tarea se tiene un plazo de 30 días aproximadamente. Ver FS-PESI-10 (01) Procedimiento Atención de vulnerabilidades en servidores.
6.18. En materia de uso de internet y protocolos inseguros
6.18.1
Tratándose de acceso a información sensible o crítica del negocio por medio de redes, debe existir un
control de estas conexiones y de los usuarios que las utilizan considerando los siguientes puntos:
•
•
•
•
•
•
La navegación a internet e intranet se debe limitar de acuerdo con la Lista de sitios permitidos,
para evitar que tengan acceso a servicios no autorizados.
Limitar rutas de comunicaciones entre unidades de negocio y usuarios administrativos para
evitar que tengan acceso a servicios no autorizados.
La configuración del firewall debe restringir las conexiones desde internet hacia los dispositivos
de cobro.
El conjunto de reglas implementadas en los firewalls y routers deben ser revisadas
semestralmente
Todos los protocolos inseguros (Telnet, TFTP, FTP, entre otros) habilitados por default en las
terminales bancarias y equipos de comunicaciones relacionados al cobro que representen un
riesgo (que no sean HTTPS, SSL, SSH y VPN) deben estar deshabilitados.
El análisis de vulnerabilidades a las unidades de negocio se debe realizar semestral y
aleatoriamente para detectar posibles huecos de seguridad.
6.19. En materia de control de contraseñas para la tienda en línea
6.19.1
Las aplicaciones con las que cuenta Farmacias Similares deben tener un mecanismo de autenticación.
La información aquí contenida es confidencial y es propiedad de Farmacias de Similares, S.A. de C.V. Queda prohibida su reproducción, copia, transformación
y/o aprovechamiento, cualquiera que sea su finalidad o medio. El incurrir en cualquiera de las prohibiciones anteriores, originará las acciones administrativas,
civiles o penales que correspondan
Edición: 01 - (01-10-2020)
Página 18 / 21
Código
Edición
FS-PO-SI-02
06
Fecha de elaboración
28/06/2022
Fecha de siguiente revisión
28/06/2024
DIRECCIÓN: TECNOLOGÍAS EN INFORMACIÓN
ÁREA: SEGURIDAD INFORMÁTICA
POLÍTICA SEGURIDAD DE LA INFORMACIÓN PARA EL USO DE MEDIOS EN EL COBRO CON TARJETA
6.19.2
Las contraseñas de las plataformas Open Pay y Mercado Pago deben ser generadas por el mismo
usuario una vez que recibe el correo de activación de cuenta.
6.19.3
Las contraseñas para la plataforma de Open Pay y Vtex deben ser generadas con al menos una
mayúscula, minúscula, número y carácter especial, con una longitud mínima de 8 caracteres.
6.19.4
Los códigos son dinámicos y cada que se requiera ingresar a la plataforma Vtex se debe enviar un
código nuevo al correo electrónico.
6.19.5
Las contraseñas para la plataforma de Mercado Pago deben contener entre 6 y 20 caracteres con
números y letras (mayúsculas y minúsculas) y uno de ellos debe ser un carácter especial.
6.20. En materia de controles para el uso de dispositivos de cobro de venta en línea
6.20.1
Los controles referentes al uso de las plataformas de E-commerce y la tienda en línea debe cumplir
con lo que establezca la norma PCI, para su correcta seguridad y protección de datos e información.
6.20.2
El seguimiento de cualquier aclaración relacionada a la venta en línea se debe realizar utilizando los 6
primeros dígitos y últimos 4 visibles y los 6 intermedios (enmascarado de número de tarjeta), para su
consulta y rastreo.
6.20.3
El seguimiento de cualquier aclaración relacionada con la venta en línea en la plataforma de Mercado
Pago se debe realizar utilizando el número de aprobación de la compra realizada y los últimos y únicos
4 dígitos visibles de la tarjeta, para su consulta y rastreo.
6.20.4
La clave de acceso para ingresar a la plataforma Vtex debe tener una vigencia de 10 minutos, para
poder registrarse. En caso de pasado este tiempo, tendrá que solicitarse una nueva contraseña.
6.20.5
La clave de acceso se debe solicitar cada vez que se necesite ingresar a la plataforma Vtex.
6.21. En materia de recursos tecnológicos para venta en línea
6.21.1
Los procesadores de pago en línea (Open Pay y Mercado Pago) que utiliza Farmacias Similares y que
requieran la instalación de cualquier tipo de actualización o modificación, se debe hacer por medio de
los proveedores de acuerdo con lo estipulado en los contratos.
6.22. En materia de protección contra software malicioso para la tienda en línea
6.22.1
La gestión de seguridad de la información de la plataforma (Open Pay) debe implementarse y
mantenerse por el proveedor, la cual este avalada por un certificado de seguridad que emita la autoridad
correspondiente.
6.22.2
Los eventos sospechosos se deben reportar por el administrador de las plataformas (Open Pay, Vtex
y Mercado Pago) al proveedor para su atención oportuna.
La información aquí contenida es confidencial y es propiedad de Farmacias de Similares, S.A. de C.V. Queda prohibida su reproducción, copia, transformación
y/o aprovechamiento, cualquiera que sea su finalidad o medio. El incurrir en cualquiera de las prohibiciones anteriores, originará las acciones administrativas,
civiles o penales que correspondan
Edición: 01 - (01-10-2020)
Página 19 / 21
Código
Edición
FS-PO-SI-02
06
Fecha de elaboración
28/06/2022
Fecha de siguiente revisión
28/06/2024
DIRECCIÓN: TECNOLOGÍAS EN INFORMACIÓN
ÁREA: SEGURIDAD INFORMÁTICA
POLÍTICA SEGURIDAD DE LA INFORMACIÓN PARA EL USO DE MEDIOS EN EL COBRO CON TARJETA
6.23. En materia de reembolsos de pagos referentes al uso de plataformas electrónicas para la venta en
línea
6.23.1
En los casos en los que el cliente requiera la devolución de dinero del producto devuelto a Farmacias
Similares se debe realizar con base en lo estipulado en el artículo 82 de la Ley Federal de Protección
al Consumidor.
6.23.2
La devolución del pago al cliente se debe realizar en los casos en los que aplique y conforme a los
términos y condiciones vigentes, a través del portal del proveedor pasarela de pagos.
6.23.3
El tiempo de bonificación del pago, debe realizarse conforme a los tiempos establecidos de la institución
bancaria.
6.23.4
El tiempo máximo de devolución o aclaración del pago de productos al cliente debe ser de 25 días
hábiles.
6.23.5
Los reembolsos de la venta en línea los debe realizar el administrador de la pasarela de pagos de
Farmacias Similares.
6.23.6
Para las ventas en línea cobradas por Mercado Pago no se deben realizar reembolsos.
6.24. En materia de cuentas genéricas (Vtex)
6.24.1
En el inicio del periodo de mantenimiento y/o servicio se debe crear un usuario genérico por el
administrador de la plataforma con las especificaciones del formato de autorización para que el
proveedor pueda realizar las pruebas funcionales.
6.24.2
El usuario genérico se debe crear un día antes de iniciar el periodo de mantenimiento y/o actualización,
y notificación al proveedor se debe hacer por el administrador de la plataforma electrónica
6.24.3
Una vez que finalice el periodo de mantenimiento, actualización o integración se debe eliminar el
usuario genérico, por parte del administrador de la plataforma electrónica.
6.24.4
En la matriz de roles y funciones se debe registrar este usuario genérico, como histórico de uso para la
consulta de la información cuando se requiera o lo solicite la autoridad.
6.24.5
Los usuarios genéricos deben ser creados con el rol y justificación definida en el FS-FO-CR-11
Formato Solicitud de alta y modificación de usuarios en plataformas relacionadas al entorno de
datos de titular de tarjeta.
6.24.6
Los usuarios genéricos creados en Vtex deben ser con el rol de "Admin Super" para poderse autenticar
y realizar las integraciones necesarias.
6.25. En materia de seguridad de datos de tarjetas bancarias del cliente
6.25.1
El PAN (número de cuenta principal), datos de autenticación (CAV2/CVC2/CVV2/CID) y fecha de
vigencia o expiración de las tarjetas de los clientes no se deben compartir por ningún medio o tecnología
de comunicación de usuario final como correo electrónico, mensajería instantánea o sistemas de
colaboración.
6.25.2
Los datos de autenticación (CAV2/CVC2/CVV2/CID) y fecha de vigencia o expiración de las tarjetas de
los clientes no se deben almacenar en ninguna base de datos para evitar el mal uso de esta información.
6.25.3
El PAN (número de cuenta principal) de las tarjetas de los clientes, solo se debe almacenar
encriptándolo y únicamente se deben visualizar los primeros 6 dígitos y los últimos 4 dígitos.
La información aquí contenida es confidencial y es propiedad de Farmacias de Similares, S.A. de C.V. Queda prohibida su reproducción, copia, transformación
y/o aprovechamiento, cualquiera que sea su finalidad o medio. El incurrir en cualquiera de las prohibiciones anteriores, originará las acciones administrativas,
civiles o penales que correspondan
Edición: 01 - (01-10-2020)
Página 20 / 21
Código
Edición
FS-PO-SI-02
06
Fecha de elaboración
28/06/2022
Fecha de siguiente revisión
28/06/2024
DIRECCIÓN: TECNOLOGÍAS EN INFORMACIÓN
ÁREA: SEGURIDAD INFORMÁTICA
POLÍTICA SEGURIDAD DE LA INFORMACIÓN PARA EL USO DE MEDIOS EN EL COBRO CON TARJETA
7. DOCUMENTOS DE REFERENCIA
1.
PCI Security Standards Council, LLC. (2018). Norma de seguridad de datos de la industria de tarjetas de
pago (PCI), versión 3.2.1. junio 17, 2022, de PCI Security Standards Council, LLC Sitio web:
https://es.pcisecuritystandards.org/minisite/env2/
2.
The MITRE Corporation. (2022). Common Vulnerabilities and Exposures. junio 17, 2022, de The MITRE
Corporation Sitio web: https://cve.mitre.org/cve/
3.
The MITRE Corporation. (2022). CVE Details. junio 17, 2022, de The MITRE Corporation Sitio web:
https://www.cvedetails.com/cvss-score-charts.php
4.
The MITRE Corporation. (2022). NATIONAL VULNERABILITY DATA BASE. junio 17, 2022, de The
MITRE Corporation Sitio web: https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator
5.
Flexera Software LLC. (2022). Secunia Research Community. junio 17, 2022, de Flexera Software LLC
Sitio web: https://secuniaresearch.flexerasoftware.com/community/research/
6.
Qualys, Inc. (2022). Qualys – Vulnerability KnowledgeBase. junio 17, 2022, de Qualys, Inc Sitio web:
[email protected]
7.
Palo Alto Networks, Inc.. (2022). Palo Alto – Security Advisories. junio 17, 2022, de Palo Alto Networks,
Inc. Sitio web: https://securityadvisories.paloaltonetworks.com/
8. ANEXOS
No aplica
La información aquí contenida es confidencial y es propiedad de Farmacias de Similares, S.A. de C.V. Queda prohibida su reproducción, copia, transformación
y/o aprovechamiento, cualquiera que sea su finalidad o medio. El incurrir en cualquiera de las prohibiciones anteriores, originará las acciones administrativas,
civiles o penales que correspondan
Edición: 01 - (01-10-2020)
Página 21 / 21
Descargar
Anuncio
Anuncio