Código Edición FS-PO-SI-02 06 Fecha de elaboración 28/06/2022 Fecha de siguiente revisión 28/06/2024 DIRECCIÓN: TECNOLOGÍAS EN INFORMACIÓN ÁREA: SEGURIDAD INFORMÁTICA POLÍTICA SEGURIDAD DE LA INFORMACIÓN PARA EL USO DE MEDIOS EN EL COBRO CON TARJETA 1. FIRMAS DE APROBACIÓN Responsable de Procesos de Negocio / Documentó Nombre Puesto Fecha Estatus Aurea Zamora Romero Gerente de Proyectos y Procesos de Negocio 28/06/2022 Documentó Miguel Ángel Huitrón Martínez Ingeniero de Procesos 28/06/2022 Documentó Revisó Nombre Puesto Fecha Estatus Geisel Álvarez Aguirre Subdirector de Tecnologías de la Información 28/06/2022 Revisó César Martínez Uribe Gerente de Operaciones 28/06/2022 Revisó Mercedes Eréndira Zubillaga Vergara Gerente de Cuentas por Cobrar 05/07/2022 Revisó Autorizó Nombre Puesto Fecha Estatus Roger Jiménez Ruíz Director de Tecnologías de la Información 06/07/2022 Autorizó La información aquí contenida es confidencial y es propiedad de Farmacias de Similares, S.A. de C.V. Queda prohibida su reproducción, copia, transformación y/o aprovechamiento, cualquiera que sea su finalidad o medio. El incurrir en cualquiera de las prohibiciones anteriores, originará las acciones administrativas, civiles o penales que correspondan Edición: 01 - (01-10-2020) Página 1 / 21 Código Edición FS-PO-SI-02 06 Fecha de elaboración 28/06/2022 Fecha de siguiente revisión 28/06/2024 DIRECCIÓN: TECNOLOGÍAS EN INFORMACIÓN ÁREA: SEGURIDAD INFORMÁTICA POLÍTICA SEGURIDAD DE LA INFORMACIÓN PARA EL USO DE MEDIOS EN EL COBRO CON TARJETA 2. CONTROL DE CAMBIOS Edición afectada 05 Fecha 28 jun. 2022 Tipo de cambio Actualización Motivo Actualización de información Justificación Se actualiza la presente política en atención a la auditoría de PCI realizada en el mes de marzo del presente año. Así mismo, debido a que se han generado portales independientes para la consulta de detalles de cobro con tarjeta de los bancos BBVA y HSBC se actualiza la definición de Sistemas e Información a Comercios (GIC). Descripción del cambio 1. Se actualiza la definición Sistemas e Información a Comercios (GIC). 2. Se incluye el término "GIC BBVA" y corrige el término "GIC" por "GIC HSBC" en cada una de las menciones que se hace de "GIC" dentro de la política. Derivado de este cambio se actualiza la definición "Sistemas e Información a Comercios (GIC) HSBC" por "Sistemas e Información a comercios (GIC) HSBC y BBVA". 3. Se ajusta la cédula de firmas integrando únicamente a aquellos usuarios que están directamente involucrados con los cambios realizados en la presente política, excluyendo a los siguientes: • Director de Ventas • Director de Contraloría • Subdirector Jurídico • Gerente de Servicios Administrativos • Gerente de Auditoría • Gerente de Marketing Digital • Administrador de Proyectos 4. Se eliminan los documentos de la sección de referencias que solo se menionan en en el desarrollo de la política pero que no se utilizaron como consulta bibliográfica para la elaboración de la misma, listando los siguientes: • FS-MA-CR-01 Manual Administración del cumplimiento de la seguridad de pagos con tarjeta • FS-MA-RL-07 Manual para el Personal de vigilancia de Farmacias Similares • FS-MA-VS-01 Manual para el jefe de Sucursal • FS-MA-VS-02 Manual para el supervisor de Ventas Propias • FS-MA-VS-04 Manual para el Cajero • FS-PE-DC-20 Procedimiento Gestión de pedidos por venta en línea • FS-PE-DS-06 Procedimiento Desarrollo de Sistemas • FS-PE-JU-09 (02) Procedimiento Atención de documentos jurídicos • FS-PE-SA-15 (01) Procedimiento Atención de visitas a oficinas corporativas de las empresas del Grupo • FS-PE-SI-10 (01) Procedimiento Atención de vulnerabilidades en servidores • FS-PE-SC-09 Procedimiento de Gestión de cambios • FS-PE-VT-42 Procedimiento Cobro en farmacia La información aquí contenida es confidencial y es propiedad de Farmacias de Similares, S.A. de C.V. Queda prohibida su reproducción, copia, transformación y/o aprovechamiento, cualquiera que sea su finalidad o medio. El incurrir en cualquiera de las prohibiciones anteriores, originará las acciones administrativas, civiles o penales que correspondan Edición: 01 - (01-10-2020) Página 2 / 21 Código Edición FS-PO-SI-02 06 Fecha de elaboración 28/06/2022 Fecha de siguiente revisión 28/06/2024 DIRECCIÓN: TECNOLOGÍAS EN INFORMACIÓN ÁREA: SEGURIDAD INFORMÁTICA POLÍTICA SEGURIDAD DE LA INFORMACIÓN PARA EL USO DE MEDIOS EN EL COBRO CON TARJETA • • • FS-PO-SA-06 Política Atención de visitas y colaboradores en el corporativo de las empresas del Grupo Inventario de las TPV en el documento “Inventario de equipos TPV en sucursales”. Listado de proveedores con acceso al entorno PCI-DSS. Edición afectada 04 Fecha 4 ene. 2022 Tipo de cambio Actualización Motivo Actualización de información Justificación Asegurar que Farmacias Similares cuente con políticas para la no distribución y no almacenamiento de datos de tarjetas del cliente, e incluir a American Express y Mercado Pago dentro de las plataformas bancarias. Asimismo, cumplir con el estándar de Procesos. Descripción del cambio 1. Se agregaron políticas acerca de la no distribución y no almacenamiento de datos de la tarjeta del cliente. 2. Se agregaron los portales bancarios de American Express y Mercado Pago al listado de plataformas con las que cuenta Farmacias Similares para el pago con tarjeta. 3. Se agregó una política acerca de la creación de contraseñas de acceso para los usuarios del portal bancario de American Express. 4. Se agregó la política de regulación del seguimiento a aclaración de venta en línea realizada a través de Mercado Pago. 5. Se agregó la política acerca de la restricción de reembolso para la venta en línea realizada a través de Mercado Pago. 6. Se agregó la política que determina las características que debe tener la contraseña de acceso a la plataforma de Mercado Pago. 7. Se corrigieron las políticas de accesos para ingresar a los portales bancarios de Sistemas e Información a Comercios y Centro de Información a Comercios. 8. Se actualizaron las referencias a los procedimientos, manuales y las políticas a las que hace mención la política. 9. Se agregaron definiciones a la política para mayor entendimiento de algunos conceptos. 10. Se modificó el nombre del siguiente formato: FS-FO-CR-11 Formato Solicitud de alta y modificación de usuarios en plataformas electrónicas a FS-FO-CR-11 Formato Solicitud de alta y modificación de usuarios en plataformas relacionadas al entorno de datos de titular de tarjeta. Edición afectada Fecha 30 nov. 2020 Tipo de cambio Actualización Motivo Migración a Aris Justificación Migración a Aris Descripción del cambio 1. Migración a Aris La información aquí contenida es confidencial y es propiedad de Farmacias de Similares, S.A. de C.V. Queda prohibida su reproducción, copia, transformación y/o aprovechamiento, cualquiera que sea su finalidad o medio. El incurrir en cualquiera de las prohibiciones anteriores, originará las acciones administrativas, civiles o penales que correspondan Edición: 01 - (01-10-2020) Página 3 / 21 Código Edición FS-PO-SI-02 06 Fecha de elaboración 28/06/2022 Fecha de siguiente revisión 28/06/2024 DIRECCIÓN: TECNOLOGÍAS EN INFORMACIÓN ÁREA: SEGURIDAD INFORMÁTICA POLÍTICA SEGURIDAD DE LA INFORMACIÓN PARA EL USO DE MEDIOS EN EL COBRO CON TARJETA ÍNDICE 1. FIRMAS DE APROBACIÓN .....................................................................................................................................1 2. CONTROL DE CAMBIOS .........................................................................................................................................2 3. OBJETIVO ................................................................................................................................................................6 4. ALCANCE .................................................................................................................................................................6 5. DEFINICIONES Y SIGLAS .......................................................................................................................................6 6. POLÍTICA ..................................................................................................................................................................9 6.1. En materia de seguridad de la información para el uso de medios de cobro con tarjeta ................................9 6.2. En materia de control de acceso al corporativo de Farmacias Similares ......................................................10 6.3. En materia de control de acceso y gestión de las plataformas (Open Pay, Vtex, Aranda, SPOS, GIC BBVA, GIC HSBC, CIC, AMEX y Mercado Pago)..........................................................................................10 6.4. En materia de intercambio de información en medios de cobro ....................................................................11 6.5. En materia de proveedores de resguardo, procesamiento y trasmisión de datos de medios de cobro ........12 6.6. En materia de gestión de incidentes de seguridad de datos de titular de tarjeta ..........................................12 6.7. En materia de controles para el uso de dispositivos de cobro con tarjeta .....................................................13 6.8. En materia de recursos tecnológicos para dispositivos de cobro con tarjeta ................................................13 6.9. En materia de protección contra software malicioso para dispositivos con cobro de tarjeta .........................14 6.10. En materia de configuración general del antivirus .......................................................................................14 6.11. En materia de control y clasificación de activos de información relacionados con el uso de dispositivos de cobro con tarjeta ........................................................................................................................................15 6.12. En materia de protección y ubicación de equipos relacionados al uso de dispositivos de cobro con tarjeta ..............................................................................................................................................................15 6.13. En materia de capacitación de dispositivos de cobro con tarjeta ................................................................16 6.14. En materia de gestión de medios móviles relacionados al uso de dispositivos de cobro con tarjeta ..........16 6.15. En materia del buen estado de los dispositivos de cobro con tarjeta ..........................................................16 6.16. En materia de desarrollo seguro de aplicaciones relacionados al uso de dispositivos de cobro con tarjeta ..............................................................................................................................................................16 6.17. En materia de identificación de nuevas vulnerabilidades relacionados al uso de dispositivos de cobro con tarjeta .......................................................................................................................................................17 6.18. En materia de uso de internet y protocolos inseguros .................................................................................18 6.19. En materia de control de contraseñas para la tienda en línea .....................................................................18 6.20. En materia de controles para el uso de dispositivos de cobro de venta en línea ........................................19 6.21. En materia de recursos tecnológicos para venta en línea ...........................................................................19 6.22. En materia de protección contra software malicioso para la tienda en línea ...............................................19 6.23. En materia de reembolsos de pagos referentes al uso de plataformas electrónicas para la venta en línea ................................................................................................................................................................20 La información aquí contenida es confidencial y es propiedad de Farmacias de Similares, S.A. de C.V. Queda prohibida su reproducción, copia, transformación y/o aprovechamiento, cualquiera que sea su finalidad o medio. El incurrir en cualquiera de las prohibiciones anteriores, originará las acciones administrativas, civiles o penales que correspondan Edición: 01 - (01-10-2020) Página 4 / 21 Código Edición FS-PO-SI-02 06 Fecha de elaboración 28/06/2022 Fecha de siguiente revisión 28/06/2024 DIRECCIÓN: TECNOLOGÍAS EN INFORMACIÓN ÁREA: SEGURIDAD INFORMÁTICA POLÍTICA SEGURIDAD DE LA INFORMACIÓN PARA EL USO DE MEDIOS EN EL COBRO CON TARJETA 6.24. En materia de cuentas genéricas (Vtex) ......................................................................................................20 6.25. En materia de seguridad de datos de tarjetas bancarias del cliente ............................................................20 7. DOCUMENTOS DE REFERENCIA ........................................................................................................................21 8. ANEXOS .................................................................................................................................................................21 La información aquí contenida es confidencial y es propiedad de Farmacias de Similares, S.A. de C.V. Queda prohibida su reproducción, copia, transformación y/o aprovechamiento, cualquiera que sea su finalidad o medio. El incurrir en cualquiera de las prohibiciones anteriores, originará las acciones administrativas, civiles o penales que correspondan Edición: 01 - (01-10-2020) Página 5 / 21 Código Edición FS-PO-SI-02 06 Fecha de elaboración 28/06/2022 Fecha de siguiente revisión 28/06/2024 DIRECCIÓN: TECNOLOGÍAS EN INFORMACIÓN ÁREA: SEGURIDAD INFORMÁTICA POLÍTICA SEGURIDAD DE LA INFORMACIÓN PARA EL USO DE MEDIOS EN EL COBRO CON TARJETA 3. OBJETIVO Garantizar la seguridad de la información de los datos del tarjetahabiente en el uso de medios de cobro con tarjeta por parte de Farmacias Similares, estableciendo los lineamientos que el personal involucrado debe cumplir respecto al resguardo y manejo de la información a la que se tiene acceso, a través de los 3 pilares básicos de la seguridad de la información: confidencialidad, integridad y disponibilidad. 4. ALCANCE Actividades Áreas involucradas 1. Seguridad de la información de los datos del tarjetahabiente. 2. Cobro con Pin Pad y Terminal Punto de Venta. 3. Uso, recursos, protección y controles de los dispositivos de cobro Pin Pad y Terminal Punto de Venta. 4. Intercambio de información en dispositivos de cobro. 5. Protección contra software malicioso y vulnerabilidades. 6. Control de accesos a instalaciones de Farmacias Similares. 7. Desarrollo de aplicaciones para el uso de dispositivos de cobro. 8. Protocolos seguros y uso de internet. 9. Mantenimiento a los equipos de punto de venta. 10. Inventario Terminal Punto de Venta y Pin Pad. 11. Uso de plataformas electrónicas para venta en línea. 12. Cobro por medio de venta en línea. 1. 2. 3. 4. 5. 6. 7. 8. 9. Auditoría Cuentas por Cobrar Jurídico Soporte Punto de Venta Servicios Administrativos Tecnologías en Información Coordinación Nacional de Ventas Propias Marketing Digital Tesorería 5. DEFINICIONES Y SIGLAS Concepto Definición American Express (AMEX) Institución de Banca Múltiple son compañías globales de Servicios Integrados de Viajes y Financieros. Attestation of compliance (AOC) Declaración de conformidad avalado por el QSA y la empresa certificadora de la Norma PCI DSS que muestra los resultados de la evaluación de los puntos aplicables a dicha norma. Cardholder Data Environment– Entorno de datos de titular de tarjeta (CDE) Personas, procesos y tecnologías que almacenan, procesan o transmiten datos de tarjetas de pago o datos sensibles de autenticación. La información aquí contenida es confidencial y es propiedad de Farmacias de Similares, S.A. de C.V. Queda prohibida su reproducción, copia, transformación y/o aprovechamiento, cualquiera que sea su finalidad o medio. El incurrir en cualquiera de las prohibiciones anteriores, originará las acciones administrativas, civiles o penales que correspondan Edición: 01 - (01-10-2020) Página 6 / 21 Código Edición FS-PO-SI-02 06 Fecha de elaboración 28/06/2022 Fecha de siguiente revisión 28/06/2024 DIRECCIÓN: TECNOLOGÍAS EN INFORMACIÓN ÁREA: SEGURIDAD INFORMÁTICA POLÍTICA SEGURIDAD DE LA INFORMACIÓN PARA EL USO DE MEDIOS EN EL COBRO CON TARJETA Concepto Definición Centro de Información Comercios (CIC) Common Vulnerability System (CVSS) a Página electrónica administrada por BBVA donde se reflejan los movimientos realizados con las PIN PAD de todas las afiliaciones bancarias. Score Sistema de puntaje diseñado para proveer un método abierto y estándar que permite estimar el impacto de vulnerabilidades, por lo que se utiliza para cuantificar la severidad que pueden representar estas debilidades en el software o hardware. Confidencialidad Garantizar que la información y lo sistemas sean accedidos exclusivamente por las personas debidamente autorizadas. Datos de autenticación (CAV2/CVC2/CVV2/CID) Valores visibles al usuario y utilizados en el momento de una transacción no presencial. Dependiendo de la marca de pago asociada con la tarjeta, este código puede tener una longitud, ubicación y nombre diferente: CAV2 – Card Authentication Value 2 (tarjetas JCB) CVC2 – Card Validation Code 2 (tarjetas MasterCard) CVV2 – Card Verification Value 2 (tarjetas Visa CID – Card Identification Number (tarjetas American Express y Discover) Disponibilidad de la información Propiedad de la información que garantiza el acceso a un servicio o a los recursos, en el momento que se requiera. Dispositivos de cobro Equipos PIN PAD y Terminal Punto de Venta (TPV) que se utilizan para realizar los cobros con tarjetas. E-commerce El comercio electrónico es el proceso mediante el cual dos o más partes realizan una transacción de negocios a través de una red de acceso Hyper Text Transfer Protocol Secure (HTTPS) Protocolo bajo el que se envían los datos entre un navegador y el sitio web al que se está conectado. La 'S' al final de HTTPS significa 'Seguro', esto quiere decir que todas las comunicaciones entre un navegador y el sitio web están encriptadas. HTTPS a menudo se usa para proteger transacciones en línea altamente confidenciales como la banca en línea y los formularios de órdenes de compra en línea. Incidente de Seguridad Es un evento adverso, confirmado o bajo sospecha, que haya vulnerado la seguridad de la información o que intente vulnerarla, sin importar la información afectada, la plataforma tecnológica, la frecuencia, las consecuencias, el número de veces ocurrido o el origen (interno o externo). Instituto Nacional de Estándares y Tecnología (NIST) Marco de referencia dependiente del Departamento de Comercio de los EE. UU. el cual ayuda a los negocios a comprender mejor, administrar y reducir los riesgos de Ciberseguridad, así como proteger sus redes y datos. Integridad Propiedad de la información que pretende garantizar que los datos sean los que se supone que son, es decir, la información original tiene que ser exactamente igual a la final. Ley Federal de Protección al Consumidor Ley que promueve y protege los derechos y cultura del consumidor, procurando la equidad, certeza y seguridad jurídica en las relaciones entre proveedores y consumidores. Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP) Ley que tiene como objetivo proteger los datos personales en posesión de los particulares y regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de los individuos. Esta ley es regulada por el Instituto Nacional de Acceso a la Información. La información aquí contenida es confidencial y es propiedad de Farmacias de Similares, S.A. de C.V. Queda prohibida su reproducción, copia, transformación y/o aprovechamiento, cualquiera que sea su finalidad o medio. El incurrir en cualquiera de las prohibiciones anteriores, originará las acciones administrativas, civiles o penales que correspondan Edición: 01 - (01-10-2020) Página 7 / 21 Código Edición FS-PO-SI-02 06 Fecha de elaboración 28/06/2022 Fecha de siguiente revisión 28/06/2024 DIRECCIÓN: TECNOLOGÍAS EN INFORMACIÓN ÁREA: SEGURIDAD INFORMÁTICA POLÍTICA SEGURIDAD DE LA INFORMACIÓN PARA EL USO DE MEDIOS EN EL COBRO CON TARJETA Concepto Definición Medios de cobro Dispositivos o plataformas electrónicas utilizadas para el cobro con tarjeta bancaria. Estos medios pueden ser: dispositivos TPV, Pin Pad o plataformas Vtex, Open Pay y Mercado Pago, entre otros. Mercado Pago Plataforma de pagos online que funciona como una billetera virtual donde los clientes pueden pagar con tarjetas de crédito, con transferencia bancaria e incluso efectivo; evita trámites y ahorra tiempo Número de cuenta principal (Personal Account Number PAN) Número único para tarjetas de débito y crédito que identifica la cuenta del titular de tarjeta. Open Pay Plataforma de pagos que permite de manera rápida y sencilla aceptar pagos en el Sitio Web o App. Pasarela de pagos Es el servicio de un proveedor de aplicación de comercio electrónico, con el que se autorizan pagos a negocios electrónicos. Payment Card Industry - Data Security Standard (PCI-DSS) Estándar de seguridad para la Industria de Tarjetas de Pago, Norma Internacional que obliga a cumplir con el estándar que ayuda a las organizaciones a proteger la información de sus clientes, derivado del proceso de pago con tarjeta. Pin Pad Dispositivo vinculado al punto de venta con el que se puede efectuar cobros con tarjetas bancarias y monederos electrónicos, el cual requiere de conexión a internet. Plataforma Sistema que sirve como base para hacer funcionar determinados módulos de hardware o de software con los que es compatible Protocolo de transferencia de archivos (FTP) Protocolo de red para la transferencia de archivos entre sistemas conectados a una red TCP, basado en la arquitectura cliente-servidor. Desde un equipo cliente se puede conectar a un servidor para descargar archivos desde él o para enviarle archivos, independientemente del sistema operativo utilizado en cada equipo. Protocolo trivial de transferencia de archivos (TFTP) Protocolo simple que proporciona una función básica de transferencia de archivos sin autenticación de usuario. Qualys Herramienta que se utiliza para el escaneo de vulnerabilidades, para las pruebas de intrusión con base en la norma de cumplimiento PCI DSS y NIST. Riesgo Evento o condición incierta que, si se produce, tiene un efecto positivo o negativo en la organización. Secure Shell (SSH) Protocolo y el nombre de programa que lo implementa cuya principal función es el acceso remoto a un servidor por medio de un canal seguro en el que toda la información está cifrada. SSH también permite la transferencia de archivos de manera segura. Secure Sockets Layer (SSL) Tecnología que proporciona autenticación y privacidad de la información entre extremos sobre Internet mediante el uso de criptografía. Habitualmente, solo el servidor es autenticado (es decir, se garantiza su identidad) mientras que el cliente se mantiene sin autenticar. Seguridad de la información (CIA) Preservación de la confidencialidad, integridad y disponibilidad de la información La información aquí contenida es confidencial y es propiedad de Farmacias de Similares, S.A. de C.V. Queda prohibida su reproducción, copia, transformación y/o aprovechamiento, cualquiera que sea su finalidad o medio. El incurrir en cualquiera de las prohibiciones anteriores, originará las acciones administrativas, civiles o penales que correspondan Edición: 01 - (01-10-2020) Página 8 / 21 Código Edición FS-PO-SI-02 06 Fecha de elaboración 28/06/2022 Fecha de siguiente revisión 28/06/2024 DIRECCIÓN: TECNOLOGÍAS EN INFORMACIÓN ÁREA: SEGURIDAD INFORMÁTICA POLÍTICA SEGURIDAD DE LA INFORMACIÓN PARA EL USO DE MEDIOS EN EL COBRO CON TARJETA Concepto Definición Sistemas e Información a Comercios (GIC) HSBC y BBVA Portal de consulta donde se visualiza el detalle de los cobros con tarjeta realizados con Terminal Punto de Venta de HSBC y BBVA. Software malicioso Variedad de software o programas de códigos hostiles e intrusivos que tienen como objeto infiltrarse o dañar los recursos tecnológicos, sistemas operativos, redes de datos o sistemas de información. Teletype Network (Telnet) Protocolo de red TCP/IP que es utilizado desde 1960 para establecer conexiones remotas con otros ordenadores, servidores, y dispositivos con un sistema compatible en el acceso mediante este sistema de comunicación. Terceros Todas las personas, jurídicas o naturales, como proveedores, contratistas o consultores, que provean servicios o productos a Farmacias de Similares. Terminal Punto de Venta (TPV) Dispositivo no vinculado al punto de venta con el que se pueden efectuar cobros con tarjetas bancarias y monederos electrónicos, su conexión es vía celular o por línea telefónica. Virtual Private Network (VPN) Tecnología de red que se utiliza para conectar una o más computadoras a una red privada utilizando Internet. En conjunto con lo anterior, una implementación correcta de esta tecnología permite asegurar la confidencialidad e integridad de la información. Vulnerabilidad tecnológica Debilidad en el software o en el hardware que permite a un atacante comprometer la integridad, disponibilidad o confidencialidad del sistema o de los datos que procesa. 6. POLÍTICA 6.1. En materia de seguridad de la información para el uso de medios de cobro con tarjeta 6.1.1 La presente política debe ser revisada al menos una vez al año y mantenerse actualizada por las áreas de Seguridad Informática, Marketing Digital y Cuentas por Cobrar, para cumplir con los propósitos de la empresa. 6.1.2 La política de seguridad de la información para el uso de medios de cobro con tarjeta debe permanecer disponible en el portal de procesos para consulta de los colaboradores que intervienen en la política. 6.1.3 Los activos de información de Farmacias Similares relacionados con el uso de medios de cobro con tarjeta deben ser identificados y clasificados a través de un inventario, para establecer los mecanismos de protección necesarios. 6.1.4 El personal interno, proveedores y todos aquellos que tengan responsabilidades sobre las fuentes, repositorios y recursos de procesamiento de la información relacionada al uso de los medios de cobro con tarjeta de Farmacias Similares (sistemas, recursos tecnológicos y redes de datos), deben adoptar los lineamientos contenidos en la presente política y en los procedimientos, políticas y manuales relacionados, con el fin de mantener la confidencialidad, la integridad y asegurar la disponibilidad de la información. La información aquí contenida es confidencial y es propiedad de Farmacias de Similares, S.A. de C.V. Queda prohibida su reproducción, copia, transformación y/o aprovechamiento, cualquiera que sea su finalidad o medio. El incurrir en cualquiera de las prohibiciones anteriores, originará las acciones administrativas, civiles o penales que correspondan Edición: 01 - (01-10-2020) Página 9 / 21 Código Edición FS-PO-SI-02 06 Fecha de elaboración 28/06/2022 Fecha de siguiente revisión 28/06/2024 DIRECCIÓN: TECNOLOGÍAS EN INFORMACIÓN ÁREA: SEGURIDAD INFORMÁTICA POLÍTICA SEGURIDAD DE LA INFORMACIÓN PARA EL USO DE MEDIOS EN EL COBRO CON TARJETA 6.2. En materia de control de acceso al corporativo de Farmacias Similares 6.2.1 El acceso al corporativo de Farmacias Similares por cualquier persona debe apegarse a los controles establecidos para la seguridad de las oficinas y colaboradores. Para mayor detalle ver los FS-PE-SA15 (01) Procedimiento Atención de visitas a oficinas corporativas de las empresas del Grupo, FS-PO-SA-06 Política Atención de visitas y colaboradores en el corporativo de las empresas del Grupo y FS-MA-RL-07 Manual para el Personal de vigilancia de Farmacias Similares. 6.3. En materia de control de acceso y gestión de las plataformas (Open Pay, Vtex, Aranda, SPOS, GIC BBVA, GIC HSBC, CIC, AMEX y Mercado Pago) 6.3.1 El acceso a los componentes del sistema y a los datos del titular de la tarjeta se debe limitar a aquellos individuos cuyas tareas o puestos necesitan de ese acceso. 6.3.2 Por default se debe negar todo acceso a las plataformas (Open Pay, Vtex, Aranda, SPOS, GIC BBVA, GIC HSBC, CIC, AMEX y Mercado Pago) excepto lo que se autorice explícitamente en el formato de autorización. 6.3.3 La aprobación y justificación de los accesos debe quedar documentada en el FS-FO-CR-11 Formato Solicitud de alta y modificación de usuarios en plataformas relacionadas al entorno de datos de titular de tarjeta. 6.3.4 Los perfiles y contraseñas para el acceso a las plataformas deben ser personales, únicos e irrepetibles. 6.3.5 La asignación de los usuarios a los sistemas se debe realizar por el administrador de la plataforma de acuerdo con la tarea y función del personal con base en la matriz de roles y funciones. 6.3.6 El control de los ID de usuarios (alta, modificación y baja) de las plataformas (Open Pay, Vtex, Aranda, SPOS, GIC BBVA, GIC HSBC, CIC, AMEX y Mercado Pago) se debe gestionar como se cita en el FSMA-CR-01 Manual Administración del cumplimiento de la seguridad de pagos con tarjeta. 6.3.7 La gestión de la matriz de roles y funciones de cada plataforma electrónica (Open Pay, Vtex, Aranda, SPOS, GIC BBVA, GIC HSBC, CIC, AMEX y Mercado Pago) se debe realizar conforme lo estipulado en el FS-MA-CR-01 Manual Administración del cumplimiento de la seguridad de pagos con tarjeta. 6.3.8 Cada 90 días se deben revisar las plataformas electrónicas donde se gestionan los accesos de los usuarios (Open Pay, Vtex, Aranda, SPOS, GIC BBVA, GIC HSBC, CIC, AMEX y Mercado Pago), para dar de baja aquellas cuentas que están inactivas, generando evidencia de la información revisada. 6.3.9 Todo usuario que ha causado baja debe ser reportado al administrador de la plataforma de manera inmediata, para que sea eliminado. 6.3.10 Las cuentas de proveedores con acceso a plataformas electrónicas de Farmacias Similares deben habilitarse solamente cuando se requiera y se cuente con el FS-FO-CR-11 Formato Solicitud de alta y modificación de usuarios en plataformas relacionadas al entorno de datos de titular de tarjeta, como se establece en el FS-MA-CR-01 Manual Administración del cumplimiento de la seguridad de pagos con tarjeta. La información aquí contenida es confidencial y es propiedad de Farmacias de Similares, S.A. de C.V. Queda prohibida su reproducción, copia, transformación y/o aprovechamiento, cualquiera que sea su finalidad o medio. El incurrir en cualquiera de las prohibiciones anteriores, originará las acciones administrativas, civiles o penales que correspondan Edición: 01 - (01-10-2020) Página 10 / 21 Código Edición FS-PO-SI-02 06 Fecha de elaboración 28/06/2022 Fecha de siguiente revisión 28/06/2024 DIRECCIÓN: TECNOLOGÍAS EN INFORMACIÓN ÁREA: SEGURIDAD INFORMÁTICA POLÍTICA SEGURIDAD DE LA INFORMACIÓN PARA EL USO DE MEDIOS EN EL COBRO CON TARJETA 6.3.11 En el FS-FO-CR-11 Formato Solicitud de alta y modificación de usuarios en plataformas relacionadas al entorno de datos de titular de tarjeta se debe mencionar el tiempo aproximado en que serán utilizadas las cuentas y se monitorearán mientras se encuentran en uso por el proveedor y de lo contrario se tienen que eliminar. 6.3.12 La matriz de roles y funciones debe mantener el historial de todas las actualizaciones realizadas a los usuarios de cada una de las plataformas electrónicas (Open Pay, Vtex, Aranda, SPOS, GIC BBVA, GIC HSBC, CIC, AMEX y Mercado Pago) de Farmacias Similares. 6.3.13 Los datos mínimos que debe de contener la matriz de roles y funciones son: • • • • Nombre de la plataforma Perfil y/o rol Estatus Accesos permitidos 6.4. En materia de intercambio de información en medios de cobro 6.4.1 Farmacias Similares debe firmar acuerdos de confidencialidad con el personal, clientes y proveedores que por diferentes razones requieran conocer o intercambiar información restringida o confidencial de la empresa. En estos acuerdos deben quedar especificadas las responsabilidades para el intercambio de la información para cada una de las partes y se debe firmar antes de permitir el acceso o uso de dicha información. 6.4.2 La información que se requiere intercambiar se debe definir por el propietario de la misma, mediante niveles y perfiles de autorización para acceso, modificación y eliminación de esta y son responsables de implementar los controles que garanticen el cumplimiento de los criterios de confidencialidad e integridad requeridos. 6.4.3 El propietario de la información, en correlación con el área de Jurídico deben solicitar al proveedor la suscripción del correspondiente convenio de confidencialidad. 6.4.4 Los convenios de confidencialidad se deben elaborar de acuerdo con lo descrito en FS-PE-JU-09 (02) Procedimiento Atención de documentos jurídicos. 6.4.5 Los convenios de confidencialidad deben ser validados y resguardados por el área de Jurídico, a solicitud del usuario, para su correcto manejo y cumplimiento con la autoridad correspondiente. 6.4.6 Los terceros deben aceptar los acuerdos de confidencialidad definidos por la empresa, los cuales reflejan los compromisos de protección y buen uso de la información de acuerdo con los criterios establecidos. 6.4.7 El propietario de la información, previo a la divulgación de ésta debe solicitar la firma del convenio de confidencialidad. 6.4.8 El tratamiento de la información proporcionada por el cliente debe ser conforme a las políticas establecidas por Farmacias Similares y la Ley Federal de Protección de Datos Personales en Posesión de Particulares. La información aquí contenida es confidencial y es propiedad de Farmacias de Similares, S.A. de C.V. Queda prohibida su reproducción, copia, transformación y/o aprovechamiento, cualquiera que sea su finalidad o medio. El incurrir en cualquiera de las prohibiciones anteriores, originará las acciones administrativas, civiles o penales que correspondan Edición: 01 - (01-10-2020) Página 11 / 21 Código Edición FS-PO-SI-02 06 Fecha de elaboración 28/06/2022 Fecha de siguiente revisión 28/06/2024 DIRECCIÓN: TECNOLOGÍAS EN INFORMACIÓN ÁREA: SEGURIDAD INFORMÁTICA POLÍTICA SEGURIDAD DE LA INFORMACIÓN PARA EL USO DE MEDIOS EN EL COBRO CON TARJETA 6.5. En materia de proveedores de resguardo, procesamiento y trasmisión de datos de medios de cobro 6.5.1 Farmacias Similares debe asegurar previo a la contratación de proveedores que almacenen, procesen o transmitan información derivado del uso de tarjetas de cobro, cumplan con los requerimientos de la norma PCI, mediante la solicitud del AOC vigente o el soporte del trámite en proceso. De acuerdo con lo descrito en el FS-PE-JU-09 (02) Procedimiento Atención de documentos jurídicos. 6.5.2 El personal y listado de proveedores con acceso al entorno PCI-DSS de Farmacias Similares deben reportar los incidentes de seguridad, eventos sospechosos y el mal uso de los recursos tecnológicos que identifiquen en los equipos de punto de venta o el portal de venta en línea, en Open Pay o en Mercado Pago. 6.5.3 La actualización de alta, baja y administración del listado de proveedores con acceso al entorno PCIDSS de Farmacias Similares se debe llevar por el asesor contable responsable de Cuentas por Cobrar, para su consulta correspondiente. 6.5.4 El listado de proveedores con acceso al entorno PCI-DSS de Farmacias Similares debe estar integrado por proveedores que se encuentren certificados en la norma PCI vigente, el cual garantiza se cumple con la seguridad de la información relacionada al cobro con tarjeta. En caso de no contar con esté, no se debe considerar al proveedor para este servicio. 6.5.5 El AOC de los proveedores debe estar vigente, en caso de que vaya a terminar la vigencia el área de Cuentas por Cobrar tienen que dar seguimiento a su actualización. 6.5.6 El acceso a plataformas, aplicaciones, servicios y en general a cualquier recurso de información relacionado con el portal de venta en línea y las plataformas de Farmacias Similares debe ser asignado de acuerdo con los roles y funciones del personal que se definen por el administrador de cada plataforma 6.5.7 El área de Cuentas por Cobrar de Farmacias Similares debe administrar el listado de proveedores con acceso al entorno PCI DSS a los proveedores de servicios que poseen, almacenan, procesan o transmiten información de tarjetas de cobro a nombre del cliente. 6.5.8 El área de Cuentas por Cobrar de Farmacias Similares debe asegurarse anualmente, mediante la solicitud de información a sus proveedores/bancos adquirientes relacionados con el uso de datos o información de tarjetas, que estos y los proveedores de ellos, den cumplimento a la norma PCI-DSS, proporcionando el AOC vigente y la matriz de responsabilidad del proveedor actualizada 6.5.9 El proceso de revisión de solicitud de información vigente se debe realizar previo al vencimiento para contar con esta a más tardar en el mes de septiembre de cada año, por el área de Cuentas por Cobrar. 6.5.10 La revisión al cumplimiento de los AOC vigente, matriz de responsabilidad de los proveedores y de los contratos firmados con los proveedores para el cumplimiento en materia de procesamiento, almacenamiento y transmisión en relación con los cobros con tarjeta, debe hacerse por el área de Auditoría. 6.6. En materia de gestión de incidentes de seguridad de datos de titular de tarjeta 6.6.1 Se deben gestionar los incidentes de seguridad de la información relacionados al CDE (Entorno de datos de titular de tarjeta), con el fin de prevenir y mitigar el impacto de estos, de acuerdo con los procesos establecidos de Cuentas por Cobrar y Tecnologías de la Información para su atención correspondiente. La información aquí contenida es confidencial y es propiedad de Farmacias de Similares, S.A. de C.V. Queda prohibida su reproducción, copia, transformación y/o aprovechamiento, cualquiera que sea su finalidad o medio. El incurrir en cualquiera de las prohibiciones anteriores, originará las acciones administrativas, civiles o penales que correspondan Edición: 01 - (01-10-2020) Página 12 / 21 Código Edición FS-PO-SI-02 06 Fecha de elaboración 28/06/2022 Fecha de siguiente revisión 28/06/2024 DIRECCIÓN: TECNOLOGÍAS EN INFORMACIÓN ÁREA: SEGURIDAD INFORMÁTICA POLÍTICA SEGURIDAD DE LA INFORMACIÓN PARA EL USO DE MEDIOS EN EL COBRO CON TARJETA 6.6.2 El personal que tenga acceso a los sistemas o aplicaciones que interactúen con algún medio de cobro con tarjeta, debe reportar los eventos de seguridad que identifique, siguiendo los procedimientos operativos establecidos para tal fin. 6.6.3 Todo evento o incidente relacionado al entorno CDE que sea reportado, debe ser registrado en el Sistema Aranda, de acuerdo con la matriz de escalamiento. 6.6.4 La gestión de cada incidente se debe realizar contemplando todas las etapas de su ciclo: reporte, asignación, tratamiento, respuesta y cierre. 6.6.5 Se deben adoptar medidas de seguridad eficientes para proteger los activos de información. 6.6.6 Los incidentes de seguridad reportados con anterioridad se deben analizar y generar la conciencia necesaria a fin de prevenir nuevos eventos. 6.6.7 Todo incidente que afecte el CDE se debe asegurar que sea tratado a través de un proceso establecido. 6.6.8 La atención de incidentes se debe brindar durante las 24 horas del día, los 7 días de la semana por el personal de atención definido. 6.6.9 A finales de cada mes se debe validar que no existan registros de incidentes abiertos con más de 30 días. 6.7. En materia de controles para el uso de dispositivos de cobro con tarjeta 6.7.1 Farmacias Similares debe definir e implementar controles para proteger la información relacionada al uso de los dispositivos de cobro con tarjeta contra violaciones de autenticidad, accesos no autorizados, la pérdida de integridad que garantizan la disponibilidad requerida por los usuarios con base en las funciones que realiza. 6.7.2 Los controles referentes al uso de los dispositivos de cobro con tarjeta se deben cumplir de acuerdo con lo descrito en los FS-MA-VS-01 Manual para el jefe de Sucursal, FS-MA-VS-02 Manual para el supervisor de Ventas Propias y FS-MA-VS-04 Manual para el Cajero. 6.7.3 Las contraseñas de accesos generadas para ingresar al portal bancario GIC BBVA y GIC HSBC deben ser enviadas al correo corporativo del usuario por el tercero. La contraseña debe de cambiarse la primera vez que se ingresa y ésta debe ser alfanumérica. 6.7.4 Las contraseñas del portal bancario CIC deben ser enviadas al correo corporativo por el tercero, en dos archivos distintos, uno contiene la contraseña asignada y el otro contiene una contraseña para abrir el archivo adjunto. 6.7.5 Las contraseñas de acceso del portal bancario AMEX deben ser enviadas al correo corporativo del usuario por el contacto asignado por Farmacias Similares, indicando que está es genérica y debe ser cambiada la primera vez que se ingresa. La contraseña debe ser alfanumérica, contener un carácter especial (%, &, _, ?, #, -) y con una longitud de 8 a 20 caracteres. 6.8. En materia de recursos tecnológicos para dispositivos de cobro con tarjeta 6.8.1 Los equipos de cómputo de Farmacias Similares que requieran realizar la instalación de cualquier tipo de software o hardware se deben hacer por el área de Tecnologías en Información, y por tanto son los únicos autorizados. 6.8.2 Sólo el personal autorizado debe realizar actividades de administración remota de dispositivos, equipos o servidores de la infraestructura de procesamiento de información de Farmacias Similares; las conexiones establecidas para este fin deben utilizar los esquemas y herramientas de seguridad y administración definidos por el área de Tecnologías en Información. La información aquí contenida es confidencial y es propiedad de Farmacias de Similares, S.A. de C.V. Queda prohibida su reproducción, copia, transformación y/o aprovechamiento, cualquiera que sea su finalidad o medio. El incurrir en cualquiera de las prohibiciones anteriores, originará las acciones administrativas, civiles o penales que correspondan Edición: 01 - (01-10-2020) Página 13 / 21 Código Edición FS-PO-SI-02 06 Fecha de elaboración 28/06/2022 Fecha de siguiente revisión 28/06/2024 DIRECCIÓN: TECNOLOGÍAS EN INFORMACIÓN ÁREA: SEGURIDAD INFORMÁTICA POLÍTICA SEGURIDAD DE LA INFORMACIÓN PARA EL USO DE MEDIOS EN EL COBRO CON TARJETA 6.9. En materia de protección contra software malicioso para dispositivos con cobro de tarjeta 6.9.1 Farmacias Similares establece que todos los recursos informáticos deben estar protegidos mediante herramientas y software de seguridad como antivirus, antispam y otras aplicaciones que brindan protección contra código malicioso y prevención del ingreso de este a la red institucional, en donde se cuenta con los controles adecuados para detectar, prevenir y recuperar posibles fallos causados por código malicioso. Es responsabilidad del área de Tecnologías en Información autorizar el uso de las herramientas y asegurar que estas y el software de seguridad no sean deshabilitados en ninguna circunstancia, así como de su actualización permanente. 6.9.2 No se debe realizar la desinstalación y/o desactivación de software y herramientas de seguridad avaladas previamente por el área Tecnologías en Información de Farmacias Similares. 6.9.3 Está prohibido escribir, generar, compilar, copiar, propagar, ejecutar o intentar introducir cualquier código de programación diseñado para auto replicarse, dañar o afectar el desempeño de cualquier dispositivo o infraestructura tecnológica. 6.9.4 El mantener las configuraciones adecuadas con base en las mejores prácticas por el fabricante o distribuidor de solución antivirus utilizada en Farmacias Similares y cubrir los requerimientos mínimos por la norma PCI-DSS, debe ser garantizada por el área de Tecnologías en Información. 6.10. En materia de configuración general del antivirus 6.10.1 La administración de la solución antivirus debe ser centralizada para permitir tener el control centralizado y monitoreo de los equipos de cómputo. 6.10.2 La consola de administración antivirus se debe proteger con autenticación de usuarios, mediante la restricción de accesos no autorizados, roles y perfiles definidos. 6.10.3 Se debe mantener una actualización automática de firmas en las consolas de administración y distribución para los equipos de cómputo, para proteger a los sistemas de los nuevos virus o mutaciones de estos. 6.10.4 Se deben realizar tareas de escaneo y disponer de un análisis periódico que permitan la detección de cualquier tipo de amenaza inactiva dentro de un sistema. 6.10.5 Se deben asignar contraseñas para la protección de la política de configuración en los equipos de cómputo, con la finalidad de proteger los parámetros de configuración para evitar modificar privilegios, desactivar protección o desinstalar el software por los usuarios o accesos no autorizados en los equipos. 6.10.6 Se debe detectar, eliminar o enviar a cuarentena los software maliciosos conocidos, conforme lo descrito en la presente política. 6.10.7 Se debe contar con notificaciones activas en caso de ocurrencia de algún problema o brote de virus, a fin de poder reaccionar de manera inmediata. 6.10.8 En cumplimiento con la norma PCI-DSS se deben mantener los registros y logs de eventos por 1 año, con un mínimo de disponibilidad para análisis de 3 meses. 6.10.9 Se deben realizar reportes periódicos para tener a la mano información de eventos de seguridad que permitan llevar a cabo medidas adicionales y optimizar los niveles de seguridad. 6.10.10 Se debe realizar la configuración del sistema antivirus, la cual se describe en el FS-M-SI Manual de Procedimiento Servicios Administrados de productos Antivirus Kaspersky en Farmacias Similares. La información aquí contenida es confidencial y es propiedad de Farmacias de Similares, S.A. de C.V. Queda prohibida su reproducción, copia, transformación y/o aprovechamiento, cualquiera que sea su finalidad o medio. El incurrir en cualquiera de las prohibiciones anteriores, originará las acciones administrativas, civiles o penales que correspondan Edición: 01 - (01-10-2020) Página 14 / 21 Código Edición FS-PO-SI-02 06 Fecha de elaboración 28/06/2022 Fecha de siguiente revisión 28/06/2024 DIRECCIÓN: TECNOLOGÍAS EN INFORMACIÓN ÁREA: SEGURIDAD INFORMÁTICA POLÍTICA SEGURIDAD DE LA INFORMACIÓN PARA EL USO DE MEDIOS EN EL COBRO CON TARJETA 6.11. En materia de control y clasificación de activos de información relacionados con el uso de dispositivos de cobro con tarjeta 6.11.1 Las áreas de Farmacias Similares relacionadas con el uso de los dispositivos de cobro con tarjeta deben tener plenamente identificados los activos de información que se manejan, así como también el valor e importancia de estos. 6.11.2 Los dueños o propietarios de la información relacionada con los dispositivos de cobro con tarjeta en Farmacias Similares deben mantener y actualizar un inventario de sus activos de información, indicando para cada uno sus sistemas asociados y su clasificación correspondiente: • Activos de Información: Manuales, procedimientos de operación o soporte. • Activos de software: Sistemas, aplicaciones, sistemas operativos, utilerías • Activos físicos: Equipos de cómputo, dispositivos de cobro (Pin Pad, TPV), voucher. 6.11.3 Por cada tipo de dispositivo de cobro con tarjeta, debe existir un claro procedimiento en cuanto a la impresión y destrucción de voucher, y el intercambio físico de dispositivos de cobro considerando lo siguiente: • Farmacias Similares debe asegurar que el envío de activos físicos se lleve a cabo por medio de canales seguros y fácilmente trazables; si el envío a sucursales es urgente, se debe utilizar el servicio de mensajería privada definido para tal fin y los dispositivos de cobro (TPV) deben ser entregados y recolectados por el técnico del proveedor. • El envío de vouchers debe hacerse por medio de mensajería privada definida por Farmacias Similares. • Los vouchers que ya no sean necesarios para el negocio deben ser eliminados físicamente, tomando en cuenta las disposiciones legales vigentes, a través de los servicios del proveedor definido por la organización. • La recepción de vouchers se debe acusar formalmente de recibido. 6.11.4 Para las aclaraciones y seguimiento con el banco se deben compartir a los usuarios finales los últimos cuatro dígitos de las tarjetas. 6.12. En materia de protección y ubicación de equipos relacionados al uso de dispositivos de cobro con tarjeta 6.12.1 Las terminales bancarias, equipo de cómputo y equipos de comunicaciones relacionados al cobro, deben: • Ser ubicados y protegidos adecuadamente para prevenir la pérdida, daño, robo o acceso no autorizado de los mismos. • Adoptar los controles necesarios para mantener los equipos alejados de sitios que puedan tener riesgo de amenazas potenciales como fuego, explosivos, agua, polvo, vibración e interferencia electromagnética. • Llevar el control de inventario de las TPV en el documento “Inventario de equipos TPV en sucursales”. • Llevar el control de inventario de las Pin Pad por medio del “Portal de Sucursales recuperable en: “Base de inventario de sucursales” http://simimxmoss:8090/libti/_layouts/15/start.aspx#/Lists/Inventario%20Equipo%20de%20Cm puto/Vista%2 0MS.aspx • Permitir el uso de los dispositivos solo al personal autorizado y debidamente identificado. • El cajero debe cumplir con lo establecido en el FS-MA-VS-04 Manual para el Cajero. La información aquí contenida es confidencial y es propiedad de Farmacias de Similares, S.A. de C.V. Queda prohibida su reproducción, copia, transformación y/o aprovechamiento, cualquiera que sea su finalidad o medio. El incurrir en cualquiera de las prohibiciones anteriores, originará las acciones administrativas, civiles o penales que correspondan Edición: 01 - (01-10-2020) Página 15 / 21 Código Edición FS-PO-SI-02 06 Fecha de elaboración 28/06/2022 Fecha de siguiente revisión 28/06/2024 DIRECCIÓN: TECNOLOGÍAS EN INFORMACIÓN ÁREA: SEGURIDAD INFORMÁTICA POLÍTICA SEGURIDAD DE LA INFORMACIÓN PARA EL USO DE MEDIOS EN EL COBRO CON TARJETA • • El jefe de sucursal debe cumplir con lo establecido en el FS-MA-VS-01 Manual para el jefe de Sucursal. El supervisor de sucursal debe cumplir con lo establecido en el FS-MA-VS-02 Manual para el supervisor de Ventas Propias. 6.13. En materia de capacitación de dispositivos de cobro con tarjeta 6.13.1 Farmacias Similares cuenta con una plataforma E-learning a través de la cual debe capacitar a los colaboradores de nuevo ingreso que tienen contacto con los dispositivos de cobro con tarjeta, así como mantener actualizado el proceso en los colaboradores activos en Farmacias Similares el curso de PCI se remite al plan de capacitación (Documento Oficial), donde se establece que todo el personal con los puestos de gerentes, supervisores de Ventas de Sucursales, cajeros, vendedores, subjefes y jefes de la Sucursal deben de realizar el curso de PCI vía E-learning una vez al año en el periodo de Agosto a Octubre y todos los colaboradores de nuevo ingreso deben realizar el curso en los 3 primeros meses (periodo de capacitación), obteniendo un resultado aprobatorio en ambos casos. 6.14. En materia de gestión de medios móviles relacionados al uso de dispositivos de cobro con tarjeta 6.14.1 El uso de medios de almacenamiento removibles (ejemplo: CDs, DVDs, USBs, memorias flash, discos duros externos, Lap Top, cintas) sobre la infraestructura para el procesamiento de la información de Farmacias Similares, debe estar restringido, y solo está autorizado para aquellos colaboradores cuyo perfil del cargo y funciones lo requiera y este justificado. 6.14.2 El acceso a plataformas, aplicaciones, servicios y en general a cualquier recurso de información relacionado con el uso de terminales bancarias de Farmacias Similares debe ser asignado de acuerdo con la identificación previa de requerimientos de seguridad que intervienen en el uso de dispositivos de cobro con tarjeta. 6.14.3 Toda persona que realice mantenimiento a los equipos de cómputo de la sucursal debe identificarse para poder realizar sus actividades, y registrarse en la bitácora de acceso. 6.15. En materia del buen estado de los dispositivos de cobro con tarjeta 6.15.1 El cuidado del buen estado y del uso adecuado de los dispositivos de cobro con tarjeta en las sucursales de Farmacias Similares, debe llevarse a cabo, conforme a lo descrito en los FS-MA-VS-02 Manual para el supervisor de Ventas Propias y FS-MA-VS-01 Manual para el jefe de Sucursal. 6.16. En materia de desarrollo seguro de aplicaciones relacionados al uso de dispositivos de cobro con tarjeta 6.16.1 Farmacias Similares debe contar con procesos y controles para el desarrollo de programas seguros. Lo cual se describe en el FS-PE-DS-06 Procedimiento Desarrollo de Sistemas. La información aquí contenida es confidencial y es propiedad de Farmacias de Similares, S.A. de C.V. Queda prohibida su reproducción, copia, transformación y/o aprovechamiento, cualquiera que sea su finalidad o medio. El incurrir en cualquiera de las prohibiciones anteriores, originará las acciones administrativas, civiles o penales que correspondan Edición: 01 - (01-10-2020) Página 16 / 21 Código Edición FS-PO-SI-02 06 Fecha de elaboración 28/06/2022 Fecha de siguiente revisión 28/06/2024 DIRECCIÓN: TECNOLOGÍAS EN INFORMACIÓN ÁREA: SEGURIDAD INFORMÁTICA POLÍTICA SEGURIDAD DE LA INFORMACIÓN PARA EL USO DE MEDIOS EN EL COBRO CON TARJETA 6.16.2 Los entornos de prueba/desarrollo deben estar separados del entorno de producción y se debe implementar un control de acceso para reforzar la separación. Lo cual se describe en el FS-PE-DS-06 Procedimiento Desarrollo de Sistemas. 6.16.3 Los accesos a los ambientes productivos deben realizarse con cuentas de usuario diferentes a las que se utilizan para acceder a los ambientes de desarrollo y calidad. El personal que libera a productivo debe ser diferente al personal que desarrolla o genera pruebas de calidad. 6.16.4 Los datos de Tarjetas (PAN activos) solo deben encontrarse en ambientes productivos, no así en los ambientes de desarrollo y/o calidad. Para ejecutar las pruebas se solicitan las tarjetas de prueba a través del área de Cuentas por Cobrar. 6.16.5 Se deben eliminar las cuentas de desarrollo, de prueba y aplicaciones personalizadas, las ID de usuario y las contraseñas antes de que las aplicaciones se activen o se pongan a disposición de los clientes. 6.16.6 Se deben documentar los procedimientos de control de cambios relacionados con la implementación de parches de seguridad y las modificaciones del software. De acuerdo con lo descrito en el FS-PESC-09 Procedimiento de Gestión de cambios. 6.16.7 Los desarrolladores deben ser capacitados y actualizados en técnicas de codificación segura, por lo menos una vez al año, según las guías y las mejores prácticas de la industria. Lo cual se describe en el FS-PE-DS-06 Procedimiento Desarrollo de Sistemas. 6.16.8 Se debe verificar que los procesos implementados protejan las aplicaciones contra las siguientes vulnerabilidades: • • Se deben identificar los errores de inyección, desbordamiento de buffer, almacenamiento cifrado inseguro, comunicaciones inseguras, manejo inadecuado de errores, todas las vulnerabilidades de “alto riesgo” detectadas en el proceso de identificación de vulnerabilidades, lenguaje de comandos entre distintos sitios (XSS), control de acceso inapropiado, falsificación de solicitudes entre distintos sitios (CSRF) y autenticación y administración de sesión interrumpidas. Lo cual se describe en el FS-PE-DS-06 Procedimiento Desarrollo de Sistemas. Las vulnerabilidades detectadas para aplicaciones deben ser resueltas antes de pasar el desarrollo a productivo; o en su caso se debe tener la carta de aceptación de riesgo firmada por los responsables, ver FS-PE-DS-06 Procedimiento Desarrollo de Sistemas. 6.17. En materia de identificación de nuevas vulnerabilidades relacionados al uso de dispositivos de cobro con tarjeta 6.17.1 El área de Seguridad Informática de Farmacias Similares debe contar con controles que ayudan a la correcta administración y seguimiento relacionado con la detección de nuevas vulnerabilidades. 6.17.2 Las notificaciones y boletines recibidos por los fabricantes de tecnologías se deben atender para la mitigación de vulnerabilidad cuando aplique de acuerdo con su impacto correspondiente. 6.17.3 La mitigación de las vulnerabilidades se debe realizar mediante la herramienta Qualys, por medio de un escaneo que permita identificar los riesgos. 6.17.4 El calendario de escaneo de vulnerabilidades se debe validar cada año al inicio del mismo para su aplicación en el año en curso. 6.17.5 El calendario de escaneo de vulnerabilidades debe indicar mes, semana, hora y grupo en que se debe realizar este a cada grupo correspondiente. La información aquí contenida es confidencial y es propiedad de Farmacias de Similares, S.A. de C.V. Queda prohibida su reproducción, copia, transformación y/o aprovechamiento, cualquiera que sea su finalidad o medio. El incurrir en cualquiera de las prohibiciones anteriores, originará las acciones administrativas, civiles o penales que correspondan Edición: 01 - (01-10-2020) Página 17 / 21 Código Edición FS-PO-SI-02 06 Fecha de elaboración 28/06/2022 Fecha de siguiente revisión 28/06/2024 DIRECCIÓN: TECNOLOGÍAS EN INFORMACIÓN ÁREA: SEGURIDAD INFORMÁTICA POLÍTICA SEGURIDAD DE LA INFORMACIÓN PARA EL USO DE MEDIOS EN EL COBRO CON TARJETA 6.17.6 Los riesgos se deben clasificar de acuerdo con las métricas del sistema de puntuación de vulnerabilidad CVSS, esto permite identificar, priorizar y abordar los elementos de mayor riesgo más rápidamente, se deben atender inmediatamente las vulnerabilidades críticas y altas, así se reduce la probabilidad de que se exploten las vulnerabilidades que representan el mayor riesgo. Escala CVSS Gravedad 0 Ninguna 0.1 - 3.9 Baja 4.0 - 6.9 Media 7.0 - 8.9 Alta 9.0 - 10.0 Crítica 6.17.7 En caso de detectarse una vulnerabilidad clasificada con riesgo alto o crítico, se debe iniciar el procedimiento de escaneo y remediación en los servidores identificados con la misma. 6.17.8 Se deben gestionar los controles de cambios necesarios para poder realizar, configuraciones, instalaciones de parche, actualización de versiones, esto dependiendo de la solución que requiera la vulnerabilidad en cuestión, para esta tarea se tiene un plazo de 30 días aproximadamente. Ver FS-PESI-10 (01) Procedimiento Atención de vulnerabilidades en servidores. 6.18. En materia de uso de internet y protocolos inseguros 6.18.1 Tratándose de acceso a información sensible o crítica del negocio por medio de redes, debe existir un control de estas conexiones y de los usuarios que las utilizan considerando los siguientes puntos: • • • • • • La navegación a internet e intranet se debe limitar de acuerdo con la Lista de sitios permitidos, para evitar que tengan acceso a servicios no autorizados. Limitar rutas de comunicaciones entre unidades de negocio y usuarios administrativos para evitar que tengan acceso a servicios no autorizados. La configuración del firewall debe restringir las conexiones desde internet hacia los dispositivos de cobro. El conjunto de reglas implementadas en los firewalls y routers deben ser revisadas semestralmente Todos los protocolos inseguros (Telnet, TFTP, FTP, entre otros) habilitados por default en las terminales bancarias y equipos de comunicaciones relacionados al cobro que representen un riesgo (que no sean HTTPS, SSL, SSH y VPN) deben estar deshabilitados. El análisis de vulnerabilidades a las unidades de negocio se debe realizar semestral y aleatoriamente para detectar posibles huecos de seguridad. 6.19. En materia de control de contraseñas para la tienda en línea 6.19.1 Las aplicaciones con las que cuenta Farmacias Similares deben tener un mecanismo de autenticación. La información aquí contenida es confidencial y es propiedad de Farmacias de Similares, S.A. de C.V. Queda prohibida su reproducción, copia, transformación y/o aprovechamiento, cualquiera que sea su finalidad o medio. El incurrir en cualquiera de las prohibiciones anteriores, originará las acciones administrativas, civiles o penales que correspondan Edición: 01 - (01-10-2020) Página 18 / 21 Código Edición FS-PO-SI-02 06 Fecha de elaboración 28/06/2022 Fecha de siguiente revisión 28/06/2024 DIRECCIÓN: TECNOLOGÍAS EN INFORMACIÓN ÁREA: SEGURIDAD INFORMÁTICA POLÍTICA SEGURIDAD DE LA INFORMACIÓN PARA EL USO DE MEDIOS EN EL COBRO CON TARJETA 6.19.2 Las contraseñas de las plataformas Open Pay y Mercado Pago deben ser generadas por el mismo usuario una vez que recibe el correo de activación de cuenta. 6.19.3 Las contraseñas para la plataforma de Open Pay y Vtex deben ser generadas con al menos una mayúscula, minúscula, número y carácter especial, con una longitud mínima de 8 caracteres. 6.19.4 Los códigos son dinámicos y cada que se requiera ingresar a la plataforma Vtex se debe enviar un código nuevo al correo electrónico. 6.19.5 Las contraseñas para la plataforma de Mercado Pago deben contener entre 6 y 20 caracteres con números y letras (mayúsculas y minúsculas) y uno de ellos debe ser un carácter especial. 6.20. En materia de controles para el uso de dispositivos de cobro de venta en línea 6.20.1 Los controles referentes al uso de las plataformas de E-commerce y la tienda en línea debe cumplir con lo que establezca la norma PCI, para su correcta seguridad y protección de datos e información. 6.20.2 El seguimiento de cualquier aclaración relacionada a la venta en línea se debe realizar utilizando los 6 primeros dígitos y últimos 4 visibles y los 6 intermedios (enmascarado de número de tarjeta), para su consulta y rastreo. 6.20.3 El seguimiento de cualquier aclaración relacionada con la venta en línea en la plataforma de Mercado Pago se debe realizar utilizando el número de aprobación de la compra realizada y los últimos y únicos 4 dígitos visibles de la tarjeta, para su consulta y rastreo. 6.20.4 La clave de acceso para ingresar a la plataforma Vtex debe tener una vigencia de 10 minutos, para poder registrarse. En caso de pasado este tiempo, tendrá que solicitarse una nueva contraseña. 6.20.5 La clave de acceso se debe solicitar cada vez que se necesite ingresar a la plataforma Vtex. 6.21. En materia de recursos tecnológicos para venta en línea 6.21.1 Los procesadores de pago en línea (Open Pay y Mercado Pago) que utiliza Farmacias Similares y que requieran la instalación de cualquier tipo de actualización o modificación, se debe hacer por medio de los proveedores de acuerdo con lo estipulado en los contratos. 6.22. En materia de protección contra software malicioso para la tienda en línea 6.22.1 La gestión de seguridad de la información de la plataforma (Open Pay) debe implementarse y mantenerse por el proveedor, la cual este avalada por un certificado de seguridad que emita la autoridad correspondiente. 6.22.2 Los eventos sospechosos se deben reportar por el administrador de las plataformas (Open Pay, Vtex y Mercado Pago) al proveedor para su atención oportuna. La información aquí contenida es confidencial y es propiedad de Farmacias de Similares, S.A. de C.V. Queda prohibida su reproducción, copia, transformación y/o aprovechamiento, cualquiera que sea su finalidad o medio. El incurrir en cualquiera de las prohibiciones anteriores, originará las acciones administrativas, civiles o penales que correspondan Edición: 01 - (01-10-2020) Página 19 / 21 Código Edición FS-PO-SI-02 06 Fecha de elaboración 28/06/2022 Fecha de siguiente revisión 28/06/2024 DIRECCIÓN: TECNOLOGÍAS EN INFORMACIÓN ÁREA: SEGURIDAD INFORMÁTICA POLÍTICA SEGURIDAD DE LA INFORMACIÓN PARA EL USO DE MEDIOS EN EL COBRO CON TARJETA 6.23. En materia de reembolsos de pagos referentes al uso de plataformas electrónicas para la venta en línea 6.23.1 En los casos en los que el cliente requiera la devolución de dinero del producto devuelto a Farmacias Similares se debe realizar con base en lo estipulado en el artículo 82 de la Ley Federal de Protección al Consumidor. 6.23.2 La devolución del pago al cliente se debe realizar en los casos en los que aplique y conforme a los términos y condiciones vigentes, a través del portal del proveedor pasarela de pagos. 6.23.3 El tiempo de bonificación del pago, debe realizarse conforme a los tiempos establecidos de la institución bancaria. 6.23.4 El tiempo máximo de devolución o aclaración del pago de productos al cliente debe ser de 25 días hábiles. 6.23.5 Los reembolsos de la venta en línea los debe realizar el administrador de la pasarela de pagos de Farmacias Similares. 6.23.6 Para las ventas en línea cobradas por Mercado Pago no se deben realizar reembolsos. 6.24. En materia de cuentas genéricas (Vtex) 6.24.1 En el inicio del periodo de mantenimiento y/o servicio se debe crear un usuario genérico por el administrador de la plataforma con las especificaciones del formato de autorización para que el proveedor pueda realizar las pruebas funcionales. 6.24.2 El usuario genérico se debe crear un día antes de iniciar el periodo de mantenimiento y/o actualización, y notificación al proveedor se debe hacer por el administrador de la plataforma electrónica 6.24.3 Una vez que finalice el periodo de mantenimiento, actualización o integración se debe eliminar el usuario genérico, por parte del administrador de la plataforma electrónica. 6.24.4 En la matriz de roles y funciones se debe registrar este usuario genérico, como histórico de uso para la consulta de la información cuando se requiera o lo solicite la autoridad. 6.24.5 Los usuarios genéricos deben ser creados con el rol y justificación definida en el FS-FO-CR-11 Formato Solicitud de alta y modificación de usuarios en plataformas relacionadas al entorno de datos de titular de tarjeta. 6.24.6 Los usuarios genéricos creados en Vtex deben ser con el rol de "Admin Super" para poderse autenticar y realizar las integraciones necesarias. 6.25. En materia de seguridad de datos de tarjetas bancarias del cliente 6.25.1 El PAN (número de cuenta principal), datos de autenticación (CAV2/CVC2/CVV2/CID) y fecha de vigencia o expiración de las tarjetas de los clientes no se deben compartir por ningún medio o tecnología de comunicación de usuario final como correo electrónico, mensajería instantánea o sistemas de colaboración. 6.25.2 Los datos de autenticación (CAV2/CVC2/CVV2/CID) y fecha de vigencia o expiración de las tarjetas de los clientes no se deben almacenar en ninguna base de datos para evitar el mal uso de esta información. 6.25.3 El PAN (número de cuenta principal) de las tarjetas de los clientes, solo se debe almacenar encriptándolo y únicamente se deben visualizar los primeros 6 dígitos y los últimos 4 dígitos. La información aquí contenida es confidencial y es propiedad de Farmacias de Similares, S.A. de C.V. Queda prohibida su reproducción, copia, transformación y/o aprovechamiento, cualquiera que sea su finalidad o medio. El incurrir en cualquiera de las prohibiciones anteriores, originará las acciones administrativas, civiles o penales que correspondan Edición: 01 - (01-10-2020) Página 20 / 21 Código Edición FS-PO-SI-02 06 Fecha de elaboración 28/06/2022 Fecha de siguiente revisión 28/06/2024 DIRECCIÓN: TECNOLOGÍAS EN INFORMACIÓN ÁREA: SEGURIDAD INFORMÁTICA POLÍTICA SEGURIDAD DE LA INFORMACIÓN PARA EL USO DE MEDIOS EN EL COBRO CON TARJETA 7. DOCUMENTOS DE REFERENCIA 1. PCI Security Standards Council, LLC. (2018). Norma de seguridad de datos de la industria de tarjetas de pago (PCI), versión 3.2.1. junio 17, 2022, de PCI Security Standards Council, LLC Sitio web: https://es.pcisecuritystandards.org/minisite/env2/ 2. The MITRE Corporation. (2022). Common Vulnerabilities and Exposures. junio 17, 2022, de The MITRE Corporation Sitio web: https://cve.mitre.org/cve/ 3. The MITRE Corporation. (2022). CVE Details. junio 17, 2022, de The MITRE Corporation Sitio web: https://www.cvedetails.com/cvss-score-charts.php 4. The MITRE Corporation. (2022). NATIONAL VULNERABILITY DATA BASE. junio 17, 2022, de The MITRE Corporation Sitio web: https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator 5. Flexera Software LLC. (2022). Secunia Research Community. junio 17, 2022, de Flexera Software LLC Sitio web: https://secuniaresearch.flexerasoftware.com/community/research/ 6. Qualys, Inc. (2022). Qualys – Vulnerability KnowledgeBase. junio 17, 2022, de Qualys, Inc Sitio web: [email protected] 7. Palo Alto Networks, Inc.. (2022). Palo Alto – Security Advisories. junio 17, 2022, de Palo Alto Networks, Inc. Sitio web: https://securityadvisories.paloaltonetworks.com/ 8. ANEXOS No aplica La información aquí contenida es confidencial y es propiedad de Farmacias de Similares, S.A. de C.V. Queda prohibida su reproducción, copia, transformación y/o aprovechamiento, cualquiera que sea su finalidad o medio. El incurrir en cualquiera de las prohibiciones anteriores, originará las acciones administrativas, civiles o penales que correspondan Edición: 01 - (01-10-2020) Página 21 / 21