4.1. Se deben asegurar canales para realizar la transferencia de información entre wolkvox y las partes externas, dicha información debió ser previamente clasificada, valorada y etiquetada tal como se define en el Procedimiento para la Clasificación y el Registro de Activos de Información, y debe por lo tanto considerarse dicha clasificación para establecer el mejor mecanismo de transferencia de información.
4.2. El intercambio de información (electrónica o física) catalogada como Restringida o Para Uso Interno, perteneciente a wolkvox, con terceros, podrá realizarse bajo el establecimiento previo de un acuerdo (convenio o contrato), incluyendo una cláusula de confidencialidad y no divulgación de la información proporcionada.
La solicitud de intercambio de información puede ser por requerimientos de wolkvox, o de un tercero que, ante disposiciones legales, directrices del gobierno, o las asociadas a una relación de negocios en curso hacen necesaria dicha interoperabilidad.
El intercambio de información electrónica clasificada como Restringida o Para Uso Interno, debe realizarse por canales cifrados que garanticen la protección de la confidencialidad de la información y que cumpla con la política de controles criptográficos (Ver Política de Seguridad de la Información, numeral 6.10), esto debe quedar registrado en los convenios o acuerdos de intercambio de información que firmen las partes.
El intercambio de información Restringida o Para Uso Interno, perteneciente a wolkvox, que se encuentre en formatos físicos debe estar debidamente etiquetada. El intercambio debe realizarse en un sobre sellado para enviarse a terceros.
Para el transporte de medios físicos de información sensibles, se debe generar una bitácora de entrega de estos medios y recepción de estos. Se deben transportar estos medios en un recipiente que proteja al activo de amenazas ambientales.
4.3. El intercambio de información (electrónica o física) catalogada como Pública, perteneciente a wolkvox, con terceros, podrá realizarse sin restricción alguna, salvo las mínimas condiciones establecidas para el intercambio de información por correo electrónico y por medios físicos, es decir, asegurar destinatarios y la adecuada disponibilidad de los medios o canales de intercambio de la información.
4.4. El intercambio de información (electrónica o física) catalogada como Confidencial, perteneciente a wolkvox, con terceros, podrá realizarse si y solo si, el Gerente General (CEO) de wolkvox autoriza su entrega (de manera escrita), y siempre bajo el establecimiento previo de un acuerdo (convenio o contrato), incluyendo una cláusula de confidencialidad y no divulgación de la información proporcionada.
El intercambio de información electrónica clasificada como Confidencial, debe realizarse por canales cifrados que garanticen la protección de la confidencialidad de la información y que cumpla con la política de controles criptográficos (Ver Política de Seguridad de la Información, numeral 6.10), esto debe quedar registrado en los convenios o acuerdos de intercambio de información que firmen las partes.
El intercambio de información Confidencial, perteneciente a wolkvox, que se encuentre en formatos físicos debe estar debidamente etiquetada. El intercambio debe realizarse en un sobre sellado para enviarse a terceros.
Para el transporte de medios físicos de información sensibles, se debe generar una bitácora de entrega de estos medios y recepción de estos. Se deben transportar estos medios en un recipiente que proteja al activo de amenazas ambientales.
4.5. Intercambio de información vía correo electrónico de la Empresa. Toda información enviada desde wolkvox a través de correos electrónicos deberá incluir en su pie de página la siguiente advertencia:
“Este mensaje de correo electrónico está destinado únicamente para el uso del destinatario (s) previsto y puede contener información confidencial, restringida, o de uso interno de wolkvox. Usted como destinatario no podrá compartir con otros esta información de manera autónoma. Deberá recibir previamente autorización para compartir por parte del remitente de la información. Si usted no es el destinatario, cualquier divulgación, difusión, distribución, copia o la toma de cualquier acción basada en la información aquí contenida está prohibida. Los correos electrónicos no son por defecto seguros y no se puede garantizar que estén libres de errores, ya que pueden ser interceptados, modificados, o contener virus. Cualquier persona que se comunica con Microsyslabs por e-mail se considera que ha aceptado estos riesgos. Si este mensaje es recibido por error, favor notificar al remitente y proceda a suprimirlo inmediatamente. Cualquier retención, difusión, distribución o copia de este mensaje no siendo Usted el destinatario, está prohibida y será sancionada por la ley.”
4.6. Intercambio de información vía chat (web, WhatsApp y otros). Todo intercambio de información electrónica por los canales aquí mencionados deberá considerar las definiciones ya establecidos en 4.1 a 4.4. Por lo tanto, serán los directores de dichas áreas quienes deberán identificar y asegurar las directrices de clasificación de los activos de información que se podrán intercambiar por dichos canales, tras lo cual se deberán seguir las medidas que aseguren la confidencialidad e integridad de dichos activos de información establecidas en estas Políticas. Por estos canales no se podrán transferir credenciales de acceso a las aplicaciones de wolkvox. Se utilizará en caso de requerirse este intercambio, el canal del correo electrónico, o la llamada directa.
4.7. Se deben ofrecer procesos seguros de envío de información asociada a la data de nuestros clientes que se ha recabado en las soluciones wolkvox y sobre la cual el cliente manifiesta necesidad de mantener copia en sus sistemas de almacenamiento, propios o de terceros contratados. Los mecanismos de transferencia de información permitidos serán del tipo Rsync (sincronización remota) y S3 de AWS (Amazon Web Services). El área de Infraestructura deberá documentar tales procedimientos, asegurando los principios de seguridad en la autenticación del cliente y en el transporte de la data por internet hasta el destino configurado asegurando la encripción conforme las políticas establecidas al respecto (numeral 6.10 de las Políticas de la Seguridad de la Información).
4.8. Los procesos de subida de bases de datos a las soluciones wolkvox por parte de nuestros clientes, y la obtención de reportes de la gestión de las interacciones logradas a través de las soluciones wolkvox deben hacerse siempre siguiendo la Política de Seguridad numeral 6.3, así como los procedimientos de gestión de accesos y de transporte seguro de la data, desde y hacia el componente Manager (numeral 6.10 de las Políticas de la Seguridad de la Información).
4.9. Seguimiento. Este documento de políticas deberá ser revisado al menos una vez al año por el comité directivo de seguridad de la información, o antes cuando se haga evidente que las políticas definidas deben revisarse y/o ajustarse para asegurar la confidencialidad, integridad y disponibilidad de los activos de información de la empresa.
El incumplimiento a la Política de Transferencia de la Información traerá consigo, las consecuencias legales que apliquen a la normativa de la Empresa, incluyendo lo establecido en las normas que competen al Gobierno nacional y territorial de Colombia, y la de los países dónde se cuente con clientes que consuman las tecnologías ofrecidas, en cuanto a Seguridad y Privacidad de la Información se refiere.
