Política de Seguridad de la Información

(Versión pública con base en la original)

La presente política establece los lineamientos generales de seguridad de la información adoptados por la organización en el marco de sus operaciones y la prestación de sus servicios. Su objetivo es proteger la confidencialidad, integridad y disponibilidad de la información, incluyendo la de clientes, proveedores, colaboradores y demás partes interesadas, mediante la implementación de buenas prácticas y controles basados en estándares internacionales como ISO/IEC 27001, NIST y CIS Controls.

Definiciones

• a. Seguridad de la información: Conjunto de medidas, controles y prácticas orientadas a proteger la confidencialidad, integridad y disponibilidad de la información.
• b. Activo de información: Cualquier información, sistema, aplicación, dispositivo o recurso que tenga valor para la organización y requiera protección.
• c. Confidencialidad: Propiedad de la información que garantiza que solo sea accesible para personas o sistemas autorizados.
• d. Integridad: Propiedad que asegura que la información no sea alterada de forma no autorizada y se mantenga exacta y completa.
• e. Disponibilidad: Garantía de que la información y los sistemas estén accesibles cuando sean requeridos por usuarios autorizados.
• f. Riesgo de seguridad de la información: Posibilidad de que una amenaza explote una vulnerabilidad y afecte negativamente los activos de información.
• g. Incidente de seguridad: Evento que compromete o puede comprometer la confidencialidad, integridad o disponibilidad de la información o sistemas.
• h. Tercero: Persona u organización externa que tiene acceso a información, sistemas o servicios de la organización, como proveedores o aliados.

• i. ISO/IEC 27001: Estándar internacional para la gestión de la seguridad de la información basado en la implementación de un SGSI.
• k. NIST Cybersecurity Framework: Marco de referencia que establece buenas prácticas para identificar, proteger, detectar, responder y recuperar frente a amenazas de ciberseguridad.
• l. CIS Controls: Conjunto de controles priorizados de seguridad que ayudan a reducir los riesgos más comunes en ciberseguridad.
• m. CISO (Chief Information Security Officer): Ejecutivo responsable de liderar la estrategia de seguridad de la información dentro de una organización.
• n. Autenticación multifactor (MFA): Método de verificación de identidad que requiere dos o más factores de autenticación para acceder a sistemas o información.
• o. Copia de seguridad (Backup): Proceso de crear copias de la información para permitir su recuperación en caso de pérdida, corrupción o incidente de seguridad.

Política de Seguridad de la Información (SGSI) basada en ISO 27001 y alineada con NIST y CIS Controls

1. Objetivo y alcance

VASCO Solutions S.A.S. (en adelante, “VASCO”) reconoce que la información es uno de sus principales activos y que la confianza de sus clientes, usuarios, proveedores y aliados depende de la forma en que ésta se protege.

El objetivo de esta Política de Seguridad de la Información es comunicar públicamente los compromisos y principios que guían a VASCO en la protección de la información que trata en el marco de sus servicios. Esta política aplica a:

• La información de clientes, usuarios, prospectos y proveedores que VASCO trate en la prestación de sus servicios.
• La información interna de VASCO necesaria para operar dichos servicios.
• Las personas, procesos y sistemas tecnológicos involucrados en el tratamiento de esa información.

Es una política externa, dirigida a clientes, usuarios finales, proveedores y demás partes interesadas.

2. Compromisos y principios de seguridad

VASCO se compromete a proteger la información bajo su responsabilidad de acuerdo con los siguientes principios:

• Confidencialidad: La información será accesible únicamente a las personas autorizadas y para los fines legítimos definidos.
• Integridad: La información será precisa, completa y estará protegida frente a modificaciones no autorizadas o accidentales.
• Disponibilidad: La información y los servicios asociados estarán disponibles cuando sean requeridos por las personas autorizadas, dentro de los niveles de servicio acordados.
• Legalidad y legitimidad: El tratamiento de la información se realizará en cumplimiento de la normativa aplicable, incluyendo la legislación de protección de datos personales de los países en los que operan nuestros servicios y clientes.
• Proporcionalidad y minimización: Se tratará únicamente la información necesaria para la prestación de los servicios y el cumplimiento de obligaciones legales y contractuales.
• Responsabilidad y trazabilidad: VASCO fomentará la rendición de cuentas y mantendrá evidencias razonables sobre el uso de la información y los accesos realizados.

3. Organización y responsabilidades

Para garantizar la correcta gestión de la seguridad de la información:

• La Gerencia de VASCO asume la responsabilidad última sobre la Seguridad de la Información y respalda los recursos necesarios para su gestión.
• Se ha designado un Responsable de Seguridad de la Información (CISO), con autoridad para impulsar y coordinar las iniciativas de seguridad, proponer mejoras y supervisar el cumplimiento de esta política.
• Todos los colaboradores, independientemente de su modalidad de trabajo (incluyendo trabajo remoto y uso de dispositivos propios o corporativos), son responsables de cumplir las normas y procedimientos internos de seguridad y de proteger la información a la que tengan acceso.

4. Gestión de riesgos y cumplimiento

VASCO adopta un enfoque basado en riesgos para la seguridad de la información y toma como referencia buenas prácticas y estándares reconocidos internacionalmente (como ISO/IEC 27001 NIST, CIS Contorls y marcos de ciberseguridad afines), de forma proporcional a su tamaño y naturaleza. En particular, VASCO se compromete a:

• Identificar y evaluar los riesgos relevantes que puedan afectar a la información de clientes, usuarios, proveedores y a la propia organización.
• Implementar controles técnicos y organizativos razonables para reducir dichos riesgos a niveles aceptables.
• Revisar periódicamente dichos riesgos y controles, especialmente cuando se introducen nuevos servicios, tecnologías o cambios relevantes en la organización.
• Cumplir con la normativa aplicable en materia de seguridad de la información y protección de datos personales, así como con las obligaciones contractuales asumidas con clientes y proveedores.

Esta política de seguridad se complementa con otras políticas y avisos específicos de protección de datos, privacidad y uso de cookies publicados en el sitio web de VASCO.

5. Medidas generales de seguridad

Sin detallar configuraciones técnicas internas, VASCO aplica, entre otras, las siguientes medidas generales de seguridad:

• 5.1. Protección de la información de clientes, usuarios y proveedores: Clasificación interna de la información según su sensibilidad, con controles adecuados para cada nivel. Limitación de accesos a la información de clientes y proveedores bajo el principio de “necesidad de conocer”. Uso de servicios tecnológicos que ofrecen mecanismos de seguridad avanzados, como cifrado de comunicaciones, autenticación reforzada y registro de actividad.
• 5.2. Gestión de accesos y uso aceptable: Gestión de cuentas de usuario y permisos basada en roles, para reducir el acceso innecesario a información y sistemas. Promoción del uso de autenticación de múltiples factores en servicios críticos. Definición interna de normas de uso aceptable para equipos, cuentas y canales de comunicación corporativos, incluyendo lineamientos para trabajo remoto y uso de dispositivos personales o corporativos.
• 5.3. Seguridad en el desarrollo y operación de servicios: Integración de criterios de seguridad en el ciclo de vida de desarrollo de software, siguiendo buenas prácticas de desarrollo seguro. Uso de pruebas y revisiones de seguridad técnicas (como análisis de vulnerabilidades, revisión de código y controles de calidad) de forma recurrente y proporcional al riesgo del servicio. Aplicación de procesos internos para la gestión de cambios técnicos con consideración de impactos en seguridad y continuidad de servicio.
• 5.4. Continuidad del servicio: Implementación de mecanismos de copia de seguridad periódica de la información crítica. Uso de infraestructuras y servicios en la nube que ofrecen redundancia y alta disponibilidad, de acuerdo con la naturaleza de los servicios prestados. Definición de procedimientos internos para reaccionar ante indisponibilidades de servicios tecnológicos clave y restablecer las operaciones en el menor tiempo razonable posible.
• 5.5. Gestión de proveedores y terceros: Selección de proveedores tecnológicos que cuenten con niveles de seguridad acordes con la criticidad del servicio ofrecido. Revisión de las condiciones contractuales y de los compromisos de confidencialidad y seguridad asumidos por proveedores y terceros que puedan acceder a información o sistemas de VASCO. Supervisión proporcional de los servicios de terceros críticos para la continuidad, seguridad y calidad del servicio prestado a los clientes.
• 5.6. Formación y concienciación: Sensibilización periódica del personal de VASCO en materia de seguridad de la información, protección de datos, riesgos de ciberseguridad (por ejemplo, phishing e ingeniería social) y buenas prácticas en el uso de herramientas tecnológicas. Difusión interna de políticas y procedimientos de seguridad relevantes para cada rol.
• 5.7. Gestión de incidentes de seguridad: Establecimiento de canales para que colaboradores y terceros puedan notificar sospechas de incidentes de seguridad de la información. Investigación razonable de los incidentes reportados y adopción de medidas para contener, mitigar y evitar la repetición de incidentes relevantes. Colaboración con clientes, usuarios y proveedores afectados, en la medida aplicable, para gestionar adecuadamente los incidentes y cumplir con las obligaciones legales de notificación cuando corresponda.

6. Colaboración con clientes, usuarios y proveedores

La seguridad de la información es una responsabilidad compartida entre VASCO, sus clientes, usuarios y proveedores. Por ello:

• Se espera que los clientes y proveedores apliquen medidas de seguridad acordes con la sensibilidad de la información y los servicios que se intercambian con VASCO.
• Los usuarios de los servicios deben utilizar las credenciales de acceso de forma diligente, mantener su confidencialidad y notificar sin demora cualquier sospecha de uso indebido o incidente de seguridad.
• VASCO podrá proporcionar recomendaciones o requisitos de seguridad específicos en contratos, acuerdos de servicio o documentación técnica adicional.

7. Vigencia, revisión y contacto

Esta Política de Seguridad de la Información es aprobada por la Gerencia de VASCO Solutions S.A.S. y se publica en el sitio web corporativo con el fin de informar a clientes, usuarios, proveedores y demás partes interesadas sobre los compromisos generales de la organización en materia de seguridad de la información.

VASCO revisará esta política al menos una vez al año o cuando se produzcan cambios significativos en la organización, en los servicios o en la normativa aplicable, pudiendo actualizar su contenido. La versión vigente será siempre la que figure publicada en el sitio web oficial de VASCO.

Para consultas relacionadas con esta Política de Seguridad de la Información o para reportar posibles incidentes de seguridad, los interesados pueden ponerse en contacto a través de los canales de contacto indicados en el sitio web corporativo de VASCO Solutions S.A.S.

Versión 1.0 - Febrero 15 de 2026 - Aprobado por la CEO