NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20-09-06 USO GENERAL. v-1.0 S - S PDF

Nom
bre del
Políticas de Seguridad de Información de PDVSA
Normativa
EMISIÓN CLASIFICACIÓN SERIAL Nº

NORMATIVA
20/09/06 USO GENERAL S/S
Preparado por: Revisado por: Aprobado por: Versión:

Arquitectura y Gestión de G/B (Ej.) Wilmer Barrientos Ing. Rafael Ramírez
Seguridad Lógica Gerente Corporativo de Prevención y Ministro de MEMPEP y Presidente v-1.0
Control de Pérdidas de PDVSA
Fecha de vigencia: Fecha última revisión: Página N°°:
26/11/07 27/07/06 1/39
Políticas de Seguridad de Información de Petróleos de Venezuela C.A,
INTRODUCCIÓN
Las normas que integran las Políticas de Seguridad de Información serán de

obligatorio cumplimiento para el personal de Petróleos de Venezuela S.A. y de sus
empresas filiales y es, así mismo, responsabilidad de los niveles supervisorios
respectivos ejecutar y hacer cumplir estas disposiciones regulatorias de los aspectos
relacionados con la seguridad de los activos de información pertenecientes a, o bajo
custodia de, la Corporación.
La Gerencia de Seguridad Lógica de la Gerencia Corporativa de Prevención y

Control de Pérdidas (PCP), ejercerá la custodia de las referidas normas y será
responsable de definir procedimientos de control específicos, así como de
administrar, implementar y mantener medidas de supervisión y vigilancia de acceso a
los Activos de Información y suministrar formas de recuperación, en concordancia
con las instrucciones emanadas de los Gerentes Propietarios de los Activos de
Información.
De igual manera, queda establecido que estas Políticas se deberán aplicar

independientemente de la manera en que se representa la información, la tecnología
usada para manipular la información, la ubicación de la información o la
categorización de la información.
Gerencia Corporativa de Prevención y Control de Pérdidas
“Trabajo, Honestidad, Excelencia”
La Corporación se reserva el derecho de cambiar estas Políticas en cualquier

momento y sin previo aviso

26/11/07 27/07/06 2/39
POLÍTICAS DE SEGURIDAD DE INFORMACIÓN
CAPÍTULO 01
PROTECCIÓN DE LA PLATAFORMA TECNOLÓGICA
SECCIÓN 01
Protección de la Plataforma Tecnológica
PSI-010101: Declaración de Seguridad: Los Activos de Información de la

Corporación deberán estar debidamente protegidos contra acciones o eventos que
perjudiquen los principios y estándares establecidos de seguridad de información.
PSI-010102: Regulación sobre Aspectos de Seguridad de Información: La

Corporación, a través de la Gerencia Responsable de la Seguridad de la Plataforma
Tecnológica, deberá regular las actividades inherentes y conexas con la Seguridad
de la Plataforma Tecnológica.
PSI-010103: Responsabilidades Legales en Materia de Seguridad: La

Corporación, en defensa de sus Activos de Información, procederá de acuerdo al
Ordenamiento Jurídico y a los Tratados Internacionales de la República. En virtud de
lo cual, ante la presencia de un evento o incidente que pudiera afectar la Seguridad
de los Activos de Información, de su propiedad o bajo su custodia, iniciará a través
de la Gerencia Corporativa de Prevención y Control de Pérdidas (PCP), las
investigaciones respectivas y, en caso de evidenciarse un supuesto delito,
contactará, previa opinión de la organización jurídica de la Corporación, a los
organismos competentes del Estado para que éstos efectúen las actuaciones
correspondientes en aplicación de las disposiciones legales que regulan la materia.

26/11/07 27/07/06 3/39
CAPÍTULO 02
CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN
SECCIÓN 01
Clasificación de Activos de Información
PSI-020101: Clasificación de Activos de Información: Todo Activo de Información

perteneciente a, o bajo la custodia, de la Corporación, deberá ser clasificado de
acuerdo a la normativa de clasificación vigente en materia de Protección de Activos
de Información de la Corporación.
PSI-020102: Asignación de Propiedad de Información: La responsabilidad de

protección, resguardo y custodia sobre cada Activo de Información de la Corporación
deberá ser asignada a un Gerente Propietario.
PSI-020103: Rotular Activos de Información: Todo Activo de Información de la

Corporación deberá ser rotulado de manera que todos los usuarios puedan tener
conocimiento acerca de la propiedad, clasificación y valor de dicha información.
PSI-020104: Inventario de Activos de Información: La Gerencia Responsable de

la Plataforma Tecnológica deberá crear mecanismos que permitan mantener un
inventario vigente de los Activos de Información de la Corporación.
PSI-020105: Tratamiento y Resguardo de los Activos de Información: Todo

Activo de Información deberá ser protegido, custodiado y resguardado de
conformidad con los niveles de clasificación que le fueron asignados, utilizando para
ello los métodos y/o técnicas de seguridad aprobados por la Corporación.

26/11/07 27/07/06 4/39
CAPÍTULO 03
CONTROL DE ACCESO A LA INFORMACIÓN Y SISTEMAS
SECCIÓN 01
Control de Acceso a la Información y Sistemas
PSI-030101: Administración del Control Acceso: El Control de Acceso a la

Información y Sistemas deberá ser administrado por el personal autorizado debida y
formalmente por la Gerencia Responsable de la Seguridad de la Plataforma
Tecnológica a solicitud del Gerente Propietario, respetando los perfiles
organizacionales de la Corporación, de conformidad con los Acuerdos de Servicio,
los eventuales Estados de Excepción y las prioridades del Negocio.
PSI-030102: Control de Acceso al Usuario: El acceso de los usuarios a la

Información y Sistemas deberá ser permitido cuando esté debidamente justificado
por el Gerente Propietario, autorizado debida y formalmente por el Administrador
Responsable de esta información y/o sistemas y procesado por la Gerencia
Responsable de la Seguridad de la Plataforma Tecnológica, respetando los roles y
perfiles organizacionales de la Corporación. Todas las referidas autorizaciones
deberán efectuarse por escrito.
PSI-030103: Protección de Equipos de Tecnología de Información

Desatendidos: Todo Equipo de Tecnología de Información desatendido deberá estar
protegido física y lógicamente, de acuerdo a su clasificación.
PSI-030104: Administración del Control de Acceso a la Red: El Control de

Acceso a la Red deberá ser administrado por personal autorizado debida y
Tecnológica, a solicitud del Gerente Propietario, respetando los perfiles
organizacionales de la Corporación, de conformidad con los Acuerdos de Servicio,
los eventuales Estados de Excepción y las prioridades del Negocio.
PSI-030105: Control de Acceso al Sistema Operativo: El acceso al Sistema

Operativo deberá ser permitido sólo a aquellas personas autorizadas, en forma
escrita, por la Gerencia Responsable de la Plataforma Tecnológica, en concordancia
con la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la
Corporación y cuyas funciones del cargo lo requieran.
PSI-030106: Mecanismos de Identificación y Autenticación: Las personas

designadas por la Gerencia Responsable de la Plataforma Tecnológica deberán ser
responsables del diseño, elaboración y verificación de mecanismos de identificación

26/11/07 27/07/06 5/39
y autentificación confiables. Será responsabilidad de la Gerencia Corporativa de

Prevención y Control de Pérdidas (PCP) hacer los respectivos requerimientos,
definir su especificación funcional, efectuar las pruebas necesarias, certificar los
referidos mecanismos y lograr el uso eficiente de los mismos.
PSI-030107: Restricción de Acceso a la Información: Las restricciones a la

información deberán establecerse atendiendo los niveles apropiados asociados al
cargo y perfil organizacional y de acuerdo a la política de Control de Acceso, a fin de
minimizar los riesgos en seguridad de información.
PSI-030108: Monitoreo del Acceso y Uso del Sistema: Todo acceso a los recursos
de Tecnología de Información deberá ser registrado y monitoreado de acuerdo a las
mejores prácticas vigentes aceptadas por la Corporación.
PSI-030109: Brindar Acceso a los Activos de Información: El acceso a los

Activos de Información deberá ser controlado, asegurando su disponibilidad, sólo al
personal autorizado debida y formalmente por el Gerente Propietario y avalado por la
respectiva Gerencia Responsable de la Seguridad de la Plataforma Tecnológica, de
conformidad con las Políticas de clasificación de Activos de Información.
PSI-030110: Control del Acceso a Usuarios Remotos: El control de acceso a los

Activos de Información, en el caso de usuarios remotos, deberá establecerse de
conformidad con su clasificación, ser autorizado debida y formalmente por el
Gerente Propietario, avalado por la Gerencia Responsable de la Seguridad de la
Plataforma Tecnológica y estar limitado al perfil de usuario, para no utilizar a estos
fines más privilegios del necesario para lograr los objetivos específicos del Negocio.
PSI-030111: Administración de Seguridad de Aplicaciones: Toda aplicación

administrada por la Corporación deberá tener un Administrador de Seguridad
debidamente calificado y autorizado formalmente por la Gerencia Responsable de la
Seguridad de la Plataforma Tecnológica, de conformidad con la política de
clasificación de los Activos de Información y los Acuerdos de Servicio.
PSI-030112: Claves de Máximos Privilegios: Las Claves de Máximos Privilegios de

las aplicaciones y sistemas de la Corporación deberán tener el máximo nivel de
clasificación establecido en la Corporación. La Gerencia Responsable de la
Protección de los Activos de la Corporación deberá establecer los mecanismos de
asignación, administración, custodia y uso, de conformidad con los eventuales
Estados de Excepción y las prioridades del Negocio.

26/11/07 27/07/06 6/39
CAPÍTULO 04
PROCESAMIENTO DE INFORMACIÓN Y DOCUMENTOS
SECCIÓN 01
Redes
PSI-040101: Arquitectura y Configuración de la Red: La arquitectura y

configuración de la Red deberán cubrir las necesidades y los procesos del Negocio,
manteniendo un alto nivel de desempeño.
PSI-040102: Administración de la Red: Sólo personal debidamente calificado y

autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnológica y
avalado por la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica
de la Corporación, deberá administrar la Red de la Corporación, de conformidad con
los Acuerdos de Servicio, los eventuales Estados de Excepción y las prioridades del
Negocio.
PSI-040103: Administración de la Plataforma de Seguridad: La Plataforma de

Seguridad de la Red de la Corporación deberá ser administrada sólo por personal
Seguridad de la Plataforma Tecnológica, de conformidad con los Acuerdos de
Servicio, los eventuales Estados de Excepción y las prioridades del Negocio.
PSI-040104: Acceso Remoto a la Red: El Acceso Remoto a la Red y sus recursos

deberá estar debidamente justificado por el demandante del servicio, autorizado
formalmente por el Gerente Propietario de la información, avalado por la Gerencia
Responsable de la Seguridad de la Plataforma Tecnológica y procesado por la
Gerencia Responsable de la Plataforma Tecnológica de la Corporación.
SECCIÓN 02
Operaciones y Administración de Sistemas
PSI-040201: Administración de Sistemas: Los Sistemas de la Corporación

deberán ser administrados por personal debidamente calificado y autorizado
formalmente por el Gerente Propietario, en concordancia con la Gerencia
Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación y de
conformidad con los Acuerdos de Servicio establecidos.
PSI-040202: Control de Distribución de Información: El Gerente Propietario, en

concordancia con la Gerencia Responsable de la Seguridad de la Plataforma

26/11/07 27/07/06 7/39
Tecnológica de la Corporación, deberá establecer los mecanismos que garanticen la

existencia de controles y reportes técnicos que permitan efectuar una distribución
adecuada de la información, a todas aquellas personas que formalmente autorice.
PSI-040203: Revisión de Registros de Eventos: Todo registro de eventos de

error, de excepción y de seguridad de los sistemas en la Plataforma Tecnológica de
la Corporación deberá ser revisado permanentemente, analizado, documentado y
resguardado de forma apropiada por personal debidamente calificado y autorizado
Tecnológica.
PSI-040204: Programación de Operaciones de Sistemas: La programación de

operaciones de sistemas de la Corporación deberá ser formalmente planificada,
autorizada y certificada por personal debidamente calificado y autorizado
formalmente por el Gerente Propietario de la información, en concordancia con la
Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la
Corporación. El diseño, desarrollo, prueba, documentación y operacionalización le
corresponderá a la Gerencia Responsable de la Plataforma Tecnológica.
PSI-040205: Cambio y/o Mantenimiento de la Programación de la Operación de

los Sistemas: Toda modificación y/o mantenimiento de la Programación de
Operación de los Sistemas deberá contar con el aval de la Gerencia Responsable de
la Seguridad de la Plataforma Tecnológica y se regirá estrictamente por las Políticas
de Control de Cambio de la Corporación.
PSI-040206: Revisión de Registros de Auditoria: Los registros de auditoria de los

Sistemas deberán ser revisados permanentemente por el personal debidamente
calificado y autorizado formalmente por la Gerencia Responsable de la Seguridad de
la Plataforma Tecnológica, de conformidad con el Acuerdo de Servicio con el
Gerente Propietario.
PSI-040207: Sincronización de Relojes de los Sistemas: Los Relojes de los

Sistemas deberán estar sincronizados, especialmente entre las diversas plataformas
de procesamiento de la Corporación.
PSI-040208: Atención de Fallas de los Sistemas: Sólo personal debidamente

calificado y autorizado formalmente deberá atender las fallas de los sistemas de la
Plataforma Tecnológica de la Corporación, de conformidad con los Acuerdos de
Servicio celebrados entre el Gerente Propietario y la Gerencia Responsable de la
Plataforma Tecnológica.
PSI-040209: Contratación de Servicios Externos de Tecnología de Información:

La contratación y uso de servicios externos y de otros activos de Tecnología de

26/11/07 27/07/06 8/39
Información en la Corporación, deberán estar avalados por la Gerencia Responsable

de la Seguridad de la Plataforma Tecnológica de la Corporación y deberán
contemplar cláusulas y penalidades que garanticen el fiel cumplimiento de lo
estipulado y la confidencialidad de la información a la cual acceden.
SECCIÓN 03
Correo Electrónico e Internet
PSI-040301: Uso del Correo Electrónico de la Corporación: El personal

autorizado sólo deberá hacer uso del correo electrónico de la Corporación para fines
del Negocio, de conformidad con las normas y procedimientos relacionadas con la
recepción, envío, reenvío, almacenamiento y retención del mismo, para tal objeto
establecidas.
PSI-040302: Uso de Internet dentro de la Corporación: El uso de Internet será

permitido en la Corporación, con el fin de formar al personal, innovar y prestar apoyo
en la implementación de mejores prácticas en el sector petrolero. En aquellos casos
de requerimientos de acceso a la Internet de personas no autorizadas, deberá
elevarse dicho requerimiento a la Gerencia Responsable de la Seguridad de la
Plataforma Tecnológica de la Corporación para su correspondiente análisis y
eventual autorización.
PSI-040303: Descarga de Archivos e Información desde Internet: La descarga de

información y archivos desde Internet, deberá estar directamente relacionada con el
rol que desempeña el empleado y orientada exclusivamente a las actividades propias
del Negocio, de conformidad con la política de Uso de Internet dentro de la
Corporación.
PSI-040304: Uso de Firmas Digitales: Las firmas digitales deberán ser utilizadas
para el intercambio de información en la Corporación, de conformidad con las
Políticas de Clasificación de Activos de Información.
PSI-040305: Acceso a la Intranet: Sólo personal autorizado debida y formalmente

por la gerencia que ejerza la respectiva custodia de las aplicaciones a ser utilizadas
en la Corporación, en concordancia con la Gerencia Responsable de la Seguridad de
la Plataforma Tecnológica de la Corporación, podrá acceder a la Intranet, de
conformidad al rol que desempeña.
PSI-040306: Acceso a la Extranet: La Extranet es de uso masivo, es nuestro

mecanismo de divulgación de información oficial al país y al mundo, por lo tanto, su

26/11/07 27/07/06 9/39
uso es extenso. Los niveles de autorización y control de acceso a la Extranet de la

Corporación, deberán realizarse con el aval de la Gerencia Responsable de la
Seguridad de la Plataforma Tecnológica y de conformidad con las Políticas de
Administración del Control de Acceso a la Red.
SECCIÓN 04
Dispositivos de Transmisión de Información
PSI-040401: Administración de Dispositivos de Transmisión de Información:

Los Dispositivos de Transmisión de Información deberán ser administrados y
controlados, en la Corporación, de forma segura y eficiente, a través de la Gerencia
Responsable de la Plataforma Tecnológica.
PSI-040402: Uso de Dispositivos de Transmisión de Información: El uso de los

Dispositivos de Transmisión de Información en la Corporación deberá ser autorizado
debida y formalmente por la Gerencia Responsable de la Plataforma Tecnológica,
previo aval de la Gerencia Responsable de la Seguridad de la Plataforma
Tecnológica y de conformidad con las Políticas de Clasificación de Activos de
Información.
SECCIÓN 05
Manejo de Información
PSI-040501: Transferencia y/o Intercambio de Información: Toda transferencia

y/o intercambio de información interna o externa de la Corporación, a través de
cualquier medio electrónico, mecánico o manual, deberán ser autorizados
formalmente por el Gerente Propietario, en concordancia con la Gerencia
conformidad con las Políticas de Clasificación de Activos de Información.
PSI-040503: Administración de las Bases de Datos: Sólo personal debidamente

calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma
Tecnológica, en concordancia con la Gerencia Responsable de la Seguridad de la
Plataforma Tecnológica de la Corporación, será responsable de la administración de
las bases de datos, tomando en cuenta la seguridad de las mismas, de conformidad
con los Acuerdos de Servicio establecidos con el Gerente Propietario.
PSI-040504: Cambios de Emergencia en la Información: Sólo el personal

Plataforma Tecnológica podrá ejecutar los cambios de emergencia en la información

26/11/07 27/07/06 10/39
de la Corporación, sin arriesgar la seguridad de ésta, de conformidad con las

Políticas de Control de Cambios.
PSI-040505: Administración de Directorios, Carpetas y/o Estructuras de

Información: Sólo personal debidamente calificado y autorizado formalmente por la
Gerencia Responsable de la Plataforma Tecnológica podrá administrar los
directorios, carpetas y/o estructuras de información de la Corporación, de
conformidad con lo establecido por el Gerente Propietario y los respectivos Acuerdos
de Servicio.
PSI-040506: Archivo Físico de Documentos: El archivo físico de documentos

deberá realizarse por personal autorizado debida y formalmente por el Gerente
Propietario, de conformidad con las Políticas de Clasificación de Activos de
Información, las más adelantadas prácticas tecnológicas, los aspectos legales, la
normativa interna y las características del respectivo Negocio.
PSI-040507: Preservación de Información: La información creada y almacenada

por los sistemas de información de la Corporación, deberá preservarse de
conformidad con las Políticas de Clasificación de Activos de Información y a los
Acuerdos de Servicio con el Gerente Propietario, en concordancia con la Gerencia
Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación, de
manera de cumplir con los aspectos legales, la normativa interna y las características
del respectivo Negocio.
PSI-040508: Establecer Nuevas Bases de Datos: Sólo personal debidamente

Tecnológica deberá encargarse de la evaluación, diseño y creación de nuevas bases
de datos, de conformidad con las Políticas de Clasificación de Activos de
Información, cumpliendo con los requerimientos del Gerente Propietario.
PSI-040509: Vinculación de Información entre Documentos y Archivos: Toda

información vinculada con las actividades propias del Negocio, deberá estar
disponible en su totalidad para evitar depender de la disponibilidad o integridad de
archivos de información externos o propiedad de terceros y/o relacionados.
PSI-040510: Administración de Reportes Borradores o Preliminares: Toda

información de la Corporación considerada borrador o revisión preliminar, deberá
cumplir con las Políticas de Clasificación de Activos de Información y será suprimida
después de emitirse el reporte definitivo.
PSI-040511: Administración de Información de Proyectos relacionados con

Tecnología de Información: Sólo personal autorizado formalmente por la Gerencia
Responsable de la Plataforma Tecnológica de la Corporación y avalada por la

26/11/07 27/07/06 11/39

Corporación, deberá administrar la información referente a los Proyectos
relacionados con Tecnología de Información, de conformidad con las Políticas de
Clasificación de Activos de Información.
PSI-040512: Uso de Nomenclatura Estándar para nombrar Archivos y Carpetas:

Sólo personal debidamente calificado y autorizado formalmente por la Gerencia
Responsable de la Plataforma Tecnológica y avalada por la Gerencia Responsable
de la Seguridad de la Plataforma Tecnológica de la Corporación, deberá establecer
mecanismos que permitan crear una nomenclatura estándar para la identificación de
los archivos y carpetas de la Plataforma Tecnológica de la Corporación.
PSI-040513: Uso de Encabezados y Pies de Página: Todo documento oficial

perteneciente a la Corporación deberá poseer encabezados y pie de página
estándar, según la aplicación a la cual pertenecen, autorizados por la Gerencia
Responsable de la Imagen Corporativa, de conformidad con las Políticas de
Rotulación de Activos de Información y de la Clasificación de Activos de Información,
del Ordenamiento Jurídico y del Negocio.
PSI-040514: Administración de Archivos Temporales: Los Archivos Temporales

generados por Sistemas Operativos y/o Aplicaciones instalados en la Plataforma
Tecnológica de la Corporación, con el propósito de registrar información técnica,
deberán ser administrados por personal autorizado formalmente por la Gerencia
Responsable de la Plataforma Tecnológica, en concordancia con la Gerencia
Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación, de
conformidad con las Políticas de Monitoreo y auditoria de Información y sólo serán
eliminados cuando se constate la pérdida de su vigencia.
SECCIÓN 06
Respaldo, Almacenaje y Recuperación
PSI-040601: Respaldo: Todos los sistemas, su data y/o documentos de usuario,

asociados, deberán ser respaldados periódicamente por personal debidamente
Tecnológica, con funciones excluyentes del personal que realiza el almacenaje y la
recuperación, de conformidad con las Políticas de Clasificación de Activos de
Información, los Acuerdos de Servicio con el Gerente Propietario en concordancia
Corporación. la normativa interna y el Ordenamiento Jurídico.

26/11/07 27/07/06 12/39
PSI-040602: Almacenaje: Todos los respaldos de los sistemas, su data y/o

documentos de usuario asociados deberán tener una copia y ser almacenados en
sitios separados bajo condiciones ambientales seguras, por personal debidamente
Tecnológica, previo aval de la Gerencia Responsable de la Seguridad de la
Plataforma Tecnológica de la Corporación, con funciones excluyentes del personal
que realiza respaldos, de conformidad con las Políticas de Clasificación de Activos
de Información, los Acuerdos de Servicio con el Gerente Propietario, normativa
interna y el Ordenamiento Jurídico.
PSI-040603: Recuperación: Todos los sistemas, su data y/o documentos de

usuario asociados deberán ser recuperados cuando se requiera, por personal
Plataforma Tecnológica, con funciones excluyentes de la función de respaldo, de
conformidad con las Políticas de Clasificación de Activos de Información, los
Acuerdos de Servicio con el Gerente Propietario en concordancia con la Gerencia
Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación, la
normativa interna y el Ordenamiento Jurídico.
PSI-040604: Hardware de Respaldo y Recuperación: El Hardware de respaldo y

recuperación de la Corporación deberá ser estándar, compatible con la arquitectura
de la Plataforma Tecnológica y con capacidad de proceso simultáneo de distintas
unidades de almacenamiento masivo, de conformidad con las necesidades del
Negocio.
PSI-040605: Software de Respaldo y Recuperación: El Software de respaldo y

recuperación de la Corporación deberá ser estándar, compatible con la arquitectura
de la Plataforma Tecnológica, proveer capacidad de proceso simultáneo de distintas
unidades de almacenamiento masivo y producir indicadores relevantes del proceso
realizado.
PSI-040606: Documentación de Procesos de Respaldo y Recuperación: Deberá

mantenerse una documentación detallada de los procesos de respaldo y
recuperación, elaborada por personal debidamente calificado y autorizado
formalmente por la Gerencia Responsable de la Plataforma Tecnológica, en
Tecnológica de la Corporación. Dicha documentación deberá contener indicaciones
del entorno donde los referidos procesos se desarrollan y las acciones a tomar en
caso de fallas, de conformidad con las normas y procedimientos establecidos para tal
fin.
PSI-040607: Ejecución Programada de los Procesos de Respaldo y

Recuperación: Deberá mantenerse una ejecución programada y automatizada de

26/11/07 27/07/06 13/39
los procesos de respaldo y recuperación, elaborada por personal debidamente

Tecnológica de la Corporación y avalada por la Gerencia Responsable de la
Seguridad de la Plataforma Tecnológica de la Corporación. Dicha ejecución deberá
contener indicaciones del entorno donde los referidos procesos se desarrollan y las
acciones a tomar en caso de fallas, de conformidad con la política de Documentación
de Procesos de Respaldo y Recuperación.
PSI-040608: Período de Retención de Respaldo: Los respaldos y/o copias de

seguridad de la información de la Corporación, deberán ser retenidos por un período
de tiempo determinado en el momento de su generación, de conformidad con las
Políticas de Clasificación de Activos de Información, los Acuerdos de Servicio con el
Gerente Propietario, la normativa interna y el Ordenamiento Jurídico.
PSI-040609: Etiquetado de los Respaldos: La identificación para los respaldos y

los medios de almacenaje deberá ser un estándar para toda la Corporación, de
SECCIÓN 07
Manejo de Documentos
PSI-040701: Administración de Documentos: Todo documento perteneciente a la

Corporación deberá ser administrado por personal autorizado debida y formalmente
por el Gerente Propietario, en concordancia con la Gerencia Responsable de la
Seguridad de la Plataforma Tecnológica de la Corporación y de conformidad con las
PSI-040702: Manejo de Copias de Documentos: Toda copia de documentos de la

Corporación deberá recibir el mismo tratamiento y resguardo que el respectivo
documento original y ser autorizada formalmente por el Gerente Propietario, de
PSI-040703: Autenticidad de Documentos: Los documentos que obligan o

comprometen a la Corporación deberán ser refrendados manual o electrónicamente
sólo por personal autorizado debida y formalmente y, de conformidad con las
PSI-040704: Envío de Documentos: El envío de documentos que obligan o

comprometen a la Corporación, deberá ser aprobado por personal autorizado debida
y formalmente por el Gerente Propietario, de conformidad con las Políticas de

26/11/07 27/07/06 14/39
Clasificación de Activos de Información y Manejo de Documentos, manteniendo un

control y registro de su envío.
PSI-040705: Correspondencia Interna: Toda correspondencia interna de la

Corporación deberá ser identificada debidamente y manejada sólo por personal
autorizado formalmente por el Gerente Propietario.
PSI-040706: Estilo y Presentación de Reportes: Los documentos corporativos

deberán elaborarse bajo un formato estándar acordado entre el Gerente Propietario y
la Gerencia Responsable de la Imagen Corporativa, de conformidad con las Políticas
de Clasificación de Activos de Información.
PSI-040707: Transmisión o Transporte de Documentos: Todo documento deberá

ser transmitido o transportado por personal autorizado debida y formalmente por el
Gerente Propietario, de conformidad con las Políticas de Clasificación de Activos de
Información.
PSI-040708: Destrucción de Documentos: Todo documento que haya perdido

vigencia y/o valor para la Corporación deberá ser destruido por personal autorizado
debida y formalmente por el Gerente Propietario, de conformidad con los
mecanismos y normativas para tal fin establecidos.
SECCIÓN 08
Seguridad de la Información
PSI-040801: Uso de Técnicas de Cifrado: El uso de técnicas de cifrado para la

Corporación deberá ser administrado debidamente por la Gerencia Responsable de
la Plataforma Tecnológica y autorizado formalmente por la Gerencia Responsable de
la Seguridad de la Plataforma Tecnológica.
PSI-040802: Manejo de la Información: La Gerencia Responsable de la Protección

de los Activos de la Corporación deberá establecer mecanismos de divulgación que
contribuyan a que todos sus empleados, terceros y/o relacionados, conozcan sus
compromisos legales y corporativos, en el manejo de la información que está bajo su
responsabilidad, de conformidad con las Políticas de Clasificación de Activos de
Información.
PSI-040803: Intercambio de Información con Terceros y/o Relacionados: Toda

información perteneciente a la Corporación que sea intercambiada con terceros y/o
relacionados, deberá ser autorizada debida y formalmente por el Gerente Propietario,
en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma

26/11/07 27/07/06 15/39
Tecnológica de la Corporación y de conformidad con las Políticas de Clasificación de

Activos de Información.
PSI-040804: Manejo de Información de Clientes y Terceros: Toda información

sobre clientes, terceros y/o relacionados, que sea confiada a la Corporación para
fines del Negocio, deberá ser asignada a un Gerente Propietario, en concordancia
Corporación, de acuerdo a los compromisos previamente establecidos y de
PSI-040805: Riesgos de Pérdida y/o Daño de Información y Documentos: Toda

la Información de la Corporación, en cualquiera de sus formas, deberá estar
protegida contra cualquier evento que pueda atentar contra su integridad,
confidencialidad y disponibilidad.
PSI-040806: Protección de Información: El acceso a toda información de la

Corporación o delegada a ésta, deberá ser protegido por la gerencia que ejercerá la
custodia, en concordancia con la Gerencia Responsable de la Seguridad de la
Plataforma Tecnológica de la Corporación, con mecanismos de identificación y
autentificación, de conformidad con las Políticas de Clasificación de Activos de
Información.
PSI-040807: Impresión de Documentos: Los documentos de la Corporación, de

conformidad con la política de Clasificación de los Activos de Información, deberán
ser impresos y retirados inmediatamente de las impresoras, sólo por personal
autorizado debida y formalmente por el Gerente Propietario.
SECCIÓN 09
Manejo y Procesamiento de Otra Información
PSI-040901: Eliminación de Información en Medios de Almacenamiento de

Información a Desincorporar: La eliminación de información contenida en medios
de almacenamiento a desincorporar, deberá ser autorizada por el Gerente
Propietario, con el aval de la Gerencia Responsable de la Seguridad de la Plataforma
Tecnológica de la Corporación y realizada por personal autorizado debida y
formalmente por la Gerencia Responsable de la Plataforma Tecnológica de la
Corporación, de conformidad con las Políticas de Clasificación de Activos de
Información, la normativa interna y del Ordenamiento Jurídico.
PSI-040902: Uso de Dispositivos de Copiado: El uso de los Dispositivos de

Copiado en la Corporación deberá estar restringido por la Gerencia Responsable de
la Seguridad de la Plataforma Tecnológica y sólo será autorizado para asuntos

26/11/07 27/07/06 16/39
relacionados con el Negocio, por el personal debida y formalmente autorizado por el

Gerente Propietario de la información, de conformidad con las Políticas de
Clasificación de Activos de información.
PSI-040903: Suministro de Información a los Medios de Comunicación Social:

Sólo personal autorizado debida y formalmente por la Gerencia Responsable de la
Imagen Corporativa podrá suministrar información en nombre de la Corporación, en
cualquiera de sus formas, a los Medios de Comunicación Social.
PSI-040904: Necesidad de Control Dual y/o Segregación de Tareas: El Gerente

Propietario deberá asegurar la correcta segregación de tareas en el uso y proceso de
la información que accede, mediante los sistemas instalados en la Plataforma
Tecnológica de la Corporación, de conformidad con las Políticas de Clasificación de
PSI-040905: Escritorio Despejado: Todo el personal que labore en la Corporación

es responsable de mantener sus escritorios despejados, no dejando expuesta
información clasificada perteneciente a la Corporación.
PSI-040906: Movilización de Información Fuera de las Instalaciones de la

Corporación: Todo personal que requiera movilizar información fuera de las
instalaciones de la Corporación deberá ser autorizado debida y formalmente por el
Gerente Propietario, en concordancia con la Gerencia Responsable de la Seguridad
de la Plataforma Tecnológica de la Corporación y tiene la estricta responsabilidad de
custodiarla y resguardarla, de conformidad con las Políticas de Clasificación de
CAPÍTULO 05

26/11/07 27/07/06 17/39
COMPRA Y MANTENIMIENTO DE SOFTWARE COMERCIAL
SECCIÓN 01
Compra e Instalación de Software
PSI-050101: Requerimientos de Nuevo Software: Toda solicitud de nuevo

Software deberá ser presentada por la Gerencia solicitante a la Gerencia
Responsable de la Plataforma Tecnológica de la Corporación, para su aprobación,
con las correspondientes justificaciones y los requerimientos del Negocio, de
conformidad con las Políticas establecidas para tal fin.
PSI-050102: Evaluación, Selección y Adquisición de Software Comercial: Sólo la

Gerencia Responsable de la Plataforma Tecnológica de la Corporación estará
autorizada para evaluar, seleccionar y adquirir Software comercial, de conformidad
con los requerimientos de la Gerencia solicitante, de la arquitectura de la Plataforma
Tecnológica, de los aspectos de seguridad y de las Políticas de Control de Cambio.
PSI-050103: Uso de Software propiedad de Terceros: Todo Software propiedad

de terceros instalado en la Plataforma Tecnológica de la Corporación deberá estar
autorizado debida y formalmente para su uso, mediante las licencias o convenios
necesarios, de manera de preservar los respectivos derechos de autor y el servicio
técnico.
PSI-050104: Implementación de Software: La implementación de todo Software en

la Corporación deberá ser realizada sólo por personal debidamente calificado y
autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnológica,
con el aval de la Gerencia Responsable de la Seguridad de la Plataforma
Tecnológica de la Corporación, de conformidad con las Políticas de Control de
Cambio.
SECCIÓN 02
Actualización y Mantenimiento de Software
PSI-050201: Implantación de Actualizaciones de Seguridad al Software: La

Gerencia Responsable de la Plataforma Tecnológica deberá crear mecanismos que
permitan la implantación controlada y oportuna de las actualizaciones de seguridad,
sugeridas por el fabricante, al Software de la Plataforma Tecnológica de la
Corporación y realizada sólo por personal debidamente calificado, de conformidad
con las Políticas de Control de Cambio.

26/11/07 27/07/06 18/39
PSI-050202: Respuesta a las Mejoras recomendadas para el Software por el

Fabricante: La decisión de mejorar el Software, recomendado por el fabricante, en la
Plataforma Tecnológica de la Corporación, deberá basarse en un análisis técnico
realizado por personal debidamente calificado y autorizado formalmente por el
de la Plataforma Tecnológica de la Corporación y de conformidad con las Políticas de
Control de Cambio.
PSI-050203: Implantación de Mejoras del Software: La Gerencia Responsable de

la Plataforma Tecnológica deberá crear mecanismos que permitan la implantación de
mejoras, sugeridas por el fabricante del Software, en la Plataforma Tecnológica de la
Corporación. Dichas mejoras deberán ser evaluadas y probadas en un ambiente
apropiado de prueba y realizadas sólo por personal debidamente calificado y
en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma
Tecnológica de la Corporación y de conformidad con las Políticas de Control de
Cambio.
PSI-050204: Interfaz de Sistemas y/o Software de Aplicación: El desarrollo de

Software para interfaces deberá ser realizado por personal debidamente calificado y
autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnológica y
por el Gerente Propietario, en concordancia con la Gerencia Responsable de la
Seguridad de la Plataforma Tecnológica de la Corporación y de conformidad con las
Políticas de Control de Cambio.
PSI-050205: Soporte al Software Comercial: Toda aplicación comercial instalada

en la Plataforma Tecnológica de la Corporación deberá establecer en un Acuerdo de
Servicio que permita proveer soporte técnico y deberá ser administrada por la
Gerencia Responsable de la Plataforma Tecnológica, con la aprobación del Gerente
Propietario, en concordancia con la Gerencia Responsable de la Seguridad de la
Plataforma Tecnológica de la Corporación y de conformidad con las Políticas de
Control de Cambio.
PSI-050206: Implantación de Mejoras al Software del Sistema Operativo: La

Gerencia Responsable de la Plataforma Tecnológica deberá crear mecanismos que
permitan la implantación de mejoras, sugeridas por el fabricante del Software del
Sistema Operativo, en la Plataforma Tecnológica de la Corporación. Dichas mejoras
serán evaluadas, realizadas como proyectos formales y probadas en un ambiente
apropiado de prueba, solo por personal debidamente calificado y autorizado
formalmente por la Gerencia Responsable de la Plataforma Tecnológica, avalado por
la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la
Corporación y de conformidad con las Políticas de Control de Cambio.

26/11/07 27/07/06 19/39
PSI-050207: Soporte para Sistemas Operativos: Todo Software de Sistema

Operativo instalado en la Plataforma Tecnológica de la Corporación deberá contar
con un Acuerdo de Servicio que permita proveer un nivel apropiado de soporte
técnico y deberá ser administrado por la Gerencia Responsable de la Plataforma
Tecnológica, con la aprobación del Gerente Propietario, en concordancia con la
Corporación y de conformidad con las Políticas establecidas para tal fin.
PSI-050208: Registro y Reporte de Fallas en el Software: Todo Software

instalado en la Plataforma Tecnológica de la Corporación requiere de un registro y
reporte de fallas, los cuales deberán ser revisados por el personal debidamente
Tecnológica, avalado por la Gerencia Responsable de la Seguridad de la Plataforma
Tecnológica de la Corporación. Dicho personal tiene la responsabilidad de reportar
las posibles desviaciones detectadas para su verificación y acordar las acciones
correspondientes.
PSI-050209: Seguridad en el Ciclo de Vida del Desarrollo de los Sistemas: Para

todos los sistemas de aplicaciones de la Corporación, los diseñadores y
desarrolladores de sistemas deberán establecer con la autorización formal de la
Corporación, la seguridad apropiada desde el principio del proceso de diseño de los
sistemas, hasta su conversión en sistemas de producción.
SECCIÓN 03
Otros Asuntos del Software
PSI-050301: Desincorporación de Software: La Gerencia Responsable de la

Plataforma Tecnológica deberá crear mecanismos que permitan, previa solicitud de
la Gerencia Propietaria del proceso, la desincorporación de Software de la
Plataforma Tecnológica de la Corporación. Dicha desincorporación será realizada
como proyecto específico y sólo por personal debidamente calificado y autorizado
formalmente por la Gerencia Responsable de la Plataforma Tecnológica, en
Tecnológica de la Corporación y de conformidad con las Políticas de Control de
Cambio.

26/11/07 27/07/06 20/39
CAPÍTULO 06
SEGURIDAD DE HARDWARE, PERIFÉRICOS Y OTROS EQUIPOS
SECCIÓN 01
Compra e Instalación de Hardware
PSI-060101: Requerimientos de Nuevo Hardware: Toda solicitud de nuevo

Hardware deberá ser presentada por la Gerencia solicitante a la Gerencia
Responsable de la Plataforma Tecnológica, con las justificaciones respectivas y los
requerimientos del Negocio, en concordancia con la Gerencia Responsable de la
Seguridad de la Plataforma Tecnológica de la Corporación, de conformidad con la
Arquitectura de la Plataforma Tecnológica de la Corporación y de las Políticas
establecidas para tal fin.
PSI-060102: Evaluación, Selección y Adquisición de Hardware: Sólo la Gerencia

Responsable de la Plataforma Tecnológica de la Corporación será autorizada para
evaluar, seleccionar y adquirir Hardware, de conformidad con los requerimientos de
la Gerencia solicitante, en concordancia con la Gerencia Responsable de la
Seguridad de la Plataforma Tecnológica de la Corporación, de la Arquitectura de la
Plataforma Tecnológica y de las Políticas de Control de Cambio.
PSI-060103: Instalación de Nuevo Hardware: La instalación de todo Hardware

deberá ser realizada sólo por personal debidamente calificado y autorizado
formalmente por la Gerencia Responsable de la Plataforma Tecnológica, previa
autorización del Gerente propietario del proceso, en concordancia con la Gerencia
conformidad con las Políticas de Control de Cambio.
SECCIÓN 02
Documentación de Hardware
PSI-060201: Manejo y Uso de la Documentación del Hardware: La

documentación del Hardware de la Plataforma Tecnológica de la Corporación deberá
realizarse por personal debidamente calificado y autorizado formalmente por la
Gerencia Responsable de la Plataforma Tecnológica, especificando y detallando los

26/11/07 27/07/06 21/39
aspectos técnicos, la vigencia y la disponibilidad para la operación adecuada de la

gerencia que ejerza la respectiva custodia, en el ambiente apropiado de producción.
SECCIÓN 03
Uso de Almacenamiento Seguro
PSI-060301: Administración de Activos de Reposición: Se deberán crear

mecanismos adecuados y eficientes que permitan la administración de los Activos de
Reposición de la Plataforma Tecnológica de la Corporación, por personal
Plataforma Tecnológica, en concordancia con la Gerencia Responsable de la
Seguridad de la Plataforma Tecnológica de la Corporación.
SECCIÓN 04
Otros Aspectos del Hardware
PSI-060401: Desincorporación de Equipos: La desincorporación de equipos de la

Plataforma Tecnológica de la Corporación deberá ser autorizada formalmente por el
de la Plataforma Tecnológica de la Corporación y realizada por personal autorizado
debida y formalmente por la Gerencia Responsable de la Plataforma Tecnológica, de
conformidad con las Políticas de Clasificación de Activos de Información, de la
normativa interna y del Ordenamiento Jurídico.
PSI-060402: Bitácora de Hardware: Deberá crearse una bitácora detallada e

individual de cada Hardware instalado en la Plataforma Tecnológica de la
Corporación, bajo la responsabilidad de personal debidamente calificado y autorizado
formalmente por la Gerencia Responsable de la Plataforma Tecnológica, de
PSI-060403: Mantenimiento del Hardware: Todos los equipos instalados en la

Plataforma Tecnológica de la Corporación deberán contar con programas de
mantenimiento predictivos, preventivos y correctivos, los cuales serán realizados y
ejecutados por personal debidamente calificado y autorizado formalmente por la
Gerencia Responsable de la Plataforma Tecnológica, avalado por la Gerencia
PSI-060404: Soporte de Entrenamiento para Hardware: Todo Hardware instalado

en la Plataforma Tecnológica de la Corporación deberá contar con un Convenio de
Entrenamiento con el proveedor del Hardware, que permitirá mantener vigente el

26/11/07 27/07/06 22/39
conocimiento del personal de la Corporación, atendiendo al rol que desempeña en el

uso y/o administración del Hardware, de conformidad con las Políticas establecidas
para tal fin.
PSI-060405: Instalación, activación y uso de Dispositivos de Transmisión de

Información: La instalación, activación y uso de dispositivos de transmisión de
información desde y hacia la Plataforma Tecnológica de la Corporación deberán ser
justificados por el Gerente solicitante, evaluados por la Gerencia Responsable de la
Seguridad de la Plataforma Tecnológica y autorizados formalmente por la Gerencia
Responsable de la Plataforma Tecnológica, de conformidad con las Políticas para tal
fin establecidas.
PSI-060406: Instalación, Activación y Uso de Módems: La instalación, activación

y uso de Módems deberá ser justificado por el Gerente solicitante, evaluado por la
Gerencia Responsable de la Seguridad de la Plataforma Tecnológica y autorizado
formalmente por la Gerencia Responsable de la Plataforma Tecnológica.
PSI-060407: Instalación, Activación y Uso de Dispositivos de Copiado: La

instalación, activación y uso de Dispositivos de Copiado en la Corporación deberá
ser justificado por el Gerente solicitante, evaluado por la Gerencia Responsable de la
Seguridad de la Plataforma Tecnológica y autorizado formalmente por la Gerencia
Responsable de la Plataforma Tecnológica.
PSI-060408: Instalación, Certificación, Mantenimiento y/o Mejoras del Cableado

de Red: La Gerencia Responsable de la Plataforma Tecnológica, en concordancia
Corporación deberá crear mecanismos de seguridad para la instalación, certificación,
mantenimiento, y/o mejoras del cableado de la Red de la Corporación, de
conformidad con las Políticas diseñadas para tal fin.
PSI-060409: Contratación o Uso de Servicios de Cómputo Externo: Sólo el

personal autorizado debida y formalmente por la Gerencia Responsable de los
Servicios de Plataforma Tecnológica, en concordancia con la Gerencia Responsable
de la Seguridad de la Plataforma Tecnológica de la Corporación, podrá contratar
servicios de cómputo externo, amparados bajo Contratos de Servicio que contengan
cláusulas de confidencialidad, garantías, criterios de calidad y control de la
información, extensivo al personal vinculado con el servicio.
PSI-060410: Asignación y Uso de Dispositivos Móviles de Computación: La

Gerencia Responsable de la Plataforma Tecnológica deberá asignar los dispositivos
móviles de computación de conformidad con las Políticas diseñadas para tal fin y
con el rol que desempeña en la Corporación el personal solicitante, quien asumirá la
responsabilidad por la información allí contenida.

26/11/07 27/07/06 23/39
PSI-060411: Traslado de Equipos: El traslado de equipos de la Plataforma

Tecnológica de la Corporación, dentro o fuera de sus instalaciones, deberá ser
autorizado debida y formalmente por la Gerencia Responsable de la Plataforma
Tecnológica, previo requerimiento del Gerente Propietario, en concordancia con la
Corporación y de conformidad con las Políticas establecidos para tal fin.
PSI-060412: Control de Equipos No Pertenecientes a la Corporación: El ingreso

y uso de equipos, no pertenecientes a la Corporación, en sus instalaciones, deberá
ser justificado previamente por el solicitante y autorizado, debida y formalmente por
la Gerencia encargada de la Protección de los Activos y la Gerencia de Adquisición
de Tecnología de Información, de conformidad con las Políticas establecidas para tal
fin.
CAPÍTULO 07
CONTROL DE LA SEGURIDAD DE INFORMACIÓN DEL COMERCIO

ELECTRÓNICO
SECCIÓN 01
Control de la Seguridad de Información del Comercio Electrónico
PSI-070101: Sistemas de Comercio Electrónico: Los Sistemas, incluyendo los

servidores Web, aplicaciones, bases de datos y cualquier otro elemento para el
Comercio Electrónico de la Corporación, deberán ser diseñados, implantados y
colocados en ambiente de producción sólo por personal debidamente calificado y
dando prioridad a mecanismos de seguridad en la transmisión de información,
autorizados formalmente por la Gerencia Responsable de la Seguridad de la
Plataforma Tecnológica de la Corporación y de conformidad con las Políticas
PSI-070102: Uso de Proveedores de Servicios Externos para el Comercio

Electrónico: Sólo el personal autorizado debida y formalmente por la Gerencia
Responsable de la Plataforma Tecnológica podrá contratar proveedores de servicios
externos para Comercio Electrónico, amparados por Contratos de Servicio que
contengan cláusulas de confidencialidad y garantías. Dichos contratos deberán ser
revisados y aprobados por la organización responsable de los aspectos jurídicos de
la Corporación, en concordancia con la Gerencia Responsable de la Seguridad de la

26/11/07 27/07/06 24/39

CAPÍTULO 08
DESARROLLO Y MANTENIMIENTO DE APLICACIONES PROPIETARIAS
SECCIÓN 01
Desarrollo de Aplicaciones
PSI-080101: Administración de Aplicaciones en Ambiente de Producción: Sólo

el personal debidamente calificado y autorizado formalmente por la Gerencia
Responsable de la Plataforma Tecnológica de la Corporación será el responsable de
la administración del ambiente donde residen las aplicaciones en producción, con
funciones excluyentes al personal que realiza la administración de aplicaciones en el
ambiente de desarrollo, de conformidad con las Políticas establecidas para tal fin.
PSI-080102: Administración de los Códigos Fuentes de las Aplicaciones: Sólo el

personal debidamente calificado y autorizado formalmente por la Gerencia
Responsable de la Plataforma Tecnológica de la Corporación será el responsable de
la administración de los códigos fuentes de las aplicaciones que residen en el
ambiente de desarrollo, con funciones excluyentes al personal que realiza la
administración de las aplicaciones en el ambiente de producción, de conformidad con
las Políticas establecidos para tal fin.
PSI-080103: Desarrollo y Mantenimiento de Software de Aplicaciones: Todo

desarrollo y mantenimiento de aplicaciones deberá ser autorizado por el Gerente
Propietario del proceso, en concordancia con la Gerencia Responsable de la
Seguridad de la Plataforma Tecnológica de la Corporación, realizado por personal
Plataforma Tecnológica, con funciones excluyentes al personal que realiza la
administración de las aplicaciones en el ambiente de producción, implementándose
para ello procedimientos formales para el control de las versiones y registros de
auditorias, de conformidad con las Políticas de Control de Cambio.

26/11/07 27/07/06 25/39
PSI-080104: Documentación de Aplicaciones: Todo desarrollo o cambio de

aplicaciones de la Plataforma Tecnológica de la Corporación deberá constar en una
documentación detallada, vigente y contentiva de todas las fases de desarrollo o
cambio y, deberá ser realizada y ejecutada por personal debidamente calificado y
con funciones excluyentes al personal que realiza la administración de las
aplicaciones en el ambiente de producción, de conformidad con las Políticas Control
de Cambio.
PSI-080105: Inventario de las Versiones Obsoletas de las Aplicaciones: Deberá

constituirse un inventario que permita controlar y mantener el registro vigente de
todas las aplicaciones obsoletas de la Corporación. Dicho inventario será realizado
por personal debidamente calificado y autorizado formalmente por la Gerencia
Responsable de la Plataforma Tecnológica, con funciones excluyentes al personal
que realiza la administración de las aplicaciones en el ambiente de producción, de
PSI-080106: Inventario de Aplicaciones en Producción: Deberá constituirse un

inventario que permita controlar y mantener el registro vigente de todas las
aplicaciones en producción de la Corporación. Dicho inventario será realizado por
Responsable de la Plataforma Tecnológica, con funciones excluyentes al personal
que realiza la administración de las aplicaciones en el ambiente de producción, de
PSI-080107: Solicitud de Mejoras a las Aplicaciones: Todas las solicitudes de

mejoras a las aplicaciones operativas en la Plataforma Tecnológica de la
Corporación deberán ser justificadas, realizadas y presentadas por el Gerente
Propietario del proceso, ante la Gerencia Responsable de la Plataforma Tecnológica,
de conformidad con las Políticas de Control de Cambio.
PSI-080108: Evaluación de Desarrollo de Nuevas Aplicaciones: La evaluación

para el desarrollo de nuevas aplicaciones de la Corporación deberá ser realizada por
Responsable de la Plataforma Tecnológica, de conformidad con las Políticas de
Control de Cambio.
PSI-080109: Segregación de Funciones: La Gerencia Responsable de la

Plataforma Tecnológica de la Corporación, en concordancia con la Gerencia
Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación,
deberá implementar una segregación de funciones, responsabilidades u otras
medidas compensatorias de control que garanticen que ninguna persona individual
tendrá el control exclusivo de los activos de información bajo su responsabilidad.

26/11/07 27/07/06 26/39
SECCIÓN 02
Evaluación y Entrenamiento
PSI-080201: Control de Calidad de la Aplicación en Producción: Todos los

cambios y desarrollo de aplicaciones de la Corporación deberán ser evaluados en un
ambiente apropiado de prueba por personal debidamente calificado y formalmente
autorizado por la Gerencia Responsable de la Plataforma Tecnológica, con funciones
excluyentes del personal de desarrollo y producción. Dichas evaluaciones deberán
contar con la participación y aprobación del Gerente Propietario solicitante de la
aplicación, en concordancia con la Gerencia Responsable de la Seguridad de la
PSI-080202: Uso de Data para Pruebas: El uso de data de producción para

realizar pruebas de nuevas aplicaciones solo será permitido, previa autorización
formal del Gerente Propietario y aval de la Gerencia Responsable de la Seguridad de
la Plataforma Tecnológica, si dicha data son transferidos al ambiente apropiado de
prueba, con los controles adecuados para la seguridad de la información, de
PSI-080203: Entrenamiento en Nuevas Aplicaciones: Deberán establecerse y

asegurarse mecanismos que permitan suministrar los conocimientos suficientes y
necesarios al personal formalmente autorizado por la Gerencia Responsable de la
Plataforma Tecnológica, acerca de la funcionalidad y operatividad de las nuevas
aplicaciones.
SECCIÓN 3
Otros Desarrollos de Software
PSI-080301: Desarrollo de Aplicaciones por Externos: Toda aplicación que

requiera ser desarrollada por proveedores externos para la Plataforma Tecnológica
de la Corporación, deberá establecerse en un Convenio de Servicio que permita
proveer un nivel apropiado de soporte técnico, el cual deberá ser administrado por la
Gerencia Responsable de la Plataforma Tecnológica, con la aprobación del Gerente
Propietario, en concordancia con la Gerencia Responsable de la Seguridad de la
Plataforma Tecnológica de la Corporación y de conformidad con las Políticas de
seguridad establecidas para tal fin.

26/11/07 27/07/06 27/39
CAPÍTULO 09
CONSIDERACIONES RELACIONADAS CON LAS INSTALACIONES
SECCIÓN 01
Consideraciones Relacionadas con las Instalaciones
PSI-090101: Clasificación de Áreas Físicas con Activos de Información: Todas

las áreas físicas con Activos de Información de la Corporación deberán ser
clasificadas de acuerdo al valor y confidencialidad de los activos a proteger y a la
criticidad de los servicios que prestan, de conformidad con las Políticas de
Clasificación de Activos de Información.
PSI-090102: Protección Física de las Áreas para Instalación de Activos de

Información: Las áreas donde se encuentran Activos de Información de la
Corporación deberán ser protegidas, contra amenazas y riesgos naturales y/o
ambientales, de conformidad con su clasificación y con las Políticas establecidas
para tal fin.
PSI-090103: Acceso Físico de personal a las Áreas de Instalación de Activos de

Información: El acceso físico del personal a las áreas donde se encuentran Activos
de Información de la Corporación deberá ser estrictamente controlado con rigurosas
técnicas de identificación por la Gerencia Responsable de la Protección de los
Activos de la Corporación, de conformidad con las Políticas de Clasificación de Áreas
Físicas con Activos de Información.
PSI-090104: Acceso de Terceros a las Áreas de Instalación de Activos de

Información: Todo acceso de terceros a las áreas donde se encuentran Activos de
Información de la Corporación deberá ser estrictamente controlado por el personal
responsable de las áreas a visitar.
CAPÍTULO 10
ASPECTOS DE SEGURIDAD RELACIONADOS CON EL PERSONAL
SECCIÓN 01

26/11/07 27/07/06 28/39
Aspectos de Seguridad Relacionados con el Personal
PSI-100101: Términos y Condiciones de Confidencialidad y Cumplimiento: Los

Términos y Condiciones para el proceso de ingreso y/o permanencia del personal de
la Corporación deberán incluir, según su rol en la misma, los acuerdos vigentes de
confidencialidad y el cumplimiento de las políticas, estándares, normas y
procedimientos de Seguridad de Información de la Corporación.
PSI-100102: Resguardo de los Mecanismos de Acceso: El personal deberá

responsabilizarse por el resguardo, custodia e intransferencia del mecanismo de
acceso a las áreas donde se encuentran instalados los Activos de Información de la
Plataforma Tecnológica de la Corporación, de conformidad con las Políticas
diseñadas para tal fin.
PSI-100103: Reportes de Eventualidades en la Plataforma Tecnológica: Todo el

personal de la Corporación deberá reportar inmediatamente a la Gerencia
Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación,
cuando tengan conocimiento o sospecha de cualquier eventualidad que pudiera
poner en riesgo la confidencialidad, integridad y disponibilidad de la información.
PSI-100104: Propiedad de los Derechos de Autoría Intelectual: Todo el personal

perteneciente a, o relacionado con, la Corporación deberán firmar un compromiso
formal de respeto a los derechos de propiedad intelectual sobre el trabajo acometido
en la Corporación durante el lapso del respectivo contrato y conforme al
Ordenamiento Jurídico.
PSI-100105: Confidencialidad de las Contraseñas y Claves de Seguridad: Todo

el personal perteneciente a, o relacionado con, la Corporación con derecho a uso de
la Plataforma Tecnológica, deberá comprometerse formalmente a manejar las
contraseñas y claves de seguridad, como elementos con el más alto grado de
clasificación en tanto que Activos de Información de la Corporación, de conformidad
con las Políticas de Clasificación de Activos de Información.
PSI-100106: Eliminación de Privilegios y Accesos: La Gerencia Responsable de

la Administración del Personal, en concordancia con la Gerencia Responsable de la
Seguridad de la Plataforma Tecnológica de la Corporación, deberá establecer
mecanismos que permitan eliminar inmediatamente los privilegios y accesos a la
Plataforma Tecnológica de la Corporación, al momento de notificarse el egreso del
empleado o la terminación de contratos.
PSI-100107: Concienciación sobre Aspectos de Seguridad: La Gerencia

Responsable de la Protección de los Activos de la Corporación, deberá crear
mecanismos que permitan dar a conocer y mantener actualizados a todo el personal

26/11/07 27/07/06 29/39
perteneciente a, o relacionado con, la Corporación, sobre las políticas, estándares,

normas y procedimientos referidas a Seguridad en Tecnologías de Información y a
las normas jurídicas sobre la materia.
PSI-100108: Planes de Inducción al Personal: La Gerencia Responsable de la

Administración del Personal deberá establecer mecanismos que permitan incluir en
los Planes de Inducción a todo el personal perteneciente a, o relacionado con, la
Corporación, la información relacionada con las políticas, estándares, normativa
interna y procedimientos referidas a Seguridad en Tecnologías de Información y al
marco legal que los sustentan.
PSI-100109: Entrenamiento en Seguridad de Información: La Gerencia

Responsable de la Seguridad de Plataforma Tecnológica de la Corporación deberá
mantener actualizados los conocimientos en materia de Seguridad, al personal
técnico y especializado, responsable de dicha área.
PSI-110101: Declaración de Principio de Monitoreo de la Plataforma

Tecnológica: La Corporación se reserva el derecho de ejercer constantemente la
función de Monitoreo en toda la Plataforma Tecnológica.
CAPITULO 11
MONITOREO, INCIDENTES Y AUDITORIA
SECCIÓN 01
Monitoreo
PSI-110102: Monitoreo en la Plataforma Tecnológica: La Gerencia Responsable

de la Seguridad de la Plataforma Tecnológica deberá coordinar las estrategias de
Monitoreo de la Plataforma Tecnológica de la Corporación.
SECCIÓN 02
Tratamiento de Incidentes
PSI-110201: Recolección, Protección y Preservación de Evidencias: La

Corporación, a través de la Gerencia Responsable de la Seguridad de la Plataforma
Tecnológica, deberá coordinar mecanismos relacionados con la recolección,

26/11/07 27/07/06 30/39
protección y preservación de la evidencia de un posible incidente de seguridad

detectado en la Plataforma Tecnológica.
PSI-110202: Tratamiento de Incidentes de Seguridad: La Corporación deberá

atender en forma inmediata los incidentes de seguridad de la Plataforma
Tecnológica, a través de la Gerencia Responsable de la Seguridad de la Plataforma
Tecnológica.
SECCIÓN 03
Auditoria
PSI-110301: Auditoria de Registros: Todos los registros de operación de los

diferentes componentes de la Infraestructura de la Plataforma Tecnológica de la
Corporación, deberán ser auditados constantemente por la Gerencia Responsable de
la Seguridad de la Plataforma Tecnológica, con funciones excluyentes del personal
que realiza la operación.
SECCIÓN 04
Otros Aspectos
PSI-110401: Manejo de Información de Monitoreo, Incidentes y Auditoria: Toda

información vinculada al Monitoreo, Incidentes y Auditoria deberá tener el más alto
grado de clasificación de los Activos de Información de la Corporación.
CAPÍTULO 12
CONTINUIDAD DE LAS OPERACIONES DEL NEGOCIO
SECCIÓN 01
Continuidad de las Operaciones del Negocio
PSI-120101: Planes de Contingencia del Negocio: La Corporación deberá

disponer de mecanismos y estrategias que permitan el desarrollo, evaluación

26/11/07 27/07/06 31/39
continua y activación de los Planes de Contingencia que logren restablecer

inmediatamente los procesos medulares del Negocio.
CAPÍTULO 13
CONTROL DE CAMBIOS
SECCIÓN 01
Control de Cambios
PSI-130101: Control de Cambios: Todo cambio al Software, Hardware, redes de

comunicación y procedimientos relacionados realizados en la Plataforma Tecnológica
de la Corporación, deberá seguir un proceso formal de Control de Cambios, previa
solicitud del Gerente Propietario y con la autorización formal de un Comité
Multidisciplinario que incluya a la Gerencia Responsable de la Seguridad de la
Plataforma Tecnológica, de conformidad con las Políticas establecidas para tal fin.
Las normas que integran las Políticas de Seguridad de Información

entrarán en vigencia a partir de la fecha de su publicación en la
Corporación.
Dada, firmada y sellada en Caracas a los veinte días del mes de

Septiembre del dos mil seis.
El MINISTRO DE ENERGÍA Y PETRÓLEO Y PRESIDENTE DE PDVSA,
Ing. Rafael Ramírez
GLOSARIO

26/11/07 27/07/06 32/39
Acceso Remoto: Es una tecnología de redes que permite a los usuarios

distantes/externos tener acceso a redes empresariales a través de Internet o
servidores de acceso remoto.
Activo de Información: Es la información misma en cualesquiera de sus formas y

modalidades; es decir, impresa, manuscrita, oral, electrónica y visual a la cual la
Corporación, según sus intereses, le ha atribuido un valor determinado en función a
la trascendencia de dicha información. Esta definición incluye la Plataforma
Tecnológica de la Corporación.
Acuerdo de Servicio: Documento en el que de antemano se le informa al usuario

del alcance, responsabilidades y procedimientos relacionados con el servicio a
recibir.
Adecuado (a): Es el grado de máxima diligencia que el responsable de un proceso

deberá demostrar en el manejo de los activos de Información.
Administrador del Sistema: Persona natural o jurídica que configura y mantiene en

correcto funcionamiento un sistema.
Autenticación: Proceso que verifica la identidad y el perfil del usuario.
Clasificación: Son diferentes niveles de confidencialidad o criticidad que se asignan

a los Activos de Información de acuerdo a su contenido estratégico, valor comercial,
valor de reposición, repercusiones legales y su importancia para la continuidad
operacional y/o reanudación de las operaciones y que tiene la finalidad de determinar
el grado de protección requerida.
Comercio Electrónico: Uso de tecnologías de comunicación para transmitir

información del Negocio (Ej. Intercambio Electrónico de Datos (EDI)). El comercio en
Internet es un sub-conjunto del comercio electrónico.
Computación Móvil: Es el uso combinado de mecanismos de comunicación remota

y servidores de datos con dispositivos móviles, para cubrir las necesidades de
información de los usuarios, en caso de ausencia de éstos.
Confidencialidad: Es el compromiso de discreción, que la Corporación exige a sus

empleados, contratados, terceros y/o relacionados, sobre los conocimientos,
procedimientos y documentos que comprenden los activos de información de su
propiedad o bajo su custodia. La confidencialidad es una consecuencia de la
seguridad de la información.
Continuidad del Negocio: Es el proceso mediante el cual se asegura la continuidad

26/11/07 27/07/06 33/39
de las funciones medulares del Negocio, en el caso de ocurrir un desastre, mediante

la protección de su información contra eventualidades como actos terroristas,
desastres naturales o incluso errores de calculo humano, ataques de virus, entre
otros. Los factores a tenerse en cuenta son, qué tanto tiempo puede sobrevivir la
Corporación sin acceso a su información y qué cantidad de información debe ser
recuperada en caso de darse una interrupción del servicio.
Contraseña (Password): Secuencia alfabética, numérica o combinación de ambas,

protegida por reglas de confidencialidad, utilizada para verificar la autenticidad de la
autorización, expedida a un usuario, para acceder a la data o a la información
contenida en un sistema.
Control: Mecanismo de seguridad que verifica lo que un usuario puede hacer, una
vez que tenga acceso a los datos o recursos del sistema, en base a un determinado
perfil.
Control de Acceso: Proceso que autoriza y controla quién y cómo se tiene acceso a
los datos y a los recursos de un sistema.
Corporación: PDVSA y sus empresas filiales.
Cuenta de Usuario: Representa toda la información que el sistema guarda acerca

de cada usuario. Está conformada por un nombre único de identificación de usuario y
una contraseña secreta.
Custodio: Es la persona designada por el propietario de la información para proteger

y almacenar la información de los sistemas y redes de la Corporación, según las
especificaciones dadas.
Data (datos): Hechos, conceptos, instrucciones o caracteres representados de una

manera apropiada para que sean comunicados, transmitidos o procesados por
personas o por medios automáticos y a los cuales se les asigna o se les puede
asignar un significado.
Derecho de Autor: Son las normas jurídicas de protección para toda obra de ingenio
de carácter creador, ya sea de índole literaria, científica, técnica o artística,
cualesquiera sea su género, forma de expresión, mérito o destino, que sea
susceptible de ser comercializada por terceras personas.
Desastre: Incidente que compromete parcial o totalmente la disponibilidad de los

sistemas informáticos y los activos de información y que podría afectar las
operaciones de la Corporación.

26/11/07 27/07/06 34/39
Disponibilidad: Valor que mide el nivel de operatividad de los sistemas informáticos

para los usuarios, en un periodo específico.
Dispositivos de Copiado: Son todos aquellos equipos que permiten la reproducción

de documentos, imágenes, entre otros; tales como fax, fotocopiadora, scanner e
impresoras.
Dispositivos Móviles: Son todos aquellos equipos de computación de uso individual

de una persona, tanto en posesión como en operación, suficientemente pequeños
para ser transportados y utilizados durante su transporte, tales como Pocket PCs,
Tablet PCs, Portátiles, SmartPhone, entre otros.
Dispositivos de Transmisión de Información: Son todos aquellos equipos de

comunicación que permiten el intercambio de información, tales como Teléfono Fijo,
Teléfono Celular, Fax, Telefax, Radios, Beeper, Vídeo Conferencia, etc.
Documento: Registro incorporado en un sistema en forma de escrito, vídeo, audio o

cualquier otro medio, que contiene data o información acerca de un hecho o acto
capaz de causar efectos jurídicos.
Estado de Excepción: Son circunstancias de orden social, económico, político,

natural o ecológico, que afecten gravemente la seguridad de la Nación, de sus
ciudadanos o de sus instituciones. Art. 2 de la Ley Orgánica sobre Estados de
Excepción.
Estándar: Comprende la descripción de los mecanismos y productos requeridos

para el desempeño de las Políticas de seguridad.
Evento de Seguridad: Comportamiento anómalo que podría afectar la integridad,

confidencialidad y/o disponibilidad de los activos de información de la Corporación.
Extranet: Es la red que permite a la Corporación compartir informaciones con otras

empresas y clientes. La extranet transmite información por Internet y requiere que el
usuario tenga una contraseña para poder acceder a la data de los servidores
internos de la Corporación.
Firewall: Dispositivo que actúa como una barrera de protección, defendiendo una
red interna de ataques desde otras redes externas no confiables. Un Firewall,
además, previene que personas no autorizadas tengan acceso a la red interna, pero
al mismo tiempo permite que los usuarios autorizados tengan libre acceso.
Firmware: Programa o segmento de programa incorporado de manera permanente

en algún componente de Hardware, con la finalidad de permitir su operatividad.

26/11/07 27/07/06 35/39
Gerencia Responsable de la Plataforma Tecnológica: Gerencia de

Automatización, Informática y Telecomunicaciones.
Gerencia Responsable de la Protección de los Activos de la Corporación:

Gerencia Corporativa de Prevención y Control de Pérdidas (PCP).
Gerencia Responsable de la Seguridad de la Plataforma Tecnológica: Gerencia

de Seguridad Lógica de la Gerencia Corporativa de Prevención y Control de
Pérdidas.
Gerencia Responsable de la Imagen Corporativa: Gerencia Corporativa de

Asuntos Públicos.
Gerencia Responsable de Adquisición de Tecnología de Información: Bariven,

Filial de Petróleos de Venezuela.
Gerencia Responsable del Manejo de Personal: Gerencia Corporativa de

Captación, Educación y Desarrollo.
Gerente Propietario: Es el cargo de mayor nivel en una organización, a quien la

Corporación ha delegado la autoridad y responsabilidad de implementar y mantener
la protección de los Activos de Información, de acuerdo a las normas y
procedimientos de la Corporación.
Hardware: Equipos o dispositivos físicos, considerados en forma independiente de

su capacidad o función, que forman un computador o sus componentes periféricos,
de manera que pueden incluir herramientas, implementos, instrumentos, conexiones,
ensamblajes, componentes y partes.
Identificación: Proceso en el cual el usuario se da a conocer en el sistema para

ingresar física o lógicamente.
Información: significado que el ser humano le asigna a la data utilizando las

convenciones conocidas y generalmente aceptadas.
Información Confidencial: Información clasificada que pueda influir en la toma de

decisiones estratégicas para el Negocio de la Corporación.
Información de Uso Interno: Información de uso exclusivo de la Corporación que

describe cómo opera la organización y cuya divulgación a entes externos puede
afectar de manera negativa el funcionamiento de ésta. Ejemplo: Información sobre
los clientes de la Corporación, Información sobre políticas, normas y procedimientos.

26/11/07 27/07/06 36/39
Información Pública: Información que puede ser divulgada libremente tanto al

personal de la Corporación como a entes externos. Ejemplo: Tarifas y precios de
productos, publicidad de los productos ya existentes en el mercado.
Integridad: Atributo que garantiza que la información recibida sea exactamente igual
a la información transmitida. También garantiza que la información recuperada de un
medio de almacenamiento o archivo sea exactamente igual a la información
almacenada, es decir que no ha sido dañada o alterada durante su almacenamiento,
en forma accidental o intencional.
Internet: Red de alcance mundial que une gran cantidad de redes y por la cual
circula alto tráfico de información.
Intranet: Es una infraestructura bien definida y limitada, basada en los estándares y

tecnologías de Internet, que soporta el intercambio de información dentro de una
organización.
Medio de Transmisión: Todo medio a través del cual puede ser transmitida una
información. Se incluye en este concepto el cableado, fibra óptica, líneas telefónicas
y el espacio a través del cual son transmitidas las ondas.
Modem: Se trata de las siglas: MOdulador-DEModulador. Es un acoplador que une

el computador con una red telefónica u otra red de transmisión de data. En el
proceso de emisión modula, de forma binaria, una señal y, en la recepción, demodula
la señal transmitida y reconstruye la original.
Monitoreo: Es la acción de vigilar que tiene por objeto detectar anomalías o usos
indebidos en la Plataforma Tecnológica.
Negocio: Son las actividades interrelacionadas que dan soporte a la operación

comercial, técnica y jurídica de la Corporación, y que se vinculan a los procesos
medulares de la Corporación, a saber: Exploración y Producción, Refinación,
Comercialización, y Gas.
Normas: Son disposiciones caracterizadas por su imperatividad, coercividad y

obligatoriedad.
Plan de Contingencia: Es el proceso mediante el cual se determinan las acciones

que aseguren la continuidad del Negocio y la recuperación ante desastres.
Plataforma Tecnológica: Son todos los medios utilizados para procesar, almacenar
y transmitir la información.

26/11/07 27/07/06 37/39
Políticas de Seguridad: Es una declaración de intenciones emanadas de la alta

dirección de la Corporación, que cubre la seguridad de los activos de información y
que proporciona las bases para definir y delimitar las responsabilidades que se
requieran en las diversas actuaciones técnicas y organizativas.
Prácticas: Describe en forma detallada la manera de implementar las actividades y

acciones de seguridad.
Procedimientos: Son el conjunto de actividades, que en forma cronológica y en

orden lógico, se deberán seguir para ejecutar determinadas acciones.
Programa: Plan, rutina o secuencia de instrucciones utilizados para realizar un

trabajo en particular o resolver un problema dado a través de un computador.
Procesamiento de datos o de información: realización sistemática de operaciones

sobre datos o sobre información, tales como manejo, fusión, organización o cómputo.
Pruebas de Penetración: Es un conjunto de actividades sistemáticas cuyo objetivo

es detectar y alertar sobre posibles fallas de seguridad, que podrían ser utilizadas,
por personal interno o externo, para atacar y/o penetrar en un sistema.
Recuperación: Es el plan que asegura el restablecimiento de los recursos

informáticos a un estado operativo después de una falla, incidente o desastre.
Respaldo (Backup): Copia de un recurso o data para permitir la recuperación en el

caso de una pérdida o daño del mismo.
Relacionado: Personas naturales o jurídicas que tienen relaciones contractuales o

no con la Corporación.
Riesgo: Es la probabilidad de que ocurra un evento o posible incidente que pudiera

ocasionar pérdida o daño al patrimonio de la Corporación.
Seguridad: Condición que resulta del establecimiento y mantenimiento de medidas

de protección que garanticen un estado de inviolabilidad, que no permitan influencias
o actos hostiles específicos, que pudieran propiciar el acceso a la data, de personas
no autorizadas, o que afecten la operatividad de las funciones de un sistema.
Sistema: Cualquier conjunto estructurado de recursos y procedimientos diseñados

para el uso de tecnologías de información, unidos y regulados por interacción o
interdependencia que cumplen una serie de funciones específicas, y combinan dos o
más componentes interrelacionados, organizados en un paquete funcional, de
manera que estén en capacidad de realizar una función operacional o satisfacer un

26/11/07 27/07/06 38/39
requerimiento dentro de unas especificaciones previstas.
Sistema de Información: Conjunto de aplicaciones que proporcionan información

para las decisiones y aplicaciones de carácter estratégico en la Corporación.
Sistema Operativo: Conjunto de programas que se integran con el Hardware para

facilitar al usuario, el aprovechamiento de los recursos disponibles.
Software: Información organizada, en forma de programas de computación,

procedimientos y documentación asociados, concebida para realizar la operación de
un sistema que provee instrucciones a los sistemas de cómputo, con el objeto que
dichos sistemas realicen funciones específicas.
Tecnología de Información: Rama de la tecnología que se dedica al estudio,

aplicación y procesamiento de datos, lo cual involucra la obtención, creación,
almacenamiento, administración, modificación, manejo, movimiento, control,
visualización, distribución, intercambio, transmisión o recepción de información en
forma automática, trata, así mismo, el desarrollo y uso del Hardware, Firmware,
Software, cualesquiera de sus componentes y todos los procedimientos asociados
con el procesamiento de datos.
Técnicas de Cifrado: Métodos de encriptar mensajes de forma que no pueda ser

descifrados por terceros.
Terceros: Es la relación comercial y/o técnica establecida por la Corporación con

personas naturales o jurídicas bajo la modalidad de empresas mixtas, exploración a
riesgo, ganancias compartidas, contratos de servicio, entre otros.
Usuario: Toda persona autorizada para utilizar los activos y servicios de información
en base al conocimiento requerido, atendiendo el cargo ejercido dentro de la
Corporación.

26/11/07 27/07/06 39/39

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20-09-06 USO GENERAL. v-1.0 S - S PDF

Загружено:

Сведения о документе

Исходное описание:

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20-09-06 USO GENERAL. v-1.0 S - S PDF

Загружено:

Авторское право:

Доступные форматы

Nom

EMISIÓN CLASIFICACIÓN SERIAL Nº

Preparado por: Revisado por: Aprobado por: Versión:

Las normas que integran las Políticas de Seguridad de Información serán de

La Gerencia de Seguridad Lógica de la Gerencia Corporativa de Prevención y

De igual manera, queda establecido que estas Políticas se deberán aplicar

Gerencia Corporativa de Prevención y Control de Pérdidas

“Trabajo, Honestidad, Excelencia”

La Corporación se reserva el derecho de cambiar estas Políticas en cualquier

Preparado por: Revisado por: Aprobado por: Versión:

POLÍTICAS DE SEGURIDAD DE INFORMACIÓN

PROTECCIÓN DE LA PLATAFORMA TECNOLÓGICA

Protección de la Plataforma Tecnológica

PSI-010101: Declaración de Seguridad: Los Activos de Información de la

PSI-010102: Regulación sobre Aspectos de Seguridad de Información: La

PSI-010103: Responsabilidades Legales en Materia de Seguridad: La

Preparado por: Revisado por: Aprobado por: Versión:

CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN

Clasificación de Activos de Información

PSI-020101: Clasificación de Activos de Información: Todo Activo de Información

PSI-020102: Asignación de Propiedad de Información: La responsabilidad de

PSI-020103: Rotular Activos de Información: Todo Activo de Información de la

PSI-020104: Inventario de Activos de Información: La Gerencia Responsable de

PSI-020105: Tratamiento y Resguardo de los Activos de Información: Todo

Preparado por: Revisado por: Aprobado por: Versión:

CONTROL DE ACCESO A LA INFORMACIÓN Y SISTEMAS

Control de Acceso a la Información y Sistemas

PSI-030101: Administración del Control Acceso: El Control de Acceso a la

PSI-030102: Control de Acceso al Usuario: El acceso de los usuarios a la

PSI-030103: Protección de Equipos de Tecnología de Información

PSI-030104: Administración del Control de Acceso a la Red: El Control de

PSI-030105: Control de Acceso al Sistema Operativo: El acceso al Sistema

PSI-030106: Mecanismos de Identificación y Autenticación: Las personas

Preparado por: Revisado por: Aprobado por: Versión:

y autentificación confiables. Será responsabilidad de la Gerencia Corporativa de

PSI-030107: Restricción de Acceso a la Información: Las restricciones a la

PSI-030109: Brindar Acceso a los Activos de Información: El acceso a los

PSI-030110: Control del Acceso a Usuarios Remotos: El control de acceso a los

PSI-030111: Administración de Seguridad de Aplicaciones: Toda aplicación

PSI-030112: Claves de Máximos Privilegios: Las Claves de Máximos Privilegios de

Preparado por: Revisado por: Aprobado por: Versión:

PROCESAMIENTO DE INFORMACIÓN Y DOCUMENTOS

PSI-040101: Arquitectura y Configuración de la Red: La arquitectura y

PSI-040102: Administración de la Red: Sólo personal debidamente calificado y

PSI-040103: Administración de la Plataforma de Seguridad: La Plataforma de

PSI-040104: Acceso Remoto a la Red: El Acceso Remoto a la Red y sus recursos

Operaciones y Administración de Sistemas

PSI-040201: Administración de Sistemas: Los Sistemas de la Corporación

PSI-040202: Control de Distribución de Información: El Gerente Propietario, en

Preparado por: Revisado por: Aprobado por: Versión:

Tecnológica de la Corporación, deberá establecer los mecanismos que garanticen la

PSI-040203: Revisión de Registros de Eventos: Todo registro de eventos de

PSI-040204: Programación de Operaciones de Sistemas: La programación de

PSI-040205: Cambio y/o Mantenimiento de la Programación de la Operación de

PSI-040206: Revisión de Registros de Auditoria: Los registros de auditoria de los

PSI-040207: Sincronización de Relojes de los Sistemas: Los Relojes de los

PSI-040208: Atención de Fallas de los Sistemas: Sólo personal debidamente

PSI-040209: Contratación de Servicios Externos de Tecnología de Información:

Preparado por: Revisado por: Aprobado por: Versión:

Información en la Corporación, deberán estar avalados por la Gerencia Responsable

Correo Electrónico e Internet

PSI-040301: Uso del Correo Electrónico de la Corporación: El personal