Saltar al contenido principal
La tesorería es pionera en una nueva era para los directores financieros

Anexo de seguridad

Tabla de contenido
Este es un texto dentro de un bloque div.
Este es un texto dentro de un bloque div.

Este es el anexo de seguridad del Acuerdo marco.

1. POLÍTICA DE SEGURIDAD

  • El Tesoro mantendrá una política de seguridad integral («Política de seguridad») que cumpla con los requisitos que se establecen a continuación. GTreasury no realizará ningún cambio en la Política de seguridad que reduzca o limite de manera sustancial los derechos o protecciones que se ofrecen al Cliente en general en virtud de este Anexo. Si el Cliente lo solicita, GTreasury le proporcionará un resumen de la Política de seguridad vigente en ese momento.
  • GTreasury revisará la Política de seguridad al menos una vez al año y la volverá a emitir si se actualiza, especialmente después de cualquier cambio en la ley aplicable, avances en la tecnología o cambios materiales en la infraestructura de TI de GTreasury.

2. NORMAS.

    gTreasury utilizará las medidas estándar de la industria para asegurar y proteger los datos de los clientes. Cuando proceda, gTreasury utilizará y respetará el marco de control de seguridad de los proveedores de la Sociedad para las Telecomunicaciones Financieras Interbancarias Mundiales (SWIFT), vigente en ese momento.

3. FORMACIÓN Y SENSIBILIZACIÓN.

  • En general. GTreasury instituirá un programa de formación y educación adecuado diseñado para garantizar que su personal esté debidamente capacitado en relación con sus responsabilidades con respecto a las obligaciones de confidencialidad, protección de datos y no divulgación, incluidos, entre otros, cualquier requisito especial relacionado con los datos de los clientes.
  • Usuarios de acceso privilegiado. Además de sus obligaciones generales de formación, GTreasury ofrecerá formación específica sobre seguridad a todo el personal que tenga acceso privilegiado (por ejemplo, root, dba, administrador del sistema, administrador de red, acceso a nivel de superusuario, soporte, etc.) a los sistemas que gestionan o almacenan los datos de los clientes.

4. EVALUACIONES DE RIESGOS.

  • Evaluación de riesgos. GTreasury realizará, al menos una vez al año, una evaluación integral de los riesgos dirigida por la administración (ya sea internamente o con recursos independientes contratados) para identificar los datos de los clientes, los activos empresariales (por ejemplo, la infraestructura técnica) y los flujos de trabajo operativos de GTreasury, las amenazas contra esos elementos (tanto internas como externas), la probabilidad de que se produzcan esas amenazas y el impacto en la organización para determinar el nivel adecuado de protección de la información.
  • Mitigación de riesgos. gTreasury utilizará las medidas estándar del sector para gestionar, controlar y mitigar cualquier riesgo identificado en la evaluación de riesgos que pueda provocar el acceso, la copia, el uso, el procesamiento, la divulgación, la alteración, la transferencia, la pérdida o la destrucción no autorizados de los datos del cliente, todo ello en consonancia con la sensibilidad de los datos del cliente, así como con la complejidad y el alcance de las actividades de GTreasury en virtud del Acuerdo.

5. PRUEBAS DE CONTROLES DE SEGURIDAD.

  • gTreasury hará que un auditor independiente externo realice, al menos una vez al año, una auditoría de la seguridad de los sistemas de gTreasury de acuerdo con la Declaración sobre las normas para los compromisos de certificación núm. 18 según los estándares del Instituto Estadounidense de Contadores Públicos Certificados (la «AICPA»), generando un informe SOC 2 de tipo II. Si el Cliente lo solicita, GTreasury proporcionará una copia de dicho informe al Cliente. El informe consistirá en información confidencial de GTreasury y el Cliente asumirá las obligaciones de confidencialidad que el auditor exija a las personas en situación similar.
  • Con respecto a los proveedores de GTreasury que presten servicios de hospedaje, GTreasury proporcionará sin demora al Cliente, a solicitud del Cliente, las auditorías de seguridad realizadas en los sistemas de dicho proveedor que GTreasury pueda obtener en virtud de su acuerdo con dicho proveedor, siempre que el Cliente asuma las obligaciones de confidencialidad que exijan los auditores que produjeron dichos informes.

6. SEGURIDAD ORGANIZACIONAL.

  • Responsabilidad. La Tesorería asignará la responsabilidad de la gestión de la seguridad de la información únicamente al personal cualificado y superior apropiado.
  • Acceso imprescindible. GTreasury restringirá el acceso a los sistemas de información utilizados en relación con los servicios prestados en virtud del Acuerdo o a los datos de los clientes únicamente al personal que sea fiable, tenga suficiente experiencia técnica para el puesto asignado y conozca sus obligaciones y las consecuencias de cualquier violación de seguridad o incumplimiento de los requisitos de confidencialidad.
  • Personal de confidencialidad y tesorería. GTreasury hará que el personal que tenga acceso a la información confidencial del cliente mantenga la confidencialidad de dicha información confidencial de conformidad con las obligaciones de GTreasury en virtud del acuerdo marco.

7. GESTIÓN DE ACTIVOS.

  • Control de datos. gTreasury no copiará, descargará, transmitirá (hacia o desde) ni almacenará los datos del cliente en ningún ordenador de sobremesa, portátil, servidor, portátil u otro dispositivo en ningún lugar, ni lo hará el personal de gTreasury, a menos que esté directamente relacionado con la prestación del servicio en virtud del Acuerdo.
  • Administración de la configuración. gTreasury establecerá una base de configuración para los sistemas de información de la infraestructura de TI de gTreasury utilizando los estándares de seguridad de la información aplicables, las recomendaciones de los fabricantes y las prácticas industriales. gTreasury establecerá la supervisión adecuada para garantizar que la infraestructura de TI de gTreasury esté configurada de acuerdo con la línea de base de configuración establecida durante toda la vida útil de la infraestructura de TI de gTreasury.
  • Gestión del cambio. La implementación de los cambios y la introducción de nuevos sistemas deben controlarse, documentarse y aplicarse mediante el uso de procedimientos de control de cambios formales e integrales, que incluyan la documentación, las especificaciones, las pruebas, el control de calidad, la recuperación y la implementación gestionada.
  • Gestión de vulnerabilidades. El Tesoro implementará una política organizacional formal para un programa de gestión de vulnerabilidades que exija analizar las vulnerabilidades, suscribirse a un servicio de notificación de vulnerabilidades, establecer un método para priorizar la remediación de las vulnerabilidades en función del riesgo (uno de cuyos componentes debe ser un sistema de clasificación estándar del sector), plazos de remediación establecidos en función de la clasificación del riesgo, y el seguimiento y la presentación de informes sobre la eficacia del programa de remediación.

8. RESPONSABILIDAD CON LOS PROVEEDORES.

GTreasury será responsable ante el Cliente por cualquier acto u omisión por parte de un proveedor de GTreasury u otro agente que, de ser cometido u omitido por GTreasury, constituiría un incumplimiento por parte de GTreasury de este Anexo.

9. GEOLOCALIZACIÓN:

Cuando un cronograma de pedidos requiera una ubicación determinada para el alojamiento de los datos del cliente (por ejemplo, una región de Azure o una especificación similar), gTreasury mantendrá los datos del cliente almacenados y procesados por el sistema correspondiente en esa ubicación.

10. SEGURIDAD FÍSICA DE LAS INSTALACIONES.

  • Asegurar las instalaciones físicas. gTreasury mantendrá, o hará que se mantenga, el entorno de alojamiento de los Sistemas en un entorno físicamente seguro que restrinja el acceso únicamente a las personas autorizadas. Un entorno seguro incluye el control del personal de seguridad las 24 horas del día, los 7 días de la semana, o medios equivalentes de supervisión activa de los controles de seguridad en todas las ubicaciones pertinentes (incluidos, entre otros, los edificios, las instalaciones informáticas y las instalaciones de almacenamiento de registros).
  • Ubicaciones de procesamiento físico seguras. GTreasury mantendrá un registro actualizado de todas las ubicaciones en las que almacena o procesa los datos de los clientes en relación con la prestación de los servicios y del propietario de dicha ubicación de datos. GTreasury actualizará dicho registro para reflejar cualquier transferencia o reubicación de partes importantes de los datos del cliente.

11. MANEJO DE MEDIOS.

  • Seguridad física de los medios. GTreasury utilizará las medidas estándar del sector para evitar el acceso, la copia, la alteración o la eliminación no autorizados de cualquier medio que contenga datos del cliente, dondequiera que se encuentre. Los medios extraíbles en los que GTreasury almacena los datos del cliente (incluidas, entre otras, memorias USB, CD y DVD) deben estar cifrados con un AES de 256 bits como mínimo (o equivalente).
  • Destrucción de los medios. gTreasury borrará o destruirá de forma segura los medios extraíbles y cualquier dispositivo móvil (por ejemplo, discos, unidades USB, DVD, cintas de respaldo, impresoras, computadoras portátiles o tabletas, etc.) que contenga datos del cliente cuando ya no se utilicen, haciendo que los datos del cliente en dichos medios físicos sean ininteligibles e incapaces de reconstruirse por cualquier medio técnico antes de cualquier reutilización del medio, si el Cliente lo solicita o si dicho medio o dispositivo móvil ya no está destinado a usarse. Todas las cintas de respaldo que, por cualquier motivo, no se destruyan deben cumplir con el nivel de protección descrito en este apéndice hasta que se destruyan.
  • Destrucción de papel. gTreasury triturará de forma cruzada todos los residuos de papel que contengan datos del cliente y los desechará de forma segura y confidencial para que todos esos residuos de papel sean ilegibles.

12. GESTIÓN DE COMUNICACIONES Y OPERACIONES.

  • Pruebas de penetración. GTreasury contratará, al menos una vez al año, a un tercero independiente (o a una función de prueba independiente de la organización) para realizar una prueba de penetración en la infraestructura de TI de GTreasury. GTreasury proporcionará al Cliente, previa solicitud, un resumen detallado de los resultados de la prueba.
  • Alcance de las pruebas de penetración. El alcance de una prueba de penetración debe incluir el perímetro de la infraestructura de TI de GTreasury y cualquier sistema crítico que pueda afectar a la seguridad de la infraestructura de TI de GTreasury. Esto incluye tanto el perímetro externo (superficies de ataque públicas) como el perímetro interno de la infraestructura de TI de GTreasury (superficies de ataque de LAN a LAN). Las pruebas deben incluir evaluaciones tanto de la capa de aplicación como de la capa de red.
  • Cifrado de datos. GTreasury cifrará los datos del cliente que estén en posesión de GTreasury o estén bajo el control de GTreasury, tanto en reposo (cuando no se estén procesando activamente) como en tránsito. En caso de tránsito, GTreasury habilitará el TLS con una seguridad de cifrado de al menos 256 bits en el punto de demarcación. GTreasury implementará y cumplirá una política formal de cifrado organizacional que abarque los estándares, los algoritmos, las prácticas de administración de claves y los certificados aceptables.
  • Prevención de pérdida de datos. gTreasury implementará controles exhaustivos contra la filtración de datos diseñados para identificar, detectar, monitorear, documentar automáticamente y prevenir o alertar sobre dichos datos de clientes para que no salgan del control de gTreasury sin autorización.
  • Destrucción de datos. Cuando el Acuerdo marco permita o exija a GTreasury destruir los datos del cliente, GTreasury borrará o destruirá dichos datos del cliente para hacerlos irrecuperables.
  • Restricciones de tráfico de red. GTreasury implementará controles técnicos que restrinjan el tráfico de red que afecte a los datos de los clientes al tráfico mínimo requerido para prestar el servicio (por ejemplo, restricciones de puertos, controles de firewall, etc.).
  • Redes inalámbricas. gTreasury se asegurará de que cualquier uso del tráfico de la red Wi-Fi organizacional para la transmisión de datos de los clientes se cifre mediante WPA2 o WPA3, con la opción del algoritmo de cifrado AES para el SSID sin transmisión y la autenticación mutua entre el servidor y los dispositivos finales, o medidas similares o mejores.
  • Código malintencionado. GTreasury implementará controles para detectar la introducción o intrusión de código malintencionado en los sistemas de información que manejen o almacenen los datos de los clientes, e implementará y mantendrá los controles diseñados para evitar el acceso no autorizado, la divulgación o la pérdida de integridad de cualquier dato del cliente.
  • Controles de Internet. gTreasury implementará controles para identificar y bloquear el acceso de los empleados a contenido de Internet y sitios web de alto riesgo e indeseables (como los servicios de almacenamiento de archivos o correo electrónico basados en Internet) mediante la infraestructura de TI de gTreasury.

13. CONTROL DE ACCESO.

  • Acceso autorizado. gTreasury mantendrá una separación lógica, de modo que el acceso a la infraestructura de TI de gTreasury que aloja los datos del cliente o que se utiliza para prestar servicios al cliente identifique de forma exclusiva a cada persona que necesite acceder y conceda acceso únicamente al personal autorizado según el principio de mínimos privilegios.
  • Inventario de acceso de usuarios. gTreasury mantendrá una lista precisa y actualizada de todo el personal de gTreasury que tenga acceso a los datos de los clientes y dispondrá de un proceso para inhabilitarlos de inmediato, en un plazo de 24 horas a partir de la transferencia o cancelación del acceso. Además, GTreasury revisará periódicamente (al menos una vez al año) los derechos de acceso de los usuarios para garantizar que se respete el principio del mínimo privilegio.
  • El acceso ya no es necesario.
    • Con respecto al personal de GTreasury que ya no necesite o ya no esté autorizado a tener acceso a los Datos del cliente, cuando el acceso de los usuarios sea administrado por el Cliente, GTreasury lo notificará al Cliente al menos 24 horas antes del momento en que dicho acceso ya no sea necesario o autorizado.
    • Sin perjuicio de lo anterior, cuando gTreasury gestione el acceso de los usuarios, gTreasury cancelará inmediatamente el acceso a los sistemas e instalaciones del Cliente por parte del personal de gTreasury que sea destituido o que ya no participe activamente en ninguna tarea del cliente o si dicho personal deja de ser empleado o proveedor de
  • Administración de credenciales de autenticación. gTreasury comunicará las credenciales de acceso a los usuarios de una manera razonablemente calculada para evitar que personas no autorizadas a recibirlas las reciban.
  • Registro y monitoreo. gTreasury registrará y supervisará todos los accesos a la infraestructura de TI de gTreasury para detectar adiciones, alteraciones, eliminaciones y copias de los datos de los clientes. GTreasury mantendrá los registros de los intentos de acceso al sistema o aplicables, tanto los exitosos como los fallidos. GTreasury mantendrá los registros de administración durante un mínimo de 60 días y los registros de transacciones financieras durante un mínimo de seis meses.
  • Autenticación multifactorial para acceso remoto. gTreasury utilizará la autenticación multifactorial y un túnel seguro para acceder de forma remota a la infraestructura de TI de gTreasury.
  • Autenticación multifactorial para aplicaciones orientadas a Internet. gTreasury exigirá la autenticación multifactorial para todos los usuarios de las aplicaciones que tengan acceso público a Internet, que permitan realizar transacciones o instrucciones financieras o que permitan mostrar datos personales confidenciales.
  • Acceso administrativo a terminales. Por lo general, GTreasury restringirá el acceso administrativo a las máquinas de los usuarios finales que utilice el personal de GTreasury, incluida la posibilidad de instalar software, exclusivamente al personal y a las cuentas privilegiadas con responsabilidades administrativas técnicas.

14. USO DE ORDENADORES PORTÁTILES Y DISPOSITIVOS MÓVILES.

  • Requisitos de cifrado. GTreasury cifrará los datos de cualquier portátil o dispositivo móvil que contenga datos del cliente mediante un algoritmo de cifrado reconocido en el sector con un cifrado AES de al menos 256 bits (o equivalente).
  • Almacenamiento seguro. gTreasury exigirá que todas sus computadoras portátiles y dispositivos móviles que accedan a los datos de los clientes se almacenen de forma segura siempre que no estén en posesión inmediata del personal de gTreasury. En caso de pérdida o robo de una computadora portátil u otro dispositivo móvil de GTreasury que contenga datos del cliente no cifrados o fácilmente identificables, GTreasury lo notificará de inmediato al Cliente.
  • Tiempo de espera por inactividad. gTreasury utilizará controles de acceso y contraseñas, así como tiempos de inactividad no superiores a 30 minutos en todas las computadoras portátiles, computadoras de escritorio y dispositivos móviles que utilice el personal de gTreasury para acceder a los datos de los clientes.
  • Computadoras portátiles y dispositivos móviles. — gTreasury implementará controles técnicos que prohíban el acceso a los datos del cliente en computadoras portátiles o dispositivos móviles cuando no se puedan cumplir los requisitos anteriores.

15. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN.

  • Análisis de código. Con respecto al software que GTreasury desarrolle para su uso como parte de un sistema, GTreasury realizará pruebas de seguridad de aplicaciones estáticas (SAST) con una herramienta o un proceso reconocidos comercialmente diseñados para identificar y corregir las vulnerabilidades de seguridad técnica. Además, GTreasury examinará su código para detectar defectos de diseño (como el código de depuración residual) que pudieran utilizarse para eludir los controles de seguridad implementados o para incluir código que pudiera utilizarse con fines malintencionados.
  • Seguridad del software de código abierto. GTreasury implementará, según corresponda, los controles asociados con el uso del software de código abierto durante el ciclo de vida del desarrollo para abordar y mitigar los riesgos de dicho software. Estos controles incluirán, como mínimo, disposiciones para los inventarios y auditorías del software de código abierto, el análisis de los componentes y la composición, la seguridad y las vulnerabilidades, la concesión de licencias y el cumplimiento, y la calidad del software.
  • Parches de software. gTreasury actualizará y parcheará periódicamente todo el software informático de la infraestructura informática de gTreasury que gestione o almacene los datos de los clientes, y aplicará parches para las vulnerabilidades clasificadas como «críticas» o «altas» en un plazo de 30 días a partir de la disponibilidad del parche, a menos que se hayan aplicado otros controles sugeridos o recomendados por el editor del software para mitigar la vulnerabilidad.

16. GESTIÓN DE INCIDENTES, EVENTOS Y COMUNICACIONES.

  • Gestión de incidentes/notificación de incumplimiento. gTreasury elaborará e implementará un plan de respuesta ante incidentes aprobado por la administración que especifique las medidas que deben tomarse cuando gTreasury o uno de sus proveedores sospechen o detecten que una persona ha obtenido acceso no autorizado a los datos del cliente o a los sistemas o aplicaciones que contienen cualquier dato del cliente (el «plan de respuesta»). El plan de respuesta incluirá las siguientes disposiciones.
    • Procedimientos de escalamiento. Notificación a los altos directivos y presentación de informes apropiados a los organismos reguladores y encargados de hacer cumplir la ley.
    • Notificación de incidentes. GTreasury proporcionará sin demora al Cliente los detalles que tenga u obtenga sobre las circunstancias generales y el alcance de dicho acceso no autorizado, incluidos, entre otros, las categorías de datos personales del cliente y el número o la identidad de los interesados afectados, así como cualquier medida adoptada para proteger los datos del cliente y preservar la información para cualquier investigación necesaria.
    • Investigación y prevención. GTreasury hará todos los esfuerzos razonables para ayudar al Cliente a investigar o evitar que se repita dicho acceso y: (A) cooperará con el Cliente en sus esfuerzos por cumplir con la notificación legal u otras obligaciones legales aplicables al Cliente o a sus clientes que surjan del acceso o uso no autorizados y solicitará medidas cautelares u otras medidas equitativas y (B) tomará sin demora todas las medidas razonables necesarias para evitar que se repita dicho acceso no autorizado y mitigar la pérdida por dicho acceso no autorizado. Además, en el caso de que GTreasury denuncie un incidente de seguridad al Cliente y el incidente de seguridad dé lugar a que el Cliente abra un caso de soporte técnico en el nivel «crítico», GTreasury tomará las siguientes medidas, a menos que las partes acuerden lo contrario:
      • GTreasury asignará a uno o más ingenieros de soporte en la nube, administradores de cuentas técnicas o personal similar (el «Respondedor de incidentes») para que coordinen con el Cliente, supervisen los detalles del incidente de seguridad, investiguen y diagnostiquen las inquietudes del Cliente y trabajen con los expertos en la materia del servicio de GTreasury en relación con el incidente de seguridad;
      • GTreasury hará todos los esfuerzos comercialmente razonables para que el Respondedor de Incidentes responda (o reconozca) el caso de soporte técnico del Cliente según lo dispuesto en el SLA; y
      • Si es necesario y apropiado, el respondedor de incidentes organizará la interacción directa entre los expertos en la materia del servicio de tesorería y del cliente en relación con el incidente de seguridad.
    • Capacitación del personal y confidencialidad. El Departamento del Tesoro se asegurará de que todo el personal comprenda perfectamente el proceso y las condiciones en las que está obligado a invocar la respuesta adecuada a los incidentes. GTreasury mantendrá la confidencialidad según lo exija el acuerdo marco y en la medida en que lo exija en relación con la posesión, el uso o el conocimiento no autorizados, reales o presuntos, de los datos del cliente o cualquier otro incumplimiento de las políticas o procedimientos de seguridad de GTreasury.
    • Revisión/actualización anual. El Tesoro revisará el plan de respuesta al menos una vez al año para adaptarlo a cualquier cambio importante en los sistemas, las aplicaciones o los procesos operativos que haya sido aprobado por la gerencia. GTreasury realizará, al menos una vez al año, un ejercicio de validación para comprobar si las suposiciones del plan de respuesta son precisas y confirmar la capacidad de GTreasury para ejecutar el plan tal como está diseñado.

Clientes de DORA. En la medida en que el cliente sea una «entidad financiera», está sujeta a la Ley de Resiliencia Operacional Digital (Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014, (UE) n.º 909/2014 y (UE) 2016/1011. Véase también https://eur-lex.europa.eu/eli/reg/2022/2554/oj) («DORA») y está obligado a imponer al Tesoro las obligaciones establecidas en el artículo 30 de DORA, GTreasury brindará asistencia al Cliente cuando se produzca un «incidente de TIC» relacionado con los sistemas proporcionados al Cliente. Cuando dicho incidente relacionado con las TIC tenga su origen inmediato en el incumplimiento por parte de GTreasury de sus obligaciones en virtud del Acuerdo, GTreasury prestará dichos servicios sin coste adicional, hasta el límite de responsabilidad establecido en el Acuerdo. Cuando dicho incidente de TIC no sea causado directamente por un incumplimiento por parte de GTreasury de sus obligaciones en virtud del Acuerdo, GTreasury prestará dichos servicios a la tarifa de servicios profesionales indicada en el documento de pedido o, si no se indica dicha tarifa en el documento de pedido, a las tarifas de GTreasury vigentes en ese momento (pero, en cualquier caso, razonables desde el punto de vista comercial).

Ver Tesorería
en acción

Conéctese hoy mismo con expertos de apoyo, soluciones integrales y posibilidades sin explotar.

Solicita una demostración
Soluciones
TMS adaptable
Efectivo
Redes
Pagos
Conectividad
Gestión de riesgos
© Derechos de autor 2025
Términos de servicioPolítica de privacidadSeguridad y cumplimiento