Directrices para la clasificación de datos
Propósito
El objetivo de la creación de estas directrices es establecer un marco para la clasificación de los datos en función del nivel de sensibilidad, su valor y su criticidad para Appy Pie, tal y como exige la Política de Seguridad de la Información de Appy Pie. Este proceso de clasificación de los datos ayudará a determinar posteriormente los controles de seguridad básicos para la seguridad o protección de los datos.
Se aplica a
La Política es aplicable al personal y se extiende a los agentes externos de Appy Pie, así como a cualquier otro afiliado de Appy Pie que tenga acceso a los datos de Appy Pie. La política se aplica particularmente a los recursos responsables de la clasificación y protección de los datos de Appy Pie, como se especifica en las funciones y responsabilidades de seguridad de la información
Definiciones
Datos confidenciales es una frase genérica que significa todos y cada uno de los datos que se clasifican como restringidos, según el esquema de clasificación de datos establecido en esta política. A menudo también se denomina datos sensibles.
Un administrador de datos es un empleado de alto nivel designado en Appy Pie que supervisa el ciclo de vida de uno o varios conjuntos de datos de Appy Pie.
Los datos de Appy Pie incluyen todos los datos que son propiedad de Appy Pie o que tienen licencia.
La información no pública es cualquier información clasificada como información privada o restringida según el esquema de clasificación de datos establecido en la política.
Datos sensibles es un término genérico que significa todos y cada uno de los datos que se clasifican como restringidos, según el esquema de clasificación de datos establecido en esta política. A menudo se denomina también datos confidenciales.
Clasificación de los datos
La clasificación de los datos, en el contexto de la seguridad de la información o de los datos, es la clasificación de los datos en función de su nivel de sensibilidad y del impacto que puede tener en Appy Pie si se divulgan, modifican o destruyen sin sanción o autorización. Este proceso de clasificación de datos ayuda a determinar los controles de seguridad básicos adecuados para la protección de datos. Todos los datos de Appy Pie deben clasificarse en uno de los tres niveles de sensibilidad, o clasificaciones:
| A. | Datos restringidos |
| Sólo deben clasificarse como restringidos aquellos datos que, si se divulgan, alteran o destruyen sin autorización, pueden causar un riesgo considerable para Appy Pie, sus clientes o sus filiales. Por ejemplo, datos protegidos por la normativa de privacidad estatal o federal o datos protegidos por acuerdos de confidencialidad. Los datos restringidos deben estar protegidos por el más alto nivel de controles de seguridad. | |
| B. | Datos privados |
| Sólo deben clasificarse como privados aquellos datos que, de ser divulgados, alterados o destruidos sin autorización, pueden causar un riesgo moderado para Appy Pie, sus clientes o sus afiliados. Cualquier dato de Appy Pie que no esté explícitamente clasificado como dato restringido o público debería, por defecto, ser considerado como dato privado. Los datos privados deben estar protegidos por un nivel razonable de controles de seguridad. | |
| C. | Datos públicos |
| Sólo deben clasificarse como públicos aquellos datos que, si se divulgan, alteran o destruyen sin autorización, pueden suponer un riesgo escaso o nulo para Appy Pie, sus clientes y sus filiales. Por ejemplo, comunicados de prensa, recursos educativos y estudios de casos. Aunque no es necesario aplicar controles para proteger la confidencialidad de los datos públicos, sí es necesario aplicar cierto nivel de control para evitar la modificación o destrucción no autorizada de los datos públicos. |
La clasificación de los datos debe ser llevada a cabo por un administrador de datos adecuado. Los administradores de datos son empleados de alto nivel en Appy Pie que son responsables de supervisar los ciclos de vida completos de uno o varios conjuntos de datos de Appy Pie.
Cálculo de la clasificación
El propósito de la seguridad de la información, como se menciona en nuestra Política de Seguridad de la Información, es proteger la confidencialidad, integridad y disponibilidad de los Datos de Appy Pie. La clasificación de los datos indica el nivel de impacto en Appy Pie si hay algún compromiso de confidencialidad, integridad o disponibilidad.
Lamentablemente, no existe un sistema cuantitativo perfecto para calcular la clasificación de un elemento de datos concreto. En algunas situaciones, la clasificación correcta puede ser más evidente, como cuando las leyes federales exigen que Appy Pie proteja determinados tipos de datos (por ejemplo, información de identificación personal). En los casos en los que la clasificación adecuada no es evidente de forma innata, considere cada objetivo de seguridad como se describe en la siguiente tabla. La siguiente tabla está tomada de la publicación 199 de los Estándares Federales de Procesamiento de la Información (FIPS) publicada por el Instituto Nacional de Estándares y Tecnología, que examina la clasificación de la información y los sistemas de información.
| IMPACTO POTENCIAL | |||
| Objetivo de seguridad | LOW | MODERADO | ALTO |
| Confidencialidad Preservar las restricciones autorizadas para el acceso y la divulgación de la información, incluidos los medios para proteger la privacidad personal y la información de propiedad. | La divulgación no autorizada de información podría tener un efecto adverso limitado en las operaciones de la organización, los activos de la organización o las personas. | La divulgación no autorizada de información podría tener un efecto adverso grave en las operaciones de la organización, los activos de la organización o las personas. | La divulgación no autorizada de información podría tener un efecto adverso grave o catastrófico en las operaciones de la organización, los activos de la organización o las personas. |
| Integridad Proteger contra la modificación o destrucción indebida de la información e incluye garantizar el no repudio y la autenticidad de la información. | La modificación o destrucción no autorizada de la información podría tener un efecto adverso limitado en las operaciones de la organización, los activos de la organización o los individuos. | La modificación o destrucción no autorizada de la información podría tener un efecto adverso grave en las operaciones de la organización, los activos de la organización o las personas. | La modificación o destrucción no autorizada de la información podría tener un efecto adverso grave o catastrófico en las operaciones de la organización, los activos de la organización o los individuos. |
| Disponibilidad Garantizar el acceso oportuno y fiable a la información y su uso. | La interrupción del acceso o del uso de la información o de un sistema de información podría tener un efecto limitado o diverso en las operaciones de la organización, los activos de la organización o los individuos. | La interrupción del acceso o del uso de la información o de un sistema de información podría tener un efecto adverso grave en las operaciones de la organización, los activos de la organización o las personas. | La interrupción del acceso o del uso de la información o de un sistema de información podría tener un efecto adverso grave o catastrófico en las operaciones de la organización, los activos de la organización o las personas. |
Cuando el impacto potencial sobre Appy Pie va de Bajo a Alto, la clasificación de los datos debe ser progresivamente restrictiva pasando de Público a Restringido. En caso de que una clasificación adecuada siga siendo imprecisa después de considerar debidamente los puntos mencionados anteriormente, póngase en contacto con el responsable de seguridad de la información para obtener ayuda.
| Tipo de información | Clasificación de los datos | Impacto de la confidencialidad | Impacto de la integridad | Impacto de la disponibilidad |
|---|---|---|---|---|
| Datos personales (cliente) | Confidencial | Alta | Alta | Alta |
| Datos personales (empleado) | Confidencial | Bajo | Medio | Medio |
| Datos financieros (clientes) | Confidencial | Alta | Alta | Alta |
| Datos financieros (empleados) | Confidencial | Alta | Alta | Alta |
| Datos de los proveedores | Público | Bajo | Bajo | Bajo |
