POLÍTICA DE USO ACEPTABLE
La Política de Uso Aceptable se ha formulado para fomentar el uso responsable de la información, redes, sistemas, servicios, sitios web y productos de Colt.
1. Propósito
La Política de Uso Aceptable ha sido formulada para fomentar el uso responsable de la información, redes, sistemas, servicios, sitios web y productos de Colt (colectivamente "Sistemas de Información de Colt") por parte de nuestros proveedores, suministradores y otros terceros (colectivamente "Usuarios"), y para permitir que Colt proporcione servicios seguros, fiables y productivos.
Esta Política de Uso Aceptable establece:
Los estándares mínimos de conducta exigidos a los usuarios cuando utilizan los Sistemas de Información de Colt.
Acciones prohibidas por el usuario.
Acciones a tomar por Colt en caso de que el usuario no cumpla con esos estándares mínimos.
Protección tanto para el usuario como para Colt frente a cualquier reclamación de terceros de que su uso de los servicios de Colt es inapropiado o dañino para dichos terceros.
Tenga en cuenta que las acciones prohibidas y los estándares mínimos establecidos en la política no constituyen una lista completa.
Al utilizar los Servicios usted acepta quedar sujeto a nuestra política.
2. Alcance y elegibilidad
La Política de Uso Aceptable – Documento externo proporciona la guía para los usuarios externos, incluidos los proveedores, suministradores y otros terceros de Colt, sobre los niveles aceptables de uso de los sistemas de información de Colt y garantizando la protección de esos activos.
Las políticas de seguridad definidas en este documento se han establecido para cubrir la información, datos, software, hardware y red utilizados por Colt en todas sus ubicaciones y sitios. Todo el personal directamente empleado y aquellos que trabajan bajo cualquier forma de contrato para Colt.
La declaración de la política, detallada a continuación, debe incluirse en todos los sitios web corporativos externos de Colt. También debe hacerse referencia a ella en todos los contratos de clientes nuevos o actualizados.
Cualquier persona que conozca o sospeche una violación de esta política puede informarlo a su gerente, o al equipo de seguridad de Colt por correo electrónico a [email protected].
3. Declaración de la política
Los Sistemas de Información de Colt deberán utilizarse de manera coherente con sus fines previstos y sólo podrán emplearse para fines lícitos. El usuario no deberá usar los Sistemas de Información de Colt para transmitir, distribuir o almacenar material:
En violación de cualquier ley o normativa aplicable;
De manera que infrinja los derechos de autor, marca registrada, secreto comercial u otros derechos de propiedad intelectual de terceros o los derechos de privacidad, publicidad u otros derechos personales de terceros;
Que sea fraudulento, obsceno, difamatorio, calumnioso, amenazante, abusivo u odioso o que contenga un virus, gusano, troyano, ransomware u otro componente dañino;
Que contenga ofertas fraudulentas de bienes o servicios o cualquier material promocional que contenga declaraciones, reclamaciones o representaciones falsas, engañosas o equívocas; o
De manera que pueda exponer a Colt o a cualquiera de sus empleados a responsabilidad penal o civil.
4. Uso aceptable
1. Uso lícito de los recursos
1. Colt exige a sus USUARIOS que cumplan las instrucciones de Colt y todos los requisitos legales y regulatorios relevantes para su sistema, red y cualquier servicio que puedan prestar en los países en los que operen.
2. Cuando un cliente no cumpla dichos requisitos legales y regulatorios, el cliente acepta indemnizar a Colt por todas las pérdidas, gastos, costes (incluidos los costes legales) o daños que Colt pueda sufrir o incurrir en relación con ello.
3. Es política de Colt ayudar a la policía y a los organismos encargados de hacer cumplir la ley en la medida de lo posible cuando la ley aplicable lo requiera.
4. Colt se reserva el derecho de divulgar información a dichos organismos o señalar cualquier preocupación sobre actividades potencialmente ilegales llevadas a cabo a través de las redes o sistemas de Colt.
2. Uso de la mensajería electrónica
1. Los usuarios deberán asegurarse de que sus recursos no se utilicen para transmitir correo masivo no solicitado de ningún tipo ni permitir el uso de correo masivo no solicitado para publicitar cualquier sitio ubicado en la red de Colt.
2. Cualquier servidor de correo conectado a la red de Colt deberá configurarse para protegerse contra relays abiertos, que podrían utilizarse para la transmisión no autorizada de correo masivo; si esto ocurriera, la transmisión se consideraría originada por el usuario.
3. Los usuarios deberán usar la red o los sistemas de Colt para transmitir correos electrónicos con información cuyas cabeceras no estén modificadas, sean falsas, inexactas o deliberadamente erróneas.
4. La grabación de reuniones sólo estará autorizada en las siguientes circunstancias cuando el contenido de la reunión necesite ser consultado en una fecha posterior:
Si existe una necesidad comercial para hacerlo
Para explicar procedimientos/procesos.
Con fines de formación/educativos.
Al grabar una sesión por cualquiera de los fines anteriores, asegúrese de que los participantes den su consentimiento antes de iniciar la sesión.
3. Uso del material
1. Los usuarios deberán aceptar que Colt no puede controlar y no es responsable del contenido en Internet. Cualquier inquietud respecto al contenido de sistemas o redes que no estén ubicados en la red de Colt debe dirigirse a los propietarios pertinentes de dichos sistemas o redes y no a Colt.
2. Los usuarios deberán ajustarse a los protocolos y estándares de Internet.
3. Los usuarios no deberán utilizar las redes o sistemas de Colt para distribuir material protegido por derechos de autor a menos que estén autorizados por el propietario de los derechos de autor. Los usuarios deben adherirse al proceso de autorización de Colt para obtener los derechos y privilegios de acceso correctos a la información y a los sistemas de información de Colt.
4. El usuario deberá usar las redes o sistemas de Colt para fines propios y lícitos o para recibir o enviar mensajes que, a juicio razonable, no sean ofensivos, decentes, obscenos, maliciosos ni difamatorios, ni que infrinjan ningún derecho de propiedad intelectual (incluyendo, sin limitación, marcas, derechos de autor o derechos relacionados con nombres de dominio), ni permitir que otros lo hagan.
5. Colt no asumirá responsabilidad por ningún material creado o accesible en o a través de los Sistemas de Información de Colt que no sea publicado por o a petición de Colt. Colt no supervisará ni ejercerá control editorial sobre dicho material, pero se reserva el derecho de hacerlo en la medida permitida por la ley aplicable. Colt no es responsable del contenido de ningún sitio web distinto de los sitios web de Colt, incluidos los contenidos de los sitios vinculados a dichos sitios de Colt. Los enlaces se proporcionan sólo como herramientas de navegación por Internet.
4. Seguridad del personal
1. Los usuarios deberán realizar verificaciones de antecedentes para su personal a los que se les proporcione acceso a los Sistemas de Información de Colt. Los contenidos de concienciación sobre seguridad deberán revisarse y actualizarse al menos anualmente.
2. El personal que tenga acceso físico y lógico a los Sistemas de Información de Colt deberá firmar un acuerdo de confidencialidad.
3. El personal deberá recibir formación en concienciación sobre seguridad antes de acceder a los Sistemas de Información de Colt.
5. Seguridad del sistema
1. Los usuarios sólo deberán acceder a los datos que estén destinados a su uso y no deberán iniciar sesión en un servidor o cuenta a la que no estén autorizados a acceder.
2. El usuario no deberá intentar sondear, escanear o probar la vulnerabilidad de los sistemas de Colt sin la debida autorización.
3. Los usuarios no deberán intentar interferir, interrumpir o deshabilitar servicios a cualquier usuario, host o red, incluyendo, sin limitación, mediante sobrecarga, "flooding", "mail bombing" o "crashing".
4. Los usuarios no deberán falsificar ningún encabezado de paquete TCP/IP ni ninguna parte de la información de encabezado en ningún correo electrónico o publicación en grupos de noticias.
5. Los usuarios no deberán tomar ninguna acción para obtener servicios a los que dicho usuario no tenga derecho.
6. Las violaciones de la seguridad del sistema o la red de Colt por parte del usuario darán lugar a responsabilidad civil o penal. Colt investigará los incidentes que puedan implicar tales violaciones y podrá involucrar y cooperar con las autoridades encargadas de hacer cumplir la ley en el enjuiciamiento de los usuarios involucrados en dichas violaciones.
7. Los usuarios deberán tomar todas las medidas organizativas y técnicas razonables para prevenir la divulgación no autorizada de cualquier nombre de usuario, contraseña o certificados de seguridad.
8. Los usuarios deberán implementar y mantener controles que detecten, prevengan, eliminen y reparen cualquier ataque de malware que pueda afectar la información y los activos de información de Colt.
6. Seguridad de la red
1. El usuario no deberá utilizar los sistemas de información de Colt para obtener o intentar obtener acceso no autorizado a ningún sistema.
2. Las acciones consideradas inaceptables incluyen, pero no se limitan a:
sondeo de red
mapeo de red
3. Está prohibido el escaneo de vulnerabilidades o la explotación de vulnerabilidades o configuraciones incorrectas en sistemas o redes, sin autorización previa con la intención de obtener acceso no autorizado o para cualquier otro propósito.
4. Cualquier paquete transmitido a la red de Colt o a través de ella por el usuario deberá contener la dirección de origen correcta del sistema emisor. Cualquier paquete que no cumpla esto puede ser impedido de atravesar la red de Colt sin aviso adicional.
5. Las redes de los usuarios deberán configurarse para no aceptar tráfico de broadcast externo.
6. Los usuarios no deberán utilizar ningún protocolo o servicio con la intención de interrumpir o impedir el uso legítimo de cualquier servicio por parte de otros.
7. Los usuarios no deberán usar las redes o sistemas de Colt para transmitir virus.
8. Los usuarios no deberán usar las redes o sistemas de Colt para instalar, directa o indirectamente, ningún software no autorizado u otra modificación del sistema en ningún sistema sin la autorización previa del propietario del sistema.
9. Los usuarios no deberán interceptar ni intentar interceptar o modificar ningún tráfico que atraviese la red de Colt.
10. Los usuarios no deberán recopilar información personal de los usuarios de Colt sin una necesidad comercial y el consentimiento de dichos usuarios.
11. Colt no garantiza la seguridad de los datos que viajan por sus redes. Si bien Colt toma todas las medidas prácticas para proteger dichos datos, sigue siendo responsabilidad de las partes que se comunican garantizar la seguridad e integridad de sus datos.
12. Colt no asume responsabilidad por la seguridad de los sistemas de los usuarios conectados a la red de Colt. Dicha seguridad sigue siendo responsabilidad del usuario, a menos que exista un contrato para prestar dichos servicios.
7. Seguridad de la información / datos
1. Los usuarios serán responsables de proteger la información de Colt gestionada por ellos.
2. Los usuarios deberán garantizar que los datos personales de Colt estén protegidos contra el acceso ilícito o no autorizado, pérdida accidental o destrucción, daño, uso o divulgación ilícitos o no autorizados.
3. Los usuarios deberán cumplir todos los requisitos regulatorios y de cumplimiento de las aplicaciones relacionados con la protección de datos personales de Colt.
4. Los usuarios deberán seguir una política de retención para los datos personales de Colt que esté alineada con los requisitos legales y regulatorios.
5. El usuario deberá acordar contractualmente proteger la información al mismo nivel requerido por Colt.
6. Los usuarios deberán familiarizarse con las siguientes Clasificaciones de Información de Colt
Altamente Confidencial: Información destinada únicamente a usuarios internos restringidos de Colt cuyo acceso, uso y gestión deben basarse en requisitos comerciales significativos y, por lo tanto, atraerían un estricto mecanismo de control de acceso.
Confidencial: Información destinada a un amplio grupo de usuarios internos restringidos de Colt cuyo acceso, uso y gestión deben basarse en requisitos comerciales significativos y, por lo tanto, atraerían un estricto mecanismo de control de acceso.
Interna: Información que requiere una baja restricción de acceso y es gestionada por usuarios internos y externos.
Pública: Información que es de acceso público y no requiere ninguna restricción para su acceso y gestión.
7. La información clasificada como Altamente Confidencial y Confidencial deberá compartirse o comunicarse con el usuario cuando exista una clara necesidad comercial y con la aprobación necesaria del propietario de la información.
8. Los usuarios deberán firmar un NDA con Colt para el acceso y la gestión de la información Altamente Confidencial y Confidencial.
9. Los usuarios que tengan acceso a información Altamente Confidencial y Confidencial deberán asegurarse de que la información esté cifrada durante el almacenamiento y en tránsito.
10. Los usuarios serán responsables de tomar todas las medidas necesarias para evitar que partes no autorizadas accedan a la información personal y clasificada de Colt de cualquier manera o para cualquier propósito no autorizado por Colt.
8. Control de acceso
1. Los usuarios deberán asegurar que la información de Colt esté separada ya sea usando un servidor físico individual o, alternativamente, mediante control de acceso lógico de otra información de clientes.
2. Los usuarios deberán garantizar que se siga un proceso de autenticación seguro con IDs únicos y una clave de autenticación secreta para los usuarios que requieran acceso a los sistemas que contienen información de Colt.
3. Los usuarios deberán asegurarse de que haya un número limitado de usuarios privilegiados con acceso a los sistemas que contienen información de Colt.
4. Los usuarios deberán identificar y exigir a los propietarios apropiados que revisen y aprueben el acceso a los sistemas utilizados para acceder, procesar y gestionar la información de Colt al menos trimestralmente para eliminar accesos no autorizados.
5. Los usuarios deberán aplicar la regla del menor privilegio a los usuarios que requieran acceso a los sistemas que gestionan la información de Colt.
6. Los usuarios deberán asegurar que las medidas técnicas y de proceso de seguridad requeridas estén en su lugar para proteger la información personal de Colt de ser copiada, movida o almacenada en discos duros locales.
7. A los usuarios se les proporcionará acceso a los Sistemas de Información de Colt en función de los requisitos comerciales.
8. Los usuarios deberán asegurarse de que se sigan los requisitos de control de acceso de Colt al acceder a los Sistemas de Información de Colt.
9. Los usuarios que tengan acceso a los Sistemas de Información de Colt deberán garantizar que se cumplan los requisitos de contraseña definidos por Colt para sus respectivas cuentas.
10. Los usuarios que proporcionen Software como Servicio deberán asegurarse de que el software cumpla con los requisitos de seguridad definidos por Colt, incluidos los requisitos de autenticación.
9. Gestión de vulnerabilidades y parches
1. El usuario deberá tener un proceso bien definido de gestión de vulnerabilidades y parches.
2. El usuario deberá tomar las acciones apropiadas (p. ej., escaneos) en los sistemas que gestionan la información de Colt para identificar posibles vulnerabilidades de seguridad.
3. El usuario deberá monitorizar a todos los proveedores aplicables en busca de lanzamientos de parches.
4. El usuario deberá asegurar que todos los parches aplicables se desplieguen dentro del plazo estándar específico de acuerdo con la calificación de criticidad de la vulnerabilidad y la severidad del negocio de Colt de la aplicación, como se menciona a continuación:
Parches críticos: calificación CVSS 9.0-10.0
Parches importantes: calificación CVSS 7.0-8.9
Otros parches: calificación CVSS inferior a 7.0
Tipo de activo
Crítico
Importante
Otros
Expuesto a Internet
1 semana
2 semanas
1 mes
Aplicaciones internas críticas para la misión de Colt
1 mes
45 días
90 días
Negocios de Colt que soportan aplicaciones internas
1 mes
90 días
180 días
5. El usuario deberá probar los parches del proveedor en un entorno no productivo para asegurar que no haya resultados no deseados.
10. Monitorización segura
1. Los usuarios deberán asegurarse de que se mantengan registros (logs) del acceso y la gestión de la información de Colt.
2. Los usuarios deberán disponer de un mecanismo para monitorizar los registros y detectar cualquier evento malicioso que afecte a los Sistemas de Información de Colt.
3. Los usuarios deberán asegurar que todos los registros estén protegidos frente a acceso no autorizado y se conserven conforme a los requisitos legales y regulatorios.
4. Los usuarios deberán contar con un proceso definido de gestión de incidentes de seguridad.
5. Los usuarios deberán informar inmediatamente a Colt cuando tengan conocimiento de:
Cualquier violación de seguridad que haya ocurrido en relación con el servicio;
Cualquier fraude que haya ocurrido en relación con el usuario, el equipo de Colt o el servicio; o
Cualquiera de las contraseñas emitidas por Colt al usuario que haya pasado a conocimiento de algún usuario no autorizado.
6. Los usuarios deberán asegurar que cualquier violación de seguridad respecto a la información personal de Colt almacenada y gestionada en su extremo sea reportada a la autoridad correspondiente según los requisitos regulatorios.
11. Gestión de riesgos y continuidad del servicio
1. El usuario deberá tener un proceso definido de gestión de riesgos para evaluar y mitigar los riesgos de los servicios prestados a Colt.
2. El usuario deberá asegurar la resiliencia, incluidas las medidas de copia de seguridad y recuperación, planes de contingencia y de recuperación ante desastres para ofrecer servicios en un nivel que cumpla con el SLA acordado según el acuerdo contractual.
3. El usuario deberá compartir el informe SLA y la información con Colt mensualmente.
4. El usuario deberá asegurar que se sigan las mejores prácticas de seguridad para todos los proyectos y actividades que se lleven a cabo como parte del contrato con Colt.
5. El usuario deberá asegurar que dispone de un mecanismo adecuado para monitorizar cualquier incidente de seguridad que afecte a los Sistemas de Información de Colt.
6. El usuario tendrá el deber de informar a Colt de inmediato sobre cualquier incidente de seguridad del que tenga conocimiento y que pueda afectar a los Sistemas de Información de Colt.
7. El usuario deberá asegurar que cualquier violación de seguridad respecto a la información personal de Colt almacenada y gestionada en su extremo sea reportada a la autoridad correspondiente según los requisitos regulatorios.
12. Eliminación, destrucción y retención de la información
1. Al finalizar el contrato, el usuario deberá destruir físicamente o eliminar de forma segura toda la información de Colt hasta el punto de que no pueda ser leída, descifrada o reconstruida, salvo que esté específicamente autorizado por el acuerdo contractual.
2. Toda la información de Colt en los sistemas del usuario, medios de almacenamiento y documentos en papel, incluidas las copias guardadas electrónicamente en fotocopiadoras, impresoras y otros equipos técnicos, deberá ser destruida.
3. El usuario deberá certificar por escrito a Colt que toda la información ha sido destruida y eliminada de forma segura.
13. Eliminación, destrucción y retención de la información
1. El usuario puede tener acceso a través de los Sistemas de Información de Colt a motores de búsqueda, servicios web de suscripción, áreas de chat, tableros de anuncios, páginas web, Usenet u otros servicios que promulguen reglas, directrices o acuerdos para gobernar su uso.
2. El usuario deberá ajustarse a dichas reglas, directrices y acuerdos.
3. El usuario que publique mensajes en grupos de noticias de Usenet será responsable de familiarizarse con cualquier estatuto escrito o FAQ que regule el uso de dichos grupos y de cumplirlo.
4. Independientemente de dichas políticas,
Las facilidades de Usenet deberán usarse únicamente de acuerdo con las reglas del grupo de Usenet relevantes.
Los binarios sólo deberán publicarse en grupos binarios de Usenet.
No deberán publicarse mensajes comerciales o publicitarios en múltiples grupos de noticias.
14. Uso de las facilidades de noticias de Usenet
1. El usuario puede tener acceso a través de los Sistemas de Información de Colt a motores de búsqueda, servicios web de suscripción, áreas de chat, tableros de anuncios, páginas web, Usenet u otros servicios que promulguen reglas, directrices o acuerdos para gobernar su uso.
2. El usuario deberá ajustarse a dichas reglas, directrices y acuerdos.
3. El usuario que publique mensajes en grupos de noticias de Usenet será responsable de familiarizarse con cualquier estatuto escrito o FAQ que regule el uso de dichos grupos y de cumplirlo.
4. Independientemente de dichas políticas,
Las facilidades de Usenet deberán usarse únicamente de acuerdo con las reglas del grupo de Usenet relevantes.
Los binarios sólo deberán publicarse en grupos binarios de Usenet.
No deberán publicarse mensajes comerciales o publicitarios en múltiples grupos de noticias
15. Derecho a auditar
1. Colt se reserva el derecho de “auditar” al usuario y a sus subcontratistas en caso de que no proporcionen garantías sobre las prácticas de seguridad seguidas.
2. Colt proporcionará un aviso por escrito al usuario antes de realizar la auditoría.
3. La auditoría puede incluir la revisión de las políticas, procesos y procedimientos del usuario, evaluación in situ de los controles de seguridad físicos, red, sistemas, privacidad de datos y evaluación de vulnerabilidades (en caso de Software como Servicio).
5. Requisito de cumplimiento de la política
Esta norma entrará en vigor tras su publicación. Se revisará al menos una vez cada dos años para garantizar su relevancia. El cumplimiento se evaluará periódicamente y se podrán solicitar informaciones a los equipos operativos pertinentes. Si el cumplimiento no es factible, deberá solicitarse una excepción a través del proceso de Excepción de la Política de Seguridad.
6. Historial de versiones y control
Número de versión
Fecha de publicación
Autor
Aprobador
Descripción
2.0
28.09.2020
Seguridad y Resiliencia
Venkatesh Ravindran, VP de Seguridad y Resiliencia
Actualizó el formato e incluyó dominios de seguridad adicionales
3.0
28.06.2022
Seguridad y Resiliencia
Venkatesh Ravindran, VP de Seguridad y Resiliencia
Actualizó el documento según la nueva plantilla de la política
3.1
24.07.2025
Seguridad y Resiliencia
VP, Seguridad Empresarial y Resiliencia
Revisión bienal: se eliminó la referencia a las grabaciones de reuniones
Última actualización
¿Te fue útil?