Políticas

Premier Continuum adopta las siguientes políticas y condiciones de uso

  1. Director de privacidad
  2. Política de seguridad de la tecnología de la información
  3. Política de privacidad
  4. Términos de uso de ParaSolution
  5. Política ambiental, social y de gobierno (ESG)
  6. Diversidad, equidad e inclusión

Premier Continuum se reserva el derecho de modificarlos de vez en cuando para cumplir con cualquier nueva normativa o cambio en las prácticas comerciales.

Director de privacidad

Según la Ley 25, que tiene como objetivo proteger los datos personales en el sector privado de Quebec, la persona designada responsable de la protección de la información personal es Philippe Tassé-Gagné, M.Env, MBCI, CBCP, vicepresidente de servicios de consultoría y desarrollo de talento de Premier Continuum.

Contacto:
info@premiercontinuum.com

Política de seguridad de la tecnología de la información

Preámbulo

Introducción

Premier Continuum reconoce que la información es un activo esencial que debe protegerse contra la modificación, destrucción o divulgación no autorizadas, ya sea accidental o voluntaria. La política tiene como objetivo minimizar los riesgos para este activo. De hecho, protegerá a Premier Continuum y a sus empleados.

La administración de Premier Continuum tiene la responsabilidad de proteger la información y los sistemas de TI de la empresa. Su responsabilidad también está comprometida en este sentido. Esto significa que la dirección de Premier Continuum debe adoptar medidas para garantizar que los sistemas informáticos y de información cuenten con la protección adecuada contra una variedad de amenazas. También es responsable de establecer y mantener las medidas de seguridad e integridad de la información, aunque solo sea mediante la administración de los controles adecuados de manera proporcional al valor de la información que se va a proteger.

Alcance y principio general

El alcance y el principio generales de esta política son proporcionar una visión general completa de la seguridad de la tecnología de la información («TI») para Premier Continuum. Las políticas, directrices, procedimientos e instrucciones que se describen en este documento se crearon en base a la norma ISO 27001. La política aborda no solo el tipo específico de procedimientos que deben desarrollarse en términos de propiedad y protección de la información, seguridad física, seguridad de TI y recuperación de datos, sino también las obligaciones de la dirección y los empleados de Premier Continuum al implementar los procedimientos en cuestión. La política de seguridad de TI tiene como objetivo proporcionar un conjunto avanzado de directrices para redactar, conservar e implementar directrices específicas que rijan el uso y la protección de la información y la tecnología asociada. El objetivo de estas políticas es establecer la estructura básica dentro de la cual se establecerán e interactuarán directrices, procedimientos e instrucciones más específicos.

El Sistema de Gestión de la Seguridad de la Información (SGSI) funciona según un modelo cíclico de cuatro pasos llamado «PDCA», es decir, planificar, hacer, comprobar y actuar, también conocido como la rueda de Deming.

  1. Plan de fases: consiste en planificar las acciones que la empresa tomará en términos de seguridad
  2. Fase Do: La empresa realiza lo que ha planeado en esta área
  3. Verificación de fase: la empresa verifica que no hay discrepancia entre lo que ha dicho y lo que ha hecho
  4. Ley de fase: consiste en tomar medidas correctivas para las discrepancias que se han identificado previamente

Para garantizar la implementación y la mejora continua del SGSI, se mantiene un registro de actividades.

Premier Continuum garantiza que cumple con todas las leyes y reglamentos de seguridad de la información y todas las cláusulas contractuales con sus clientes. Además, a través de varios grupos y proveedores de alojamiento (Iweb, Cirrus Tech, Hostwinds, OVH, LeBleu, Tenable, Indusface, Synox, Webflow/AWS, etc.) Premier Continuum se mantiene informado de cualquier cambio o amenaza que requiera el ajuste o la adición de controles. También existen mecanismos con los proveedores para informar con prontitud a las autoridades pertinentes de cualquier evento que requiera su participación.

Esta política se aplica a todos los funcionarios, directores y empleados de Premier Continuum y a todos los recursos contractuales.

Si bien Premier Continuum aplica el Sistema de Gestión de la Seguridad de la Información (ISMS) en todas sus actividades comerciales, el alcance de la certificación ISO27001 emitida desde 2013 por el registrador Perry Johnson Inc. y recertificada por PECB 2017 cubre el entorno de desarrollo, producción y soporte de ParaSolution.

Reglas y advertencias

Premier Continuum se reserva el derecho de cambiar sus políticas, directrices, procedimientos o instrucciones, ya sea de forma temporal, debido a un evento imprevisto o de forma permanente, como resultado de cambios en las condiciones comerciales. Económico. Premier Continuum garantiza el cumplimiento de las leyes y reglamentos.

Cualquier exención, exención o excepción a las políticas aprobadas o los documentos relacionados debe ser autorizada por el Comité de Seguridad de TI de Premier Continuum.

Dirija sus preguntas o solicitudes de aclaración al principal Comité de Seguridad de TI de Continuum.

Funciones y responsabilidades

Empleados, consultores y proveedores de Premier Continuum: los empleados, consultores y proveedores de Premier Continuum deben cumplir con las disposiciones de la política de seguridad de TI de Premier Continuum. También deben informar a su supervisor o al Comité de Seguridad de TI sobre cualquier violaciones de la política cometida por cualquier persona, ya sea accidental o voluntariamente. Participan activamente en las actividades relacionadas con el SGSI.

Premier Continuum Management es responsable de garantizar que las políticas de TI sean relevantes y coherentes con la misión y la evolución de Premier Continuum. Es responsable de la implementación y mejora del SGSI. Tiene la responsabilidad de educar a todos los usuarios y mantenerlos informados sobre todos los aspectos de la seguridad de TI. La administración debe garantizar que las disposiciones de la política de seguridad de TI se implementen de manera uniforme en toda la empresa. La política y el SGSI están relacionados con las condiciones de los contratos con Premier Continuum Inc.» como clientes.

Alineación con las políticas internas

La política de seguridad de TI de Premier Continuum está alineada con las demás políticas de la empresa, incluida la política de retención de registros de Premier Continuum. Las demás políticas de la empresa, cuando son relevantes para el tema, se mencionan mediante referencias.

Política

1. Descripción general

1.1 La información: un activo importante. La información es un activo sumamente importante. La información precisa, oportuna, relevante y bien protegida sigue siendo absolutamente esencial para la sociedad. Para garantizar la administración adecuada de la información, el acceso, el uso y el procesamiento deben ser coherentes con sus políticas y estándares para la infraestructura y los sistemas de TI.

1.2 Participación del Comité de Seguridad Informática. El Comité de Seguridad de TI debe participar en la revisión periódica de lo siguiente: (i) el estado actual de las actividades de seguridad y gestión de la información, (ii) los incidentes de seguridad dentro de la empresa, así como los relacionados con los proyectos de seguridad de la información, y (iii) la aprobación de las nuevas políticas de seguridad de la información y sus posibles cambios.

1.3 Personas que deben cumplir con las políticas de seguridad de la información. Los empleados, consultores, proveedores o representantes de la empresa (ya sean a tiempo completo, parcial o pasantes) deben cumplir y ser responsables de los requisitos de seguridad de la información.

1.4 Software y aplicaciones esenciales. Premier Continuum debe mantener una lista del software y las aplicaciones esenciales que proporcionan a la empresa una ventaja competitiva o de productividad.

1,5 Estación de trabajo de oficina. Premier Continuum debe proporcionar equipos en los que el antivirus y el firewall permanezcan activos y actualizados. Los empleados deben asegurarse de cerrar siempre su puesto cuando se vayan.

1.6 Teletrabajo y uso de dispositivos móviles. Premier Continuum permite a sus empleados, cuando están autorizados, trabajar de forma remota. Cualquier empleado que inicie sesión debe tener un firewall y un antivirus activos en todo momento. Todos los accesos entre servidores remotos (entre ellos) y el escritorio (en el caso de teletrabajo o VPN móvil) también se cifran para proteger las aplicaciones u otros datos cuando se transfieren a servidores seguros. (Por ejemplo, una VPN si es externa, un túnel SSH al servidor y, finalmente, un RDP o VNC en este túnel). Las reglas de firewall están diseñadas para no exponer los puertos RDP o VNC, sino solo el puerto SSH.

1,7 Acuerdo de confidencialidad obligatorio. Todos los empleados, consultores, proveedores o sus representantes (ya sean empleados a tiempo completo, a tiempo parcial o a plazo fijo) deben firmar un acuerdo de confidencialidad cuando se incorporen a la empresa (esto se implementa confirmando que entienden el manual del empleado).

1.8 Clasificación de datos. Toda la información de la empresa es confidencial y está destinada únicamente a uso interno, a menos que se conceda permiso para las comunicaciones externas. La información en papel o soporte se guardará en las oficinas u oficinas para este propósito. Los datos de los clientes de Parasolution deben permanecer en los servidores de producción en todo momento y de forma exclusiva.

1,9 Acuerdos de confidencialidad y divulgaciones de información confidencial. Todas las divulgaciones de información confidencial a terceros deben estar cubiertas por un acuerdo de confidencialidad debidamente firmado con restricciones a la distribución y el uso posteriores de la información.

Responsabilidad de información

2.1 Obligación de nombrar un oficial de información. El comité ejecutivo de Premier Continuum debe especificar por escrito quiénes son los miembros del comité de seguridad de TI, los directores de las bases de datos, los archivos clave y otras fuentes de información compartidas.

Comité de Seguridad Informática:

-Presidente y arquitecto de sistemas de TI

-Oficial de seguridad

-Titular de la información

-Desarrollador

-Auditor interno

-Cumplimiento de las normas ISO27000

-Coordinador de operaciones de TI

-Propietario de bases de datos y Paradocs

-Responsable de la aplicación Parasolution

-Usuarios: todos los empleados de Premier Continuum (acceso a los datos en función de su rol en la organización; política de acceso solo a los directorios requeridos)

2.2 Propietario de la información. El propietario de la información del entorno de producción utilizada por una unidad de negocio en particular debe definir las clasificaciones y los controles de acceso adecuados. También debe adoptar las medidas adecuadas para garantizar que se utilicen los controles pertinentes al almacenamiento, la manipulación, la distribución y el uso de la información.

Nivel 1: Administrador de cuentas

Nivel 2: Cuenta de usuario con acceso limitado para realizar consultas, búsquedas y cambios menores solicitados por el cliente

2.3 Administrador de seguridad designado para todos los sistemas multiusuario. Para cada sistema multiusuario, se debe designar a un administrador de seguridad para definir los privilegios de los usuarios, controlar el registro de acceso y realizar cualquier actividad comparable, sin dejar de cumplir con los requisitos del propietario de la información. El Comité de Seguridad de TI es responsable de supervisar esta función. Sin embargo, puede confiarse a un representante. A los efectos de esta política, los servidores de la red local y el sistema telefónico se consideran sistemas multiusuario.

2.4 El Departamento de Tecnología de la Información no puede ser un oficial de información. El Departamento de Tecnología de la Información no puede ser responsable de ninguna información, excepto de los datos para la administración y el control de los sistemas informáticos y las redes operativas.

2,5 Obligación de designar un custodio para todos los tipos principales de información. Se asigna un custodio para cada tipo principal de información. Cada custodio debe garantizar la protección adecuada de la información de acuerdo con los requisitos básicos de Premier Continuum y las instrucciones del administrador designado.

2,6 Responsabilidades del custodio de seguridad. Los custodios son responsables de definir los mecanismos de control específicos, administrar el acceso a la información, implementar y mantener un control rentable de estos elementos y garantizar la existencia de servicios de recuperación y protección ante desastres que cumplan con los requisitos básicos de seguridad de TI de Premier Continuum.

2.7 Responsabilidad de los usuarios de acuerdo con la seguridad de la información. Los usuarios de la información deben tratar la información como si se tratara de una propiedad material perteneciente a la empresa. Tienen que cuidarla mucho. También participan activamente en el SGSI. Es responsabilidad de todos proteger su cuenta de usuario y contraseña para evitar el abuso o la actividad no autorizados. Los usuarios de la información pueden ser empleados, consultores, proveedores o representantes de estos últimos (ya sean empleados a tiempo completo, parcial o temporal), o incluso terceros cubiertos por disposiciones específicas. Cualquier persona que haya sido autorizada a acceder a la información o a los sistemas informáticos se considera un usuario de la información.

Gestión de la seguridad de la información

3.1 Análisis periódico de cuestiones de seguridad de la información y problemas de seguridad de la información. Se requiere un análisis periódico de los problemas y cuestiones de seguridad de la información.

3.2 Mecanismo de gestión y elaboración de informes de seguridad de la información. El Comité de Seguridad Informática debe mantenerse informado periódicamente y en caso de que se produzca una crisis provocada por intrusiones, ataques de denegación de servicio, ataques de virus y otros incidentes que afecten a la seguridad informática. Se implementa un mecanismo formal de gestión de incidentes/problemas para registrar los problemas, reducir sus efectos y evitar que se repitan.

3.3 Evaluación obligatoria de riesgos de la infraestructura y los sistemas de TI de producción. El Comité de Seguridad de TI debe evaluar periódicamente toda la infraestructura y los sistemas de TI de producción para establecer un conjunto mínimo de controles a fin de reducir el riesgo a un nivel aceptable. La aceptabilidad del riesgo se basa en el riesgo residual y en los controles establecidos para hacer frente a los riesgos.

3.4 Acuerdos con terceros que intercambian información. Todos los acuerdos relacionados con el procesamiento de información por parte de terceros deben tener una cláusula específica. Esta cláusula debería permitir a la organización verificar los controles sobre las actividades de procesamiento de la información y aclarar cómo se protegerán. Sin embargo, no todo el desarrollo de aplicaciones debe subcontratarse a terceros.

3.5 Acuerdos sobre el intercambio de datos entre clientes y empleados de Premier Continuum. Para garantizar la protección de los datos de los clientes, cualquier intercambio de datos se lleva a cabo mediante túneles SSH o mediante una descarga directa en la aplicación en producción. Consulte el procedimiento establecido.

3,6 Medidas disciplinarias en caso de incumplimiento de las medidas de seguridad de la información. El incumplimiento de las políticas, directrices, procedimientos o instrucciones de seguridad de la información dará lugar a la adopción de medidas disciplinarias que pueden llegar al despido y a emprender acciones legales. La administración debe hacer que todos comprendan que la seguridad de la información sigue siendo un tema crítico que merece atención en todo momento.

3,7 Complejidad mínima de las contraseñas. La longitud, la duración y la complejidad de las contraseñas siempre deben comprobarse automáticamente cuando los usuarios las crean o cuando acceden a la infraestructura y los sistemas de TI.

3.8 Prohibición de rotar contraseñas. Los usuarios no deben crear una contraseña que se base en una secuencia elemental de caracteres y luego se modifique parcialmente en función de la fecha o de cualquier otro factor predecible.

3,9 Asignación de contraseñas iniciales. La contraseña inicial emitida por un administrador de seguridad solo debe ser válida para el primer inicio de sesión del usuario. Tras el primer inicio de sesión, el usuario debe elegir una contraseña nueva.

3,10 Limitar el número de intentos consecutivos para introducir una contraseña incorrecta. Para evitar que las personas ataquen los sistemas intentando adivinar las contraseñas, el número de intentos debe ser estrictamente limitado.

3,11 Prohibición de compartir una contraseña. Nunca se debe compartir ni divulgar una contraseña a nadie que no sea el usuario autorizado. Un usuario autorizado que infrinja esta directiva podría ser considerado responsable de las acciones que otros puedan cometer al revelar su contraseña. Si los usuarios deben compartir los datos que se encuentran en una computadora, deben usar el correo electrónico, los directorios públicos de los servidores de la red local y otros medios de intercambio de archivos. Cuando haya motivos para creer que se han divulgado las contraseñas, hay que cambiarlas. La reasignación de una cuenta a otra persona debido a la ausencia del titular por enfermedad o licencia no se considera compartir la contraseña. La instrucción de reasignación de cuentas aborda estos casos específicos y proporciona procedimientos para evitar que varias personas accedan a la misma cuenta con la misma contraseña.

3,12 El nombre de usuario y la contraseña son necesarios para acceder a una red informática. Antes de que se permita a los usuarios utilizar ordenadores conectados a una red, su identidad debe verificarse mediante un nombre de usuario y una contraseña secreta, o incluso por cualquier otro medio que ofrezca un grado de seguridad equivalente o superior.

3,13 Nombre de usuario y contraseña únicos obligatorios. Para acceder a una computadora multiusuario, sistemas telefónicos o una red informática controlada, todos los usuarios deben tener un código de usuario y una contraseña personal secreta.

3,14 Cifrado de contraseña. Las contraseñas deben estar cifradas en todos los puntos de la red. Esta medida también cubre los archivos permanentes que contienen contraseñas, ubicaciones temporales de almacenamiento de datos (por ejemplo, memoria en disco) y líneas y dispositivos de telecomunicaciones en red. Las contraseñas también deben estar cifradas cuando pasan por canales de telecomunicaciones externos (por ejemplo, Internet o dispositivos inalámbricos).

3,15 Clasificación, copia de seguridad y destrucción de datos. Los datos se clasifican en las 5 categorías siguientes:

  • Nivel 1: Datos del cliente (servidor principal)
  • Nivel 2: Datos del cliente (servidor secundario)
  • Nivel 3: Intercambio de datos empresariales con el cliente
  • Nivel 4: Datos de desarrollo y código fuente
  • Nivel 5: Otros datos

Los datos de los clientes se destruyen de acuerdo con los estándares establecidos en el contrato o 7 años después de haber cambiado para los niveles 1 y 2. Los datos de Premier Continuum (3.4.5) se pueden destruir 7 años después de su modificación.

Solo los activos críticos de la empresa se transfieren a un servidor seguro externo; de lo contrario, en términos de información del cliente, estos se programan previamente de acuerdo con el acuerdo contractual individual. En todos los casos, estas transferencias están cifradas y el acceso está limitado a los administradores de los sistemas respectivos.

3,16 Registro Se almacena, mantiene y verifica un registro de todas las actividades relacionadas con el ISMS mediante validaciones de auditoría interna.

3,17 Cumplimiento. Anualmente se realizará una auditoría interna de los controles enumerados en la norma ISO 27000. Se llevan a cabo pruebas de penetración y vulnerabilidad en todos los sistemas de producción. Consulte el documento de análisis y tratamiento de riesgos para obtener más información sobre los controles implementados. Además, Premier Continuum garantiza que se cumplan todas las normas de seguridad de la información y que proteja adecuadamente la información personal de sus empleados.

3,18 Distribución y gestión de los derechos de acceso de los usuarios. La asignación de los derechos de acceso debe ser coherente con las funciones y funciones del empleado, por lo que solo se concede el acceso requerido para el trabajo asociado al puesto ocupado. Cuando sea necesario, un empleado puede solicitar un acceso adicional temporal al equipo de seguridad, que revisará la solicitud. Si el equipo tiene conocimiento de una necesidad mal identificada, accederá a una herramienta adecuada o revisará los derechos de acceso.

3,19 Administración de claves. Todas las claves de firma utilizadas en la empresa deben ser el resultado de un acuerdo con un proveedor externo de confianza sobre el terreno. Si este último no lo obliga, las claves se renovarán anualmente o cuando haya una clave de cifrado o un cifrado de mayor fuerza. (DigiCert es el proveedor seleccionado en este momento) Todas las claves de firma utilizadas en la empresa deben ser el resultado de un acuerdo con un proveedor externo de confianza sobre el terreno. Si este último no lo obliga, las claves se renovarán anualmente.

Planificación de la continuidad del negocio

4.1 Cumplimiento obligatorio de las normas de emergencia, continuidad empresarial y recuperación ante desastres. Todas las unidades de negocio de la organización deben planificar y comunicar por escrito sus requisitos, de acuerdo con el plan de continuidad empresarial de Premier Continuum.

4,2 Metodología para establecer la prioridad de las actividades de recuperación ante desastres. Una recuperación efectiva después de una interrupción se basa en las prioridades establecidas durante el proceso de análisis del impacto empresarial. Para permitir una recuperación adecuada, todos los servicios deben utilizar la misma metodología al desarrollar sus planes de continuidad y sus planes de recuperación ante desastres.

4.3 Evaluación anual de la criticidad de las aplicaciones multiusuario. En colaboración con los responsables de la toma de decisiones pertinentes, el comité directivo debe revisar periódicamente con el departamento de TI la evaluación de la criticidad de todas las aplicaciones multiusuario relacionadas con la producción. Por lo tanto, será necesario completar los planes de recuperación ante desastres adecuados.

4.4 Redacción y actualización de un plan de recuperación ante desastres específico para la infraestructura y los sistemas de TI. El equipo de continuidad empresarial de Premier Continuum debe mantener y aplicar su plan de recuperación ante desastres de forma regular, de modo que permita acceder a todos los sistemas de TI críticos y a la infraestructura y los sistemas asociados, de acuerdo con las prioridades de recuperación, en caso de que se produzca una interrupción o pérdida importante (por ejemplo, una inundación o un terremoto). Los objetivos de continuidad del negocio deben incluir las funciones básicas de TI, así como el soporte básico pertinente.

4,5 Redacción y actualización de un plan de continuidad empresarial. El equipo de continuidad empresarial de Premier Continuum debe mantener y ejecutar su plan de continuidad empresarial de forma regular. El plan debe especificar lo que está previsto para las instalaciones alternativas (espacios de trabajo, equipos, sistemas) para que los empleados puedan seguir trabajando en caso de una emergencia o desastre.

Política relativa al control de modificaciones

5.1 Separación de los entornos de producción, control de calidad y desarrollo. El desarrollo de aplicaciones de noticias, la garantía de calidad y la producción deben ser independientes. Si hay suficiente espacio disponible, esta separación debe resultar en la instalación del software en sistemas de TI independientes. Cuando la propia naturaleza de las instalaciones impida dicha instalación, se deben utilizar directorios y bibliotecas independientes protegidos con contraseña. La transferencia de información entre diferentes entornos está controlada (se requiere autenticación).

Todo el acceso entre servidores remotos (entre ellos) y el escritorio (en el caso de teletrabajo o VPN móvil) también está encriptado para proteger las aplicaciones u otros datos cuando se transfieren a servidores seguros. (por ejemplo, una VPN si es externa, túneles SSH y, finalmente, un RDP o VNC en el servidor). Las reglas de firewall están diseñadas para no exponer los puertos RDP o VNC, sino solo el puerto SSH.

En el caso de los archivos web, también se cifran para su transferencia a fin de proteger la información a la que se puede acceder por el puerto 443 (WebDAV, WebFolder); de lo contrario, un túnel debe proporcionar acceso a la misma como para el acceso directo (FTP).

5.2 Separación de las tareas de producción, control de calidad y desarrollo. Las tareas las asigna el arquitecto de TI y, cuando es posible, se dividen. Las tareas se registran en un sistema de gestión de proyectos. El personal de TI debe autenticarse en cada plataforma. La separación de las tareas y el acceso a los activos corporativos está limitada por grupos o funciones dentro de la empresa, ya que los activos son principalmente activos digitales, y son los derechos de acceso y la política relativa a los mismos los que sustentan esta separación.

5.3 Examen obligatorio antes de que los módulos se transfieran al entorno de producción. Los módulos ejecutables de las bibliotecas de prueba nunca deben transferirse directamente a las bibliotecas de producción. Los módulos totalmente probados deben revisarse antes de transferirlos a las bibliotecas de producción.

5,4 El mecanismo formal de control de cambios es obligatorio para las aplicaciones empresariales. Se requiere un mecanismo formal de control de cambios para garantizar que todo el software de aplicaciones empresariales en desarrollo o en fase de control de calidad no entre en producción hasta que haya sido debidamente autorizado por la administración de TI y los usuarios empresariales.

Política relativa a la información y los sistemas desarrollados por el usuario final

6.1 Comprobar el desarrollo de sistemas de producción diseñados por el usuario. Antes de que puedan usarse para la producción, todo el software que trate con información confidencial o esencial y que haya sido desarrollado por los usuarios finales debe ir acompañado de controles y documentación verificados por el departamento de seguridad de TI.

6.2 Verificar la información de la empresa disponible en Premier Continuum o fuera de ella. Las solicitudes para archivar información propiedad de la empresa en un dominio público, como Internet o una infraestructura de información de terceros, deben ser aprobadas por el Comité de Seguridad de la Información de Premier Continuum. La infraestructura de terceros está sujeta a un análisis de seguridad.

6.3 Copias autorizadas de software. Está prohibido copiar el software de terceros que esté en posesión de la empresa. A menos que la copia cumpla con los acuerdos de licencia pertinentes, debe ser aprobada por la gerencia y cumplir únicamente con los requisitos de continuidad empresarial.

6,4 El uso prohibido de software personal, software libre, software gratuito y juegos no está permitido en las computadoras Premier Continuum. Juegos y software gratuitos NO DEBERÍA almacenarse o usarse en los sistemas informáticos de Premier Continuum sin el permiso formal del Comité de Seguridad de TI.

6,5 Copias iniciales del software de la computadora y copias de seguridad. Todo el software debe copiarse o clonarse antes del primer uso. Las copias deben guardarse en un lugar seguro. Estas copias maestras no se pueden utilizar para las actividades comerciales habituales. Están estrictamente reservadas para las actividades de recuperación.

6.6 Revisión periódica de los acuerdos de licencia de software. El cumplimiento de todos los programas informáticos de terceros debe confirmarse periódicamente.

6.7 Información confidencial sobre los dispositivos de TI. La información confidencial almacenada en el disco duro, las memorias USB u otros componentes internos de una computadora personal debe protegerse mediante un dispositivo de bloqueo tangible o un sistema de cifrado, o ambos. Estos componentes, cuando no estén en uso, deben manipularse y almacenarse con el grado más alto de clasificación de seguridad que les corresponda.

Validación

7,1 Comprobación de la infraestructura de TI y los sistemas de TI. Un tercero debe analizar periódicamente la idoneidad de los controles de los sistemas informáticos y asegurarse de que siguen cumpliendo con los requisitos.

Seguridad material

8.1 Medidas de seguridad de hardware para ordenadores y sistemas de comunicación. Los edificios que albergan computadoras o sistemas de comunicación deben estar protegidos por medidas de seguridad física que impidan el acceso a cualquier persona no autorizada.

8.2. Traslado de material fuera del sitio. El material, la información o el software no deben retirarse de las instalaciones sin la autorización previa del comité directivo.

8.3. Destrucción de equipos. Debe comprobarse todo el hardware que contenga medios de almacenamiento para asegurarse de que se han eliminado todos los datos confidenciales y de que todo el software licenciado se ha desinstalado o triturado de forma segura antes de desecharlo.

Política de privacidad

En Premier Continuum, proteger la privacidad y la seguridad de su información es de suma importancia para nosotros. Por lo tanto, firmamos un contrato por escrito con usted para que nunca venda, transfiera, entregue ni comunique de ninguna otra forma su información confidencial a nadie.

Valoramos la confianza que deposita en Premier Continuum y mantenemos políticas de privacidad estrictas. Nos comprometemos a ofrecer a nuestros clientes y usuarios un entorno seguro y tecnologías de vanguardia para proteger su información. En caso de que cancele su relación de cliente con nosotros o pase a ser un cliente inactivo, Premier Continuum seguirá cumpliendo con las políticas y prácticas descritas en este aviso.

Información que recopilamos sobre usted

Cuando visita el sitio web de nuestra empresa, y como su empresa de confianza, recopilamos, conservamos y utilizamos información personal no pública sobre nuestros clientes potenciales, actuales y anteriores. Es probable que registremos dos tipos de información: información estadística no personal e información personal que usted nos proporciona a sabiendas.

Información estadística no personal recopilada de forma agregada. Se trata de información anónima sobre temas como el número de visitantes que visitan nuestro sitio web, cómo navegan por el sitio, qué navegadores utilizan para visitar el sitio, etc.

Información personal que nos proporciona a sabiendas

Cuando se suscriba a nuestros productos y servicios o se registre en nuestro sitio web para acceder a la demostración de nuestro producto o para acceder a la información de su cuenta, Premier Continuum recopilará información personal que nos ayudará a identificarlo y brindarle un mejor servicio. Esta información se denomina «información personal» y se utiliza para asociar la información de uso con una persona o entidad específica. Algunos ejemplos de información personal son: nombre del cliente, dirección, número de teléfono, dirección de correo electrónico, número de cuenta, etc.

No vendemos información personal de clientes

Premier Continuum no venderá, transferirá, entregará ni comunicará de ninguna otra manera información personal a terceros. Divulgaremos información personal a funcionarios gubernamentales solo cuando así lo exija la ley (por ejemplo, en cumplimiento de una citación u orden judicial), siempre que se lo notifiquemos con prontitud y le demos la oportunidad de solicitar cualquier medida cautelar u orden de protección adecuada o de renunciar al cumplimiento de las disposiciones de dichos requisitos.

Protegemos su información

La protección de su información personal es de suma importancia para nosotros. Mantenemos prácticas y procedimientos estrictos para proteger su privacidad de acuerdo con esta política de privacidad. Restringimos el acceso de los empleados a la información de los clientes únicamente a quienes tengan un motivo empresarial para conocer dicha información, y educamos a nuestros empleados sobre la importancia de la confidencialidad y la privacidad de los clientes.

Cómo puede acceder a su información o corregirla

Si se convierte en cliente de Premier Continuum, puede actualizar su información personal poniéndose en contacto con info@premiercontinuum.com.

Seguridad

Es posible que terceros no autorizados accedan a las Comunicaciones Electrónicas cuando se comuniquen entre usted y Premier Continuum a través de Internet, otros servicios de comunicación de red, el teléfono o cualquier otro medio electrónico. Toda la transferencia de información personal en ParaSolution está protegida mediante nombres de usuario y contraseñas cifrados y el protocolo Secure Sockets Layer (SSL) estándar de la industria. El SSL prohíbe que otros usuarios de la web accedan a su información personal y ayuda a proteger su información contra la pérdida, el uso indebido y la alteración de su información.

Términos de uso de ParaSolution

Premier Continuum Inc., debidamente constituida de conformidad con la ley federal canadiense («Premier Continuum»), le brinda su servicio sujeto a los siguientes Términos de uso («TOU») y a la Política de privacidad de Premier Continuum para sus Servicios que se adjunta en este documento. Además, al utilizar servicios específicos de Premier Continuum, usted y Premier Continuum estarán sujetos a las CGU adjuntas aplicables a estos Servicios, que Premier Continuum podrá comunicarle por escrito según lo establecido en el Acuerdo. Para mayor claridad, se entiende que Premier Continuum puede proporcionar al Cliente ciertas pautas o reglas para brindar un mejor servicio al uso del Sistema por parte del Cliente. Dicha documentación se considera una guía para el funcionamiento diario de los Servicios y no formará parte del Acuerdo.

Descripción de los servicios

Premier Continuum proporciona a los usuarios aplicaciones y servicios que comprenden una herramienta para desarrollar, mantener y comunicar programas de gestión de la continuidad empresarial y la recuperación ante desastres de TI, denominados ParaSolution (en conjunto, los «Servicios»). A menos que se indique explícitamente lo contrario por escrito, cualquier función nueva que aumente o mejore los Servicios actuales, incluidos los Servicios nuevos, estará sujeta a las CDU.

Qué debe hacer para usar los Servicios

Para utilizar los Servicios, debe obtener acceso a la World Wide Web, ya sea directamente o a través de dispositivos que accedan al contenido basado en la Web, y pagar cualquier tarifa de servicio asociada con dicho acceso. Premier Continuum no es responsable de proporcionar ningún equipo necesario para establecer dicha conexión a la World Wide Web, incluidos una computadora y un módem, un teléfono u otro dispositivo de acceso. Si utiliza la opción de ver y modificar los formularios en MS-Word, también debe tener instaladas las versiones adecuadas de MS-Word en su ordenador y la posibilidad de guardar los archivos en un sistema de archivos como el Explorador de Windows.

Si su organización aloja los Servicios, todos los sistemas necesarios están bajo la responsabilidad de su organización.

Su información de registro debe ser precisa, actual y completa

En consideración al uso de los Servicios, usted acepta: (a) rellenar el Sistema y (b) mantener y actualizar la información para que sea verdadera, precisa, actual y completa. Si proporciona información falsa, inexacta, desactualizada o incompleta, o si, por cualquier motivo, la información proporcionada es falsa, inexacta, desactualizada o incompleta, comprende que las notificaciones enviadas a través de los Servicios pueden no llegar al Contacto previsto.

Acceso, contraseñas y seguridad

Puede designar usuarios autorizados y puede proporcionarles y asignarles el acceso y la contraseña. Será responsable de la confidencialidad y el uso de sus números de acceso, contraseñas y números de cuenta. Usted será responsable de todas las comunicaciones electrónicas, incluidos el registro de la cuenta y otra información del titular de la cuenta, el correo electrónico y los datos financieros y de otro tipo («Comunicaciones electrónicas») ingresados a través o con su (s) número (s) de acceso, contraseña (s) o número (s) de cuenta. Acepta notificar inmediatamente a Premier Continuum si tiene conocimiento de la pérdida, el robo o el uso no autorizado de cualquiera de sus números de acceso, contraseñas y/o números de cuenta.

Su conducta al utilizar el servicio Premier Continuum

Usted reconoce y acepta lo siguiente con respecto al uso de las comunicaciones electrónicas a través de los Servicios:

  • No utilizará ninguna comunicación electrónica para ningún propósito que sea ilegal, abusivo, acosador, calumnioso, difamatorio, obsceno o amenazante;
  • No puede restringir o impedir a ningún otro usuario el uso y el disfrute del Servicio a sabiendas;
  • No puede hacerse pasar por otra persona o entidad, ni tergiversar su afiliación con ninguna otra persona o entidad;
  • No puede publicar ni transmitir a sabiendas ninguna información o software que contenga un virus, un troyano, un gusano u otro componente dañino;
  • No expresará ni implicará de ninguna manera que Premier Continuum respalde las opiniones contenidas en sus comunicaciones electrónicas, ni que Premier Continuum haya verificado la exactitud de los hechos o circunstancias descritos en sus comunicaciones electrónicas, y autoriza a Premier Continuum a adjuntar una leyenda a cualquier comunicación electrónica enviada a través de los Servicios a tal efecto;
  • No puede utilizar los Servicios de ninguna manera para enviar spam. El spam es un correo electrónico no solicitado dirigido a personas que usted no conoce personalmente, incluido, entre otros, el correo basura, las cartas en cadena u otros correos masivos no solicitados, comerciales o de otro tipo, o cualquier correo electrónico enviado que Premier Continuum considere razonablemente que constituye correo no deseado, según las leyes aplicables y las prácticas del sector.

Marcas comerciales

ParaSolution es una marca comercial de Premier Continuum.

Política ambiental, social y de gobierno (ESG)

Propósito

El propósito de esta política de ESG es describir el compromiso de Premier Continuum con las prácticas sostenibles, la responsabilidad social y la gobernanza ética. Reconocemos la importancia de estas áreas para crear valor a largo plazo para nuestras partes interesadas y contribuir de manera positiva a la comunidad y el medio ambiente.

Alcance

Esta política se aplica a todos los empleados, la administración y las operaciones de Premier Continuum. Abarca nuestro enfoque de la administración ambiental, la responsabilidad social y las prácticas de gobierno.

Responsabilidad ambiental

Consciente de los problemas ecológicos y, más a nivel local, de los impactos de nuestras actividades en el medio ambiente, la dirección de Premier Continuum implementa medidas para:

  1. Prevenir o minimizar las molestias ambientales causadas por las acciones diarias de:
    • Promover el transporte activo, el transporte público y el uso de automóviles eléctricos para ir a la oficina y para todos los viajes.
    • Promover reuniones virtuales en lugar de reuniones que requieran viajes de larga distancia.
    • Promover las compras locales para reducir los costos de combustible.
  2. Mejore continuamente las prácticas controlando los residuos y evitando el despilfarro de recursos mediante:
    • Promover el uso de botellas de agua reutilizables.
    • Reciclaje de cápsulas de papel y café.
    • Controlar la contaminación lumínica apagando todas las luces de la oficina por la noche.
  3. Situar los principios del desarrollo sostenible en el centro de las decisiones empresariales mediante:
    • Considerar el ciclo de vida de los productos utilizados en el lugar de trabajo para garantizar que sean lo más sostenibles posible.
    • Compra de materiales de fuentes renovables.
    • Involucrar a los empleados en la mejora continua de las prácticas.

Objetivos:

  • El 75% de los empleados se desplazan a la oficina en transporte activo o transporte público.
  • Reducción del 25% en el uso de papel por parte de los empleados.
  • La pantalla se cierra al 100% al final del día.

Responsabilidad social

  1. Bienestar de los empleados:
    • Fomentar un entorno de trabajo seguro, saludable e inclusivo.
    • Brindar oportunidades de desarrollo y crecimiento profesional.
    • Promover la diversidad, la equidad y la inclusión en todos los aspectos de nuestras operaciones.
  2. Participación de la comunidad:
    • Apoye a las comunidades locales a través de la filantropía, el voluntariado y las asociaciones.
    • Participa en actividades que mejoren el bienestar social y aborden las necesidades locales.
  3. Derechos humanos:
    • Respete y defienda los derechos humanos en nuestras operaciones y cadena de suministro.
    • Garantizar prácticas laborales justas y prohibir cualquier forma de trabajo forzoso o infantil.

Prácticas de gobierno

  1. Conducta ética:
    • Cumpla con los más altos estándares de comportamiento ético e integridad.
    • Implemente un código de conducta sólido y brinde capacitación sobre prácticas éticas.
  2. Transparencia y rendición de cuentas:
    • Mantener informes transparentes y precisos sobre nuestro desempeño en materia de ESG.
    • Garantice la responsabilidad mediante el monitoreo y la evaluación regulares de nuestras iniciativas ESG.
  3. Participación de las partes interesadas:
    • Interactúe con las partes interesadas para comprender sus perspectivas e incorporar sus comentarios.
    • Fomente la comunicación abierta y genere confianza con todas las partes interesadas.

Implementación y revisión

  1. Responsabilidad:
    • El Comité ESG es responsable de supervisar la implementación de esta política.
    • Se espera que todos los empleados cumplan y apoyen los principios descritos en esta política.
  2. Supervisión y presentación de informes:
    • Supervise e informe periódicamente sobre nuestro desempeño y progreso en materia de ESG.
    • Revise y actualice esta política anualmente para garantizar su relevancia y eficacia.
  3. Mejora continua:
    • Esforzarse por la mejora continua de nuestras prácticas de ESG.
    • Manténgase informado sobre las tendencias emergentes y las mejores prácticas en materia de ESG.

Al adoptar esta política de ESG, Premier Continuum se compromete a integrar las consideraciones ambientales, sociales y de gobierno en nuestra estrategia y operaciones comerciales, contribuyendo a un futuro sostenible y equitativo para todos.

Política de diversidad, equidad e inclusión

Preámbulo

En Premier Continuum, estamos profundamente comprometidos a fomentar y mantener un entorno de trabajo que respete y valore la diversidad en todas sus formas. Reconocemos que el acceso equitativo a las oportunidades y el fomento de un entorno inclusivo son esenciales para aprovechar al máximo el potencial de nuestro personal, mejorar nuestra productividad y reflejar las comunidades a las que servimos.

Objetivos

Nuestra política tiene como objetivo:

  1. Garantizar una representación justa de todos los grupos sociales, especialmente aquellos tradicionalmente subrepresentados, en todos los niveles de la organización.
  2. Cree un entorno en el que se aprecien todas las diferencias y en el que cada individuo pueda prosperar y contribuir de manera eficaz.
  3. Promover una cultura corporativa que refleje nuestros valores de diversidad, equidad e inclusión a través de todas nuestras prácticas y políticas.

1. Reclutamiento y contratación

Nos comprometemos con prácticas de contratación inclusivas:

  • Utilizar descripciones de trabajo neutrales e inclusivas.
  • Capacitar a nuestros reclutadores en técnicas de entrevista imparciales.
  • Colaborar con diversas organizaciones para llegar a una variedad de candidatos en el extranjero.

2. Formación y desarrollo

Brindaremos capacitación obligatoria sobre concientización e inclusión de prejuicios para todos los empleados. Además, fomentaremos el desarrollo profesional continuo de todos los empleados, con un enfoque particular en la tutoría y el apoyo a los grupos subrepresentados.

3. Evaluación y monitoreo

Evaluaremos regularmente nuestro progreso en la DEI a través de:

  • Encuestas de clima organizacional.
  • Revisiones de la diversidad demográfica.
  • Análisis de los datos de retención y promoción por grupos demográficos.

4. Comunicación y compromiso

Nos comprometemos a:

  • Comunicar abierta y regularmente sobre nuestras iniciativas y avances en el DEI.
  • Crear foros de debate donde los empleados puedan expresar sus ideas e inquietudes sobre la DEI.

5. Responsabilidad y gobernanza

Un comité del DEI, compuesto por miembros de varios departamentos, será responsable de implementar esta política. Este comité rendirá cuentas directamente a la dirección ejecutiva y contará con el apoyo de recursos específicos para lograr sus objetivos.

6. Adaptación y mejora continua

Reevaluaremos y ajustaremos anualmente nuestra política de DEI para garantizar que siga siendo relevante y efectiva, teniendo en cuenta los comentarios de los empleados, la evolución de las mejores prácticas de DEI y los cambios sociales.

Conclusión

Premier Continuum se compromete a ser líder en diversidad, equidad e inclusión. Estamos decididos a construir y mantener una cultura que celebre la diversidad, apoye la equidad y cultive la inclusión en todos los niveles de nuestra organización.

Haciendo clic «Aceptar todas las cookies», acepta el almacenamiento de cookies en su dispositivo para mejorar la navegación del sitio, analizar el uso del sitio y ayudar en nuestras iniciativas de marketing. Vea nuestro Política de privacidad para obtener más información.
PreferenciasAceptar