Política de clasificación de datos

Directrices para la clasificación de datos

Propósito

El propósito de crear estas pautas es crear un marco para la clasificación de datos sobre la base del nivel de sensibilidad, su valor y criticidad para Appy Pie como lo requiere la Política de seguridad de la información de Appy Pie. Este proceso de clasificación de datos ayudará en una mayor determinación de los controles de seguridad básicos para la seguridad o protección de los datos.

Se aplica a

La Política es aplicable al personal y se extiende a los Agentes externos de Appy Pie, así como a cualquier otro afiliado de Appy Pie que tenga acceso a Appy Pie Data. La política se aplica particularmente a los recursos responsables de la clasificación y protección de los datos de Appy Pie, como se especifica en las funciones y responsabilidades de seguridad de la información.

Definiciones

Datos confidenciales es una frase genérica que significa todos y cada uno de los datos que se clasifican como restringidos, según el esquema de clasificación de datos establecido en esta política. Con bastante frecuencia, también se denomina información confidencial.

Un administrador de datos es un empleado de alto nivel designado en Appy Pie que supervisa el ciclo de vida de uno o varios conjuntos de datos de Appy Pie.

Appy Pie Data incluye todos los datos de propiedad o licencia de Appy Pie.

La información no pública es cualquier información que se clasifica como información privada o restringida según el esquema de clasificación de datos establecido en la política.

Datos confidenciales es un término genérico que significa todos y cada uno de los datos que se clasifican como restringidos, según el esquema de clasificación de datos establecido en esta política. Con bastante frecuencia, también se denomina datos confidenciales.

Clasificación de datos

La clasificación de datos, en el contexto de la información o la seguridad de los datos, es la clasificación de los datos en función de su nivel de sensibilidad y el impacto que puede tener en Appy Pie si se divulga, modifica o destruye sin sanción o autorización. Este proceso de clasificación de datos ayuda a determinar los controles de seguridad básicos adecuados para la protección de datos. Todos los datos de Appy Pie deben clasificarse en uno de los tres niveles de sensibilidad o clasificaciones:

A. Datos restringidos
Solo esos datos deben clasificarse como restringidos, que si se divulgan, alteran o destruyen sin autorización pueden causar un riesgo considerable para Appy Pie, sus clientes o sus afiliados. Por ejemplo, datos protegidos por regulaciones de privacidad estatales o federales o datos protegidos por acuerdos de confidencialidad. Los datos restringidos deben estar protegidos por el más alto nivel de controles de seguridad.
B. Datos privados
Solo esos datos deben clasificarse como privados, que si se divulgan, alteran o destruyen sin autorización pueden causar un riesgo moderado para Appy Pie, sus clientes o sus afiliados. Cualquier dato de Appy Pie que no esté explícitamente clasificado como restringido o público debe, de forma predeterminada, considerarse como datos privados. Los datos privados deben estar protegidos por un nivel razonable de controles de seguridad.
C. Datos públicos
Solo esos datos deben clasificarse como públicos, que si se divulgan, alteran o destruyen sin autorización pueden causar poco o ningún riesgo para Appy Pie, sus clientes y sus afiliados. Por ejemplo: comunicados de prensa, recursos educativos y estudios de casos. Aunque es necesario aplicar pocos o ningún control para proteger la confidencialidad de los datos públicos, se debe aplicar cierto nivel de control para evitar la modificación o destrucción no autorizada de los datos públicos.

La clasificación de datos debe ser realizada por un administrador de datos adecuado. Los administradores de datos son empleados de alto nivel en Appy Pie que son responsables de supervisar los ciclos de vida completos de uno o varios conjuntos de datos de Appy Pie.

Calcular la clasificación

El propósito de la seguridad de la información, como se menciona en nuestra Política de seguridad de la información, es proteger la confidencialidad, integridad y disponibilidad de los datos de Appy Pie. La clasificación de datos indica el nivel de impacto en Appy Pie si existe algún compromiso de confidencialidad, integridad o disponibilidad.

Lamentablemente, no existe un sistema cuantitativo perfecto para calcular la clasificación de un elemento de datos en particular. En algunas situaciones, la clasificación correcta puede ser más evidente, como cuando las leyes federales requieren que Appy Pie proteja tipos de datos particulares (por ejemplo, información de identificación personal). En los casos en que la clasificación adecuada no sea evidente de manera innata, considere todos los objetivos de seguridad como se describe en la siguiente tabla. La siguiente tabla está tomada de la publicación 199 de los Estándares Federales de Procesamiento de Información (FIPS) publicada por el Instituto Nacional de Estándares y Tecnología, que examina la clasificación de la información y los sistemas de información.

IMPACTO POTENCIAL
Objetivo de seguridad BAJA MODERADO ALTO
Confidencialidad
Preservar las restricciones autorizadas sobre el acceso y la divulgación de información, incluidos los medios para proteger la privacidad personal y la información de propiedad.
Se podría esperar que la divulgación no autorizada de información tenga un efecto adverso limitado en las operaciones de la organización, los activos de la organización o las personas. Se podría esperar que la divulgación no autorizada de información tenga un efecto adverso grave en las operaciones de la organización, los activos de la organización o las personas. Se podría esperar que la divulgación no autorizada de información tenga un efecto adverso grave o catastrófico en las operaciones de la organización, los activos de la organización o las personas.
Integridad
Protegerse contra la modificación o destrucción indebida de la información e incluye garantizar el no repudio y la autenticidad de la información.
Se podría esperar que la modificación o destrucción no autorizada de información tenga un efecto adverso limitado en las operaciones de la organización, los activos de la organización o las personas. Se puede esperar que la modificación o destrucción no autorizada de información tenga un efecto adverso grave en las operaciones de la organización, los activos de la organización o las personas. Se puede esperar que la modificación o destrucción no autorizada de información tenga un efecto adverso grave o catastrófico en las operaciones de la organización, los activos de la organización o las personas.
Disponibilidad
Garantizar el acceso y el uso oportuno y confiable de la información.
Se podría esperar que la interrupción del acceso o uso de la información o un sistema de información tenga un efecto limitado y diverso en las operaciones de la organización, los activos de la organización o los individuos. Se podría esperar que la interrupción del acceso o uso de información o un sistema de información tenga un efecto adverso grave en las operaciones de la organización, los activos de la organización o las personas. Se podría esperar que la interrupción del acceso o uso de la información o un sistema de información tenga un efecto adverso grave o catastrófico en las operaciones de la organización, los activos de la organización o las personas.

Cuando el impacto potencial en Appy Pie pasa de Bajo a Alto, la clasificación de datos debe volverse progresivamente restrictiva pasando de Público a Restringido. En caso de que una clasificación adecuada sea aún imprecisa después de considerar debidamente los puntos mencionados anteriormente, comuníquese con el Oficial de Seguridad de la Información para obtener ayuda.

Tipo de información Clasificación de datos Impacto de la confidencialidad Impacto en la integridad Impacto en la disponibilidad
Datos personales (cliente) Confidencial Alto Alto Alto
Datos personales (empleado) Confidencial Bajo Medio Medio
Datos financieros (clientes) Confidencial Alto Alto Alto
Datos financieros (empleados) Confidencial Alto Alto Alto
Datos del proveedor Público Bajo Bajo Bajo