Ciber Riesgos Con condiciones roog

Sección de Protección de Datos

Nombre Completo (Apellido Paterno Materno Nombre)

Correo

Favor de estar atento a las respuestas en este correo, para su seguiiento, revisar tambien sus correos de notificacones y spam, sino nota pronta respuesta.

whatapp y/o Telefono de contacto Preferentemente sea También whatsapp:

Favor ingrese un número de teléfono válido.Format: (000) 000-0000.

FECHA DE ENVIO

DATE TIME

FAVOR DE CARGAR AQUI ARCHIVOS INE COMPROBANTE DE DOMICILIO RFC O CURP Y/O COTIZACIONES SI ES SU CASO.

Dirección

Dirección de la calle

Colonia

CiudadEstado / Provincia

Código Postal

Sitio Web(s)

Número de Empleados

Ingresos Anuales

Utilidad Operacional Anual

Porcentaje de los Ingresos generados en: US/Canad

Porcentaje de los Ingresos generados en: Europa

Porcentaje de los Ingresos generados en: Resto del mundo

Actividades del Asegurado. Por favor describa las actividades principales de la compañía/compañías a ser aseguradas. Si estas actividades incluyen comercio electrónico, por favor indicar el porcentaje de los ingresos que se generan por este concepto

Por favor describa las actividades principales de la compañía/compañías a ser aseguradas. Si estas actividades incluyen comercio electrónico, por favor indicar el porcentaje de los ingresos que se generan por este concepto.

Por favor indique el periodo de interrupción sobre el cual su compañía sufriría un impacto significativo en su negocio

Sistemas de información (Número de usuarios)

Rows	< 100	101 - 1000	> 1000
Número de Portátiles
Número de Servidores

¿Realiza usted comercio electrónico o provee un servicio online en su sitio web?

SiNo

¿Cuál es el porcentaje de ingresos generado o soportado por el sitio web? estimado % M.N

Seguridad de los Sistemas de Información (ISS)

¿Hay una política de Seguridad de los Sistemas de Información formalizada y aprobada por la Dirección y/o normas de seguridad definidas y comunicadas a los empleados, y aprobados por los mismos?

SiNo

¿Se provee regularmente Capacitación y Entrenamiento en Seguridad de los Sistemas de Información a los usuarios?

SiNo

¿Ha identificado usted los riesgos por sistemas de misión crítica para su Sistema de Información y ha implementado controles apropiados para su mitigación?

SiNo

¿Se realizan auditorías periódicas a los sistemas de Información y se implementan las recomendaciones generadas?

SiNo

¿Realiza usted un inventario y/o clasificación de la información de acuerdo con su criticidad y sensibilidad, definiendo los requerimientos de seguridad según lo anterior?

SiNo

Protección de los Sistemas de Información

¿El acceso a los sistemas de información requiere la identificación del usuario, el cambio periódico de claves y la construcción de una contraseña segura?

SíNo

¿Las autorizaciones de acceso están basadas en roles de usuario y se ha implementado un procedimiento para el manejo de las autorizaciones de acuerdo con el principio de menor privilegio?

SíNo

¿Referencias de configuración seguras están definidas para portátiles, estaciones de trabajo, servidores y dispositivos móviles?

SíNo

¿Cuenta con un manejo centralizado y realiza monitoreo de la configuración de los sistemas?

SíNo

¿Las computadoras portátiles cuentan con un firewall (dispositivo de seguridad) ?

SíNo

¿Un antivirus está instalado en todos los sistemas y se monitorea la actualización de los mismos?

SíNo

¿Los parches de seguridad se instalan periódicamente?

SíNo

¿Tiene implementado un Plan de Recuperación de Desastres que es actualizado periódicamente?

SíNo

¿Se realizan back ups de manera diaria, se prueban periódicamente y una copia de seguridad se guarda periódicamente en un sitio remoto?

SíNo

Operaciones y Seguridad de la Red

¿Se actualizan los filtros de tráfico entre la red interna e internet y se monitorea de manera periódica?

SíNo

Tiene implementado un sistema de detección/prevención de intrusiones, el cual se actualiza y monitorea periódicamente?

SíNo

¿Tiene implementado un sistema de detección/prevención de intrusiones, el cual se actualiza y monitorea periódicamente?

SíNo

¿Los usuarios internos tienen acceso a los sitios de Internet navegando a través de un dispositivo de red(proxy) equipado con antivirus y filtros de red?

SíNo

¿Se ha realizado una segmentación de la red para separar las áreas críticas (servidores, administración...) delas menos criticas (como las áreas de usuarios...)?

SíNo

¿Se realizan pruebas de penetración periódicamente y se implementa el plan de remediación?

SíNo

¿Se realizan asesorías de vulnerabilidad periódicamente y se implementa el plan de remediación?

SíNo

¿Se tienen implementados procedimientos para manejo de incidentes y gestión de modificaciones?

SíNo

¿Los incidentes de seguridad (como detección de virus, intentos de acceso...) son registrados y monitoreados periódicamente?

SíNo

¿Se ha implementado un monitoreo preventivo en contra de intrusiones en la red y las alertas e incidentes de seguridad se priorizan y manejan de acuerdo a su criticidad?

SíNo

Seguridad Física en el Centro de Cómputo (Site o Datacenter)

¿Los sistemas críticos son ubicados en un Centro de Cómputo exclusivo, con acceso restringido y niveles de seguridad ambiental y eléctricos?

SíNo

¿El Centro de Cómputo en el que se alojan los sistemas críticos posee infraestructura resilente? (redundancia con respecto a la generación de energía, aire acondicionado, conexiones de red … )

SíNo

¿Los sistemas críticos son duplicados de acuerdo con arquitectura Activa/Pasiva o Activa/Activa?

SíNo

¿Los sistemas críticos son duplicados en 2 predios físicamente separados?

SíNo

¿Se ha implementado un sistema de detección de incendios y extinción automática de incendios en las área críticas?

SíNo

¿El suministro de energía está protegido con UPS y baterías? ¿Se realiza un mantenimiento periódico de los mismos?

SíNo

¿El suministro de Energía está respaldado por un generador de energía al cual se le realizan mantenimiento y pruebas periódicas?

SíNo

Outsourcing

Esta sección debe ser respondida, si una función de los sistemas de información es contratada por la compañía a través de outsourcing

SíNo

¿El contrato de outsoucing incluye requerimientos de seguridad que deben ser observados por parte del proveedor del servicio?

SíNo

¿Se acuerdan niveles de servicio con el outsourcing, que impliquen controles en el manejo de incidentes y de solicitud de cambios? ¿Se aplican penalizaciones al proveedor en caso en que no cumpla con dichos acuerdos

SíNo

¿Se realizan monitoreos y reuniones periódicas con el proveedor del servicio para revisar la gestión y mejoramiento del servicio?

SíNo

En sus contratos, ¿ha renunciado usted a reclamar en contra de su(s) proveedor(es) de servicios?

SíNo

Anexar texto de renuncia

¿Cuáles son las funciones de los Sistemas de información que maneja por outsourcing?

Rows	Sí	No	Proveedor de Servicios(Outsourcing)
Administración de soporte
Administración de servidor
Administración de la red
Administración de seguridad de la red
Administración de aplicativos
Uso de servicios en la nube o de softwar
Otro - por favor especifique

Datos personales

Tipo de Datos y Número de Registros

¿Cuál es el número de registros manejado por el solicitante? Total:

¿Cuál es el número de registros manejado por el solicitante? Por región:

¿Cuál es el número de registros manejado por el solicitante? Europa(EU):

¿Cuál es el número de registros manejado por el solicitante? EU/Canadá:

¿Cuál es el número de registros manejado por el solicitante? Resto del mundo:

Categorías de datos personales recolectados/procesados

Rows	Sí	No	Número de Registros
Información comercial y de marketing
Información financiera o de Tarjetas de Pago
Información de salud
Otro - por favor especifique

Usted procesa datos para:

¿Usted?¿En nombre de un tercero?

Política de Protección de Datos Personales

Rows	Sí	No
¿Existe una política de privacidad formalizada y aprobada por el Consejo de Administración de la empresa y/o existen reglas de seguridad referente a datos personales definidos y comunicados a los empleados que tienen acceso a esta información?
¿Capacita y concientiza a los empleados con acceso autorizado o que procesa datos personales?
¿Existe un oficial de protección de datos personales designado por su organización?
¿Existen acuerdos de confidencialidad o cláusulas de confidencialidad en los contratos de trabajo del personal que maneja o tiene acceso a datos personales o información confidencial?
¿Los aspectos legales de su política de protección de datos han sido validados por un abogado y el cumplimiento con las leyes y regulaciones de protección de datos personales se monitorean periódicamente?
¿Sus prácticas frente al manejo de información personal han sido auditadas por un auditor externo en los últimos 2 años?
¿Ha implementado usted un plan de respuesta a incidentes y ha comunicado dicho plan al equipo de respuesta?

Recolección de Datos Personales

Rows	Sí	No
¿Trabaja en apego a la normativa que ha emitido la Autoridad de Protección de Datos?
¿La política y/o el aviso de privacidad ha sido revisado por un abogado o su departamento legal?
¿Ha solicitado usted el consentimiento de los titulares en los casos en que la Ley Federal de Protección de Datos Personales en posesión de los Particulares establece, antes de recolectar datos personales? Y los titulares de los Datos Personales pueden ejercer los derechos ARCO conforme lo dispone dicha Ley?
En caso en que realicen operaciones de marketing ¿ los titulares tienen a su disposición un medio adecuado para des registrarse (opt out)?

¿Transfiere usted Datos Personales a terceros?

SíNo

Rows	Sí	No
¿El tercero (ej. procesador) tiene la obligación contractual de procesar los datos personales solo en su nombre y bajo sus instrucciones?
¿El tercero tiene la obligación contractual de mantener medidas de seguridad suficientes para proteger los datos personales?

Medidas de Protección de Datos Personales

Rows	Sí	No
¿El acceso a Datos personales está restringido sólo a esos usuarios que así lo requieren para desarrollar sus labores y las autorizaciones de acceso son revisadas periódicamente?
¿Los datos personales están encriptados cuando se guarda en los sistemas de información y los back ups delos datos personales están encriptados?
¿Los datos personales están encriptados cuando se transmiten a través de la red?
¿Los dispositivos móviles y los discos duros de los computadores personales se encuentran encriptados?
¿Están prohibidas las copias en dispositivos de almacenamiento o transmisiones por correo electrónico de datos personales no encriptados?
¿Están prohibidas las copias en dispositivos de almacenamiento o transmisiones por correo electrónico de datos personales no encriptados?

¿Los registros que manejan contienen información de tarjetas de pago - Payment Card Information (PCI)?

SíNo

Su nivel de PCI DSS es:

Nivel 1Nivel 2Nivel 3Nivel 4

El procesador de pago (ustedes o el tercero) cumple con los estándares PCI DSS:

SíNo

¿La información PCI es almacenada encriptada o solo se almacena una parte del número de tarjeta?

SíNo

¿El almacenamiento de la información PCI no excede la duración del proceso de pago y los requerimientos legales y regulatorios?

SíNo

¿El procesamiento de datos para pagos a través de tarjeta se externaliza?

SíNo

¿Usted requiere del procesador de pago una indemnización en caso de una brecha de seguridad?

SíNo

Por favor indique el nombre del procesador de pago, tiempo de retención de la información PCI y cualquier medida de seguridad adicional

Contenido Electrónico

Rows	Sí	No
¿Su Departamento Legal o un abogado revisa el contenido electrónico antes de que este sea publicado?
¿Utiliza usted material suministrado por otros, como el contenido, música, gráficas o video por internet, en su software o en su página web?
En de ser afirmativa la respuesta a la pregunta que antecede, ¿usted obtiene siempre licencias por escrito y acuerdos de consentimiento para el uso de tales materiales?
¿Tiene un procedimiento establecido para editar o remover de su página web; y chat room o tablón de anuncios contenidos injuriosos o calumniosos, o contenidos que infrinjan derechos de propiedad intelectual u otros (derechos de autor, marcas comerciales, marcas de nombres, etc.)?

Incidentes y/o Eventos

Rows	Fecha	Descripción del Incidente (Por favor enumere y detalle los incidentes que haya tenido en los últimos 3 años
1
2
3

Observaciones

Solo si desea hacer alguna obervación.

¿FOLIO O NUMERO DE TRAMITE:?

¿NOMBRE DEL EJECUTIVO QUE RECIBE POR PARTE DE LA ASEGURADORA?

¿TIEMPO DE RESPUESTA ESTIMADO?

TIPO DE CEDULA DEL AGENTE

AGENTE

FECHA ESTIMADA DE RESPUESTA

FAVOR DE PONRE FECHA EN FORMATO AÑO/MES/DIA, SI NO LE DEJA ENVIAR O ESCRIBIR POR FAVOR INICIE ESCRIBIENDO AQUI 2025/

FECHA DE CONTROL Y MONITOREO

PARA USO EXCLUSIVO DEL AGENTE

CORREO DEL AGENTE

ejemplo@ejemplo.com

Aplicación (o actividad)

Periodo de interrupción máximo antes de un impacto adverso en el negocio: INMEDIATO

Periodo de interrupción máximo antes de un impacto adverso en el negocio: 12h

Periodo de interrupción máximo antes de un impacto adverso en el negocio: 24h

Periodo de interrupción máximo antes de un impacto adverso en el negocio: 48h

Periodo de interrupción máximo antes de un impacto adverso en el negocio: 5h