Política de Seguridad de la Información

  • Versión: 1.1
  • Fecha de actualización: 05 de Diciembre de 2025
  1. OBJETIVO DEL DOCUMENTO

El objetivo de esta política es establecer los principios, directrices y compromisos que permiten proteger la información gestionada por Xmarts, garantizando su confidencialidad, integridad y disponibilidad mediante la implementación de controles administrativos, técnicos y físicos proporcionales al riesgo. Esta política busca asegurar el cumplimiento del marco legal, regulatorio, contractual y normativo aplicable, así como apoyar los objetivos estratégicos del negocio y promover la mejora continua del Sistema de Gestión de Seguridad de la Información (SGSI).

  1. ALCANCE

Esta política aplica a toda la información administrada, procesada, almacenada o transmitida por Xmarts, sin importar su formato o medio, e incluye los sistemas, procesos, infraestructuras, servicios tecnológicos, recursos humanos y proveedores que intervienen en su tratamiento. Su cumplimiento es obligatorio para todos los colaboradores, contratistas, terceros autorizados y cualquier parte interesada que tenga acceso a los activos de información de la organización. La política es aplicable a todas las operaciones de Xmarts sujetas al marco legal vigente en materia de seguridad de la información y protección de datos personales.

  1. DEFINICIONES
  • Activo de información: Cualquier dato, documento, sistema, servicio, dispositivo, infraestructura, proceso o conocimiento con valor para Xmarts y que requiere protección.
  • Confidencialidad: Propiedad que garantiza que la información solo es accesible a personas, procesos o sistemas autorizados.
  • Integridad: Propiedad que asegura que la información se mantiene exacta, completa y libre de alteraciones no autorizadas.
  • Disponibilidad: Propiedad que garantiza que la información y los sistemas estén accesibles y utilizables cuando los usuarios autorizados lo requieran.
  • Seguridad de la información: Conjunto de actividades y medidas para preservar la confidencialidad, integridad y disponibilidad, así como otros principios como autenticidad y trazabilidad.
  • Riesgo de seguridad de la información: Combinación de la probabilidad de ocurrencia de un evento que afecte la seguridad y el impacto que dicho evento pueda producir en los activos de información.
  • Control de seguridad: Medida administrativa, técnica o física destinada a gestionar riesgos, reducir vulnerabilidades o mitigar impactos.
  • Incidente de seguridad de la información: Evento que compromete o puede comprometer la confidencialidad, integridad o disponibilidad de la información o de los sistemas que la procesan.
  • SGSI (Sistema de Gestión de Seguridad de la Información): Conjunto estructurado de políticas, procesos, procedimientos, recursos y controles implementados para gestionar la seguridad conforme a ISO/IEC 27001.
  • Colaborador o usuario autorizado: Persona que, debido a su relación laboral o contractual con Xmarts, tiene acceso legítimo a los activos de información y debe cumplir esta política.
  • Proveedor o tercero: Persona física o moral externa que, mediante contrato o acuerdo, puede acceder, procesar o almacenar información de Xmarts bajo obligaciones de seguridad.
  • Dato personal: Información relacionada con una persona física identificada o identificable, protegida conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y la autoridad reguladora vigente.
  1. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

El compromiso de Xmarts es la protección de los activos de información de nuestros clientes internos y externos, asegurando su confidencialidad, integridad y disponibilidad dentro del marco legal, regulatorio, contractual y normativo aplicable, en conformidad con los requerimientos y objetivos del negocio.

Xmarts garantiza la protección de la información bajo su control mediante la aplicación de medidas administrativas, técnicas y físicas proporcionales al riesgo. Este compromiso se cumple conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y a las disposiciones de la Secretaría Anticorrupción y Buen Gobierno, autoridad reguladora en materia de protección de datos personales en México, asegurando el cumplimiento normativo, la continuidad operativa y el soporte a los objetivos estratégicos de la organización.

Lo anterior se logra mediante la implementación de controles de seguridad físicos, lógicos y administrativos que permiten cumplir con los requisitos legales, normativos y contractuales, promoviendo la mejora continua de la seguridad de la información en todos nuestros procesos y atendiendo los requerimientos aplicables de nuestras partes interesadas.

  • 4.1.    OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN

Conforme a la política de seguridad de la información se han establecidos los objetivos del Sistema de Gestión de Seguridad de la Información en el formato de “Seguimiento y medición de los objetivos”, los cuales se encuentran documentados y medidos por el oficial de seguridad de la información.

  • 4.2.  REQUISITOS PARA LA SEGURIDAD DE LA INFORMACIÓN

Las políticas y procedimientos deben cumplir con los requisitos legales y normativos en el ámbito de la seguridad de la información, así como, con las obligaciones contractuales.

  • 4.3.  MEJORA CONTINUA

El Responsable del SGSI en conjunto con los propietarios de cada proceso operativo y políticas, son los responsables de identificar las mejoras.

  • 4.4.  SANCIONES

El incumplimiento de cualquier lineamiento establecido en las Políticas, Cláusulas o Procesos anteriormente señalados será sancionado con base en la gravedad de la falta. Las sanciones podrán consistir desde una llamada de atención hasta el despido justificado.

Si el incidente no fuera de gravedad, el Oficial de Seguridad de la Información podrá imponer la sanción, misma que deberá de ser comunicada a la Dirección.

Si el incidente fuera grave, la sanción será impuesta por lo establecido en el reglamento interior de trabajo, así como en el contrato laboral.

El robo de información o difusión será considerado un incidente grave, mismo que tendrá como consecuencia el despido justificado. Igualmente, XMARTS se reserva el derecho de proceder legalmente contra quien o quienes resulten responsables.

  1. VALIDEZ Y GESTIÓN DE DOCUMENTOS

Este documento será vigente de forma indefinida, sólo cuando surja un cambio que se requiera modificar el documento se deberá cambiar la fecha de la vigencia. Esto no implica que no se realicen las revisiones una vez por año.