Política de Seguridad de la Información

Versión actualizada el diciembre de 2021

INTRODUCCIÓN

La Política de Ciberseguridad de Hotmart abarca directivas, objetivos y controles relacionados con la Seguridad de la Información en ambiente de TI de la Compañía, con el fin de salvaguardar sus operaciones, usuarios y terceros. Todos los empleados y proveedores deben conocer sus normas y actuar en estricta conformidad con ellas.

FUNCIONES Y RESPONSABILIDADES

Las responsabilidades de ciberseguridad se distribuyen entre los siguientes niveles organizativos:

  • Vicepresidencia y Directorio de Tecnología
  • Gerencia de ciberseguridad
  • Gerencia de privacidad y regulaciones
  • Gerencia de controles internos
  • Todos los empleados (Troopers)
  • Terceros, vendedores y proveedores de servicios de TI

DIRETRIZES

La Compañía adopta un conjunto de acciones, directivas y procedimientos con el fin de reducir las vulnerabilidades de la ciberseguridad y las exposiciones al riesgo, en convergencia con los pilares que sustentan todo el procesamiento de datos de la Compañía:

  • Confidencialidad: la información no debe ser divulgada a personas no autorizadas.
  • Integridad: la información manejada no debe ser alterada sin la debida autorización.
  • Disponibilidad: la información procesada se puede almacenar, acceder o proteger en cualquier momento.

Los lineamientos y reglas adoptadas por la Compañía coordinan la consecución de los siguientes objetivos:

  • Monitoreo efectivo de la efectividad de los procesos y controles implementados para mitigar los riesgos de seguridad cibernética.
  • Identificación oportuna de los riesgos emergentes de seguridad de la información que deben abordarse.
  • Optimización continua de la capacidad de prevenir, detectar y reducir la vulnerabilidad a incidentes relacionados con el ambiente cibernético.
  • Difusión perenne de una cultura de atención a la seguridad de la información y asimilación de protección de datos procesada por Hotmart como premisa de cualquier diseño de procesos o soluciones y como estándar esencial de cualquier procedimiento operativo.

PROGRAMA DE SEGURIDAD DE LA INFORMACIÓN

El programa permanente de Ciberseguridad de Hotmart consiste en un amplio proceso que, en el marco de los principios y objetivos trazados, guía la implementación de controles o instrumentos de gestión de la información, entre los que destacan los siguientes:

  • Clasificación de datos e información

Para proteger y tratar adecuadamente la información, es necesario clasificar los tipos de información existentes en la Compañía. La clasificación se determina con base en el valor de la información, sensibilidad, criticidad, obligaciones legales y contractuales, y la Compañía define etiquetas para la clasificación de la información, las cuales deben ser observadas y aplicadas internamente.

  • Desarrollo centrado en la privacidad y la seguridad de los datos

Hotmart cuenta con equipos dedicados a la creación y optimización de instrumentos para mejorar la seguridad de sus aplicaciones, con especial atención a los datos personales, observando los requisitos legales y las mejores técnicas conocidas en el mercado.

  • Derecho de propiedad

La Compañía cuida todos los aspectos de la propiedad intelectual presentes en su ambiente y operaciones. Es deber de todos abstenerse de utilizar la información o la propiedad intelectual de Hotmart para fines privados.

  • Gestión y definiciones de uso de activos de información

Los activos de información son cualquier recurso implicado en el ciclo de vida de los datos en una organización. En Hotmart, estos recursos están protegidos contra el acceso no autorizado, y los empleados deben observar las precauciones inherentes a cada actividad, actuando con integridad y discernimiento al utilizar los equipos de la Compañía, incluyendo reglas específicas para dispositivos móviles y dispositivos conectados a su red.

  • Gestión de Acceso

La Compañía adopta procedimientos formales para administrar el acceso a todo su ambiente de TI, incluidos los procesos de concesión de acceso, revocación, transferencia, revisión y autenticación.

  • Gestión de cambio

Hotmart adopta varios controles sobre los cambios en los sistemas internos y las bases de datos de la Compañía, incluidos los procedimientos de revisión de código, la integridad y continuidad de los sistemas desarrollados, el control de versiones, las pruebas y la gestión del ciclo de integración continua.

  • Gestión de redes y criptografía

A través de la gestión de sus redes, Hotmart preserva el flujo seguro de datos entre los componentes de sus sistemas, observando la segmentación de redes y el uso de estándares de configuración segura y criptografía fuerte.

  • Gestión de vulnerabilidades

Hotmart realiza escaneos y pruebas recurrentes en su ambiente de TI, por parte de un equipo especializado en pruebas de seguridad, para medir fallas y vulnerabilidades en sus sistemas, las cuales son manejadas por sus equipos de ciberseguridad y desarrollo seguro.

  • Protección de código malicioso

Se implementan mecanismos de protección contra código malicioso en los puntos de entrada y salida de los sistemas Hotmart. Estos puntos incluyen firewalls, servidores de acceso remoto, estaciones de trabajo, servidores de correo electrónico, servidores web, servidores proxy y dispositivos móviles.

  • Gestión de proveedores

Con base en la información recibida y las verificaciones internas, Hotmart evalúa los riesgos que implica la contratación de cada proveedor, para asegurar el cumplimiento de las normas de ciberseguridad de la Compañía, de acuerdo con los servicios prestados.

  • Generación y análisis de registros de auditoría

Se implementan pistas de auditoría automatizadas para los componentes de sistemas de Hotmart, lo que permite el seguimiento de eventos de seguridad, de autenticación y acciones de los usuarios.

  • Prevención de la fuga de información

Hotmart aplica control sobre la transmisión de información en su ambiente de TI, mediante soluciones automatizadas, que detectan, restringen y alertan la circulación indebida de datos. Los controles están asociados con la clasificación de esta información.

  • Plan de contingencia

Hotmart cuenta con un plan para la recuperación segura de los datos procesados ​​por la empresa y las funcionalidades de sus sistemas, en caso de indisponibilidad de servicios tecnológicos críticos que respalden su operación. La Compañía mantiene copias de seguridad de los datos en más de un datacenter.

  • Capacitación y concientización sobre seguridad de la información

Con el objetivo de difundir el conocimiento y la mejora continua, la Compañía realiza capacitaciones y promueve medios periódicos de sensibilización relacionados con la seguridad de la información, abarcando a todos los empleados.

  • Gestión de incidentes

El proceso de gestión de incidentes de Hotmart está diseñado para prevenir, detectar, responder y recuperarse de un evento inesperado que genere algún tipo de inestabilidad, incumplimiento de política o reglamento interno, o que pueda causar daños a la Compañía.

Todos los incidentes reportados en el ambiente tecnológico de Hotmart son sometidos a procedimientos de identificación, análisis, clasificación y comunicación, de acuerdo con sus efectos y con el interés de las partes implicadas y eventualmente afectadas.

En caso de identificación, por parte del público externo, de cualquier inconsistencia o falla en el ambiente de Hotmart, la Compañía hace disponible un canal para recibir la comunicación respectiva, a través del correo electrónico security@hotmart.com.

VIOLACIÓN DE LA POLÍTICA

El incumplimiento de los lineamientos del Programa de Seguridad de la Información, definidos en esta Política, constituye una falta grave y conlleva la aplicación de sanciones de acuerdo con la normativa vigente.

El empleado o proveedor de servicios que deliberadamente no informe las violaciones a esta política también estará sujeto a las sanciones antes mencionadas.