Ir al contenido

Política Corporativa de Anti-Phishing y Seguridad de Comunicaciones

Objetivo 

Establecer los controles, procesos y responsabilidades para prevenir, detectar y responder de manera efectiva a intentos de suplantación de identidad (phishing, smishing, vishing, BEC) dirigidos a Markdebrand LLC, incluyendo su sitio y servicios Prisma Hexagon, sus empleados, socios y clientes. Esta política se alinea con NIST SP 800‑61 Rev. 3 (respuesta a incidentes) y guías de mejores prácticas de ciberseguridad. 

Alcance 

Aplica a todo el personal, contratistas y terceros con acceso a sistemas o información de Markdebrand LLC. Cubre todos los canales corporativos (correo, mensajería, redes sociales, teléfono) y activos digitales (incluido Prisma Hexagon). 

1. PRINCIPIOS FUNDAMENTALES

  • CERO TOLERANCIA: Prohibida toda suplantación de la empresa o sus contactos. 

  • VERIFICAR SIEMPRE: Cualquier solicitud atípica (cambios urgentes de pago, envío de credenciales, adjuntos inesperados) debe confirmarse mediante un canal alternativo verificado. 

  • RESPONSABILIDAD COMPARTIDA: La seguridad es obligación de toda la organización. 

 

2. CONTROLES TÉCNICOS OBLIGATORIOS

  • Autenticación de correo: Todos los dominios corporativos deben implementar SPF, DKIM (claves de 2048 bits) y DMARC con política p=reject/quarantine al 100%. Evaluar BIMI. 

  • Autenticación multifactor (MFA): Uso obligatorio de MFA resistente a phishing (p. ej., FIDO2/WebAuthn) para acceso a correo, ERP/CRM (Odoo), paneles de administración de e‑commerce y pasarela de pagos. 

  • Protección de navegación y contenido: Filtros avanzados de URL y adjuntos, marcado claro de correos externos [EXTERNAL] y, cuando aplique, aislamiento remoto de navegador para enlaces de alto riesgo. 

  • Seguridad en comercio electrónico: Inventario controlado de scripts de terceros en sitios, conforme a PCI DSS 4.0 requisitos 6.4.3 y 11.6.1. 

  • Gestión de accesos: Mínimo privilegio, con revisiones trimestrales de accesos en todas las plataformas. 

 

3. CONCIENTIZACIÓN Y CAPACITACIÓN

Programa continuo que incluye: inducción para nuevos ingresos, capacitaciones anuales obligatorias, recordatorios mensuales (“nudges”) y simulaciones trimestrales segmentadas por función (p. ej., fraude a proveedores para finanzas). 

Métricas de aprendizaje: tasa de clics, tasa de reporte y tiempo promedio de respuesta.

 

4. RESPUESTA A INCIDENTES (PLAYBOOK)

  • Reportar: Ante un correo sospechoso, usar el botón “Reportar Phishing” o reenviar como adjunto a legal@markdebrand.com. Para confirmaciones críticas, usar un canal alternativo verificado (teléfono conocido). 

  • Contener: El equipo de seguridad aislará buzones/endpoints, revocará sesiones activas y bloqueará dominios/URLs maliciosas en filtros de correo y DNS

  • Erradicar y recuperar: Restablecer credenciales comprometidas, rotar claves DKIM si aplica, purgar mensajes maliciosos de los buzones y realizar higiene de seguridad en endpoints. 

  • Aprender: Cada incidente genera post‑mortem para ajustar reglas técnicas, actualizar capacitación y mejorar procesos. 

 

5. MÉTRICAS Y CUMPLIMIENTO

  • KPIs clave: % de correo autenticado, adopción de MFA, tasa de reporte de phishing, MTTR (tiempo medio de contención). 

  • Revisión: Política y eficacia revisadas semestralmente como parte del ISMS basado en ISO 27001:2022. 

Política de Protección de Datos y Privacidad

Marco de cumplimiento y roles

Markdebrand LLC actúa como Responsable del tratamiento de datos personales de clientes, prospectos y empleados para Prisma Hexagon y demás activos. Nuestros proveedores actúan como Encargados. Estas relaciones se rigen por Acuerdos de Procesamiento de Datos (DPA) conforme al Artículo 28 del GDPR, garantizando confidencialidad, seguridad y procesamiento bajo instrucción. 

Principios rectores

Procesamos los datos conforme a: licitud, equidad y transparencia; limitación de la finalidad; minimización de datos; exactitud; limitación del plazo de conservación; integridad y confidencialidad; y rendición de cuentas (accountability).

Seguridad y conservación de datos 

  • Seguridad: La protección de datos está integrada en nuestro ISMS alineado con ISO 27001:2022, con controles físicos, técnicos y organizativos. 

  • Retención: Conservamos datos solo el tiempo necesario según un calendario de retención documentado por categoría (p. ej., clientes, facturación, soporte). 

  • Pagos: Cumplimos estrictamente PCI DSS 4.0. No almacenamos números completos de tarjeta (PAN). El Cardholder Data Environment (CDE) está segmentado y cifrado