Skip to content
Cerrar
Contacto
Whatsapp:

+52 55 5173 5351

Agendar demo
Iniciar sesión
Whatsapp:

+52 55 5173 5351

Agendar demo
Iniciar sesión
Gestión de personal
Module-incidencias
Gestión de incidencias

Levanta, aprueba y consulta incidencias.
Module-directorio
Directorio y expedientes

Digitaliza y administra los expedientes.
Module-analytics500
Analytics500Actualizado

Reportes personalizados hechos a la medida.
Module-reportes
Reportes

Consulta reportes automatizados.
Module-firma y documentos
Documentos y firma digital

Documentos, contratos y constancias.
Module-comunicados
Comunicados

Comunicados internos.
Module-organigrama
Organigrama

Organigrama siempre actualizado.

Gestión de tiempo
Module-reloj-checador
Reloj checador digitalDestacado
Control de turnos y asistencias.
Module-vacaciones
Control de vacaciones
Automatiza vacaciones y solicitudes.
Plan-gestiona
Calendario
Eventos, recordatorios y tareas.
Module-addin
Add-In Management
Administra y asigna los turnos para la gestión de asistencia desde Excel.
Gestión del talento
Module-IA
Inteligencia ArtificialDestacado
Herramientas con funciones de IA para potenciar tus RRHH.
Module-people-analytics
Rotación predictiva
Dashboard de rotación impulsado por IA.
Module-reclutamiento
ReclutamientoActualizado
Centraliza tu proceso de reclutamiento.
Module-evaluaciones
Evaluaciones
Evaluaciones automatizadas.
Module-capacitaciones
Capacitaciones
Libera todo el potencial de tu equipo.
Module-beneficios
Beneficios
Otorga más y mejores beneficios.
Module-onboarding
OnboardingActualizado
Automatiza tu proceso de inducción.
Por industria

Manufactura

Logística

Retail

Tecnología

Servicios financieros

Servicios profesionales

Alimentos y bebidas

Mercadotecnia

Conoce nuestra app
google-play
app-store

Descubre todos los beneficios de usar Worky. Explora nuestra demo interactiva:

Ver demo interactiva
ISO blanco

 

Nómina
Por que Worky
¿Por qué elegir Worky Nómina?
Conoce por qué Worky Nómina es la mejor opción para tu empresa.
Module-nómina-3
Sistema de nóminaActualizado
Cálculos de nómina automatizados.
Module-PTU
Cálculo PTUActualizado
Calcula el PTU en tiempo y forma.
Timbrado
Timbrado Ilimitado
Automatiza el timbrado de tus recibos.
IDSE
Conexión IDSE
Envía movimientos afiliatorios al IMSS.
SUA
Exportación SUA
Exporta los archivos para SUA.
Calculadora finiquitos
Calculadora de finiquitoNuevo
Calcula y genera finiquitos.
Confronta IMSS
Confronta IMSSNuevo
Verifica la consistencia de los movimientos afiliatorios con el IMSS.
Confronta SAT
Confronta SATNuevo
Asegura la congruencia entre los CFDI de Nómina  los pagos realizados.
Poliza contable
Pólizas contablesNuevo
Automatiza la generación de pólizas contables.
Layout bancario
Layouts bancarios
Genera layouts para el pago de nómina.
Control Infonavit
Control INFONAVIT
Gestiona los créditos INFONATIV.
Más soluciones
Module-glosario
Glosario de nóminaNuevo
Glosario con términos de nómina.
Module-reportes-nomina
Reportes de nóminaNuevo
Genera reportes de nómina en segundos.
Module-prenómina
Prenómina
Reporte de prenómina en minutos.
Module-recibos
Recibos de Nómina
Dispersión de recibos de nómina.
Module-garantia-cero-multas
Garantía Cero Multas
Cálculos blindados y garantizados.
Maquila de Nómina
Module-maquila-nómina
Servicio de maquila
Nómina en piloto automático.
Module-asesoría
Asesoría fiscal
Gestión fiscal por expertos.

Descubre todos los beneficios de usar Worky Nómina. Explora nuestra demo interactiva:

Ver demo interactiva
Icon - usd-circle
Precios y Planes de Nómina
users
Precios y Planes de RR.HH.
calculator
Precios y Planes de Maquila
Casos de éxito
Ver todos los casos
Miniatura - Saljamex
Saljamex
Unificaron los esfuerzo del área de Talento Humano para hacer frente al crecimiento de la empresa.
Leer más
Miniatura - MSC
MSC (Mediterranean Shipping Company)
La mejor forma de optimizar tiempo y esfuerzo: procesos automáticos de RH y Nómina.
Leer más
Miniatura - Benetton
United Colors of Benetton
El capital humano importa: la nueva palanca de cambio en la industria retail.
Leer más
Conocimiento

Qué es Worky

Calcula tu RotaciónNuevo

Compara Worky

EventosRecomendado

Worky Blog

Centro de ayudaRecomendado

Descargables

Plantillas para
tu operación RH

Descargables: Conoce nuestra solución

Nosotros

Sobre nosotros

Distribuidores

¡Refiérenos y gana!

Política de seguridad de información

Podcast - menú
Escucha el Primer Podcast en México de Nómina y RRHH

Política de Seguridad de la Información

El presente documento sintetiza los principales compromisos y lineamientos de seguridad de la información que Worky mantiene para proteger los datos de sus clientes. Está dirigido a partes interesadas externas y complementa el documento Seguridad de la Información en Worky. Los controles descritos se enmarcan en el estándar ISO/IEC 27001.

TABLE OF CONTENTS
loading...

1. Objetivo

La alta dirección de Worky, entendiendo la importancia de una adecuada gestión de la información, se ha comprometido con la implementación de un Sistema de Gestión de Seguridad de la Información buscando establecer un marco de confianza en el ejercicio de sus servicios con sus clientes y proveedores, todo enmarcado en el cumplimiento de las leyes y en concordancia con la misión y visión de la entidad. En ese sentido, el presente documento tiene por objetivo establecer todos los lineamientos de seguridad aplicados por Worky para proteger sus activos y garantizar la confidencialidad, integridad y disponibilidad de su información, alineados a la misión, visión y valores de la organización.

2. Alcance

El SGSI de Worky abarca la protección de la información y aplicación de los controles relacionados con los datos de clientes gestionados a través de Worky. Este sistema incluye las actividades de desarrollo del SaaS, gestión del cliente, soporte técnico, facturación y cobranza.

3. Protección de datos personales

  • Cumplimiento con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (Mexico).

  • Métodos de enmascaramiento: cifrado, anulación de caracteres, variación de datos, sustitución y hashing.

  • Procedimiento de Anonimización cuando sea necesario desvincular datos del titular.

  • La seguridad se aplica de manera uniforme a toda la información, sin distinción de si contiene o no datos personales.

4. Clasificación y gestión de activos de información

  • Confidencial / Sensible: Mayor nivel de custodia; su afectación genera consecuencias graves.

  • Organizacional / Interna: Custodia moderada, de uso restringido al personal autorizado.

  • Pública: Sin restriccion de divulgación. Toda información sin etiquetado explícito se considera pública.

  • Inventario activo de activos con propietario asignado y revisión periódica.

5. Gestión de accesos y autenticación

  • Principio de mínimo privilegio: cada colaborador accede sólo a lo estrictamente necesario para su función.

  • Modelo Single Sign-On (SSO) con segundo factor de autenticación (2FA) obligatorio para todos.

  • Revisión de accesos y privilegios al menos cada 3 meses por el Área de Seguridad e Infraestructura.

  • Revocación inmediata de accesos al término de la relación laboral o contractual.

  • Contraseñas de mínimo 8 caracteres con mayúsculas, minúsculas, números y símbolos; gestionadas con gestor de contraseñas.

6. Cifrado y seguridad de datos

  • Toda comunicación cliente-plataforma cifrada con HTTPS TLS 1.3 y certificado de 2 048 bits.

  • Almacenamiento en nube bajo cifrado simétrico AES.

  • Firma de documentos digitales mediante DocuSign.

  • Acceso remoto a plataformas protegido via OpenVPN.

  • Correos electrónicos confidenciales cifrados con estándar OpenPGP.

7. Gestión de incidentes de seguridad

  • Canal de reporte disponible para clientes en: soporte@worky.mx, página de estatus y Help Center.

  • Clasificación de incidentes por severidad con tiempos de respuesta definidos.

  • Todos los incidentes son atendidos por el Área de Seguridad e Infraestructura.

  • Protocolos revisados y actualizados anualmente por el equipo de seguridad y el Comité de Datos.

  • Buzón anónimo de quejas y sugerencias disponible dentro de la Worky App.

8. Continuidad del negocio y recuperación ante desastres

  • Sistemas operando de forma redundante en al menos dos zonas de disponibilidad en GCP.

  • Respaldos de información en al menos dos regiones geográficas distintas.

  • Backups automáticos cada 24 horas con retención de logs de 3 años.

  • Datos de clientes respaldados por hasta 365 días tras el fin de la relación contractual; luego se destruyen de forma segura.

  • Planes de Continuidad (BCP) y Recuperación ante Desastres (DRP) documentados, probados y actualizados.

9. Cumplimiento y auditorias

  • Programa de seguridad alineado a ISO/IEC 27001; auditorías internas y externas regulares.

  • Pruebas de penetración tipo 'caja negra' al menos dos veces al año.

  • Ethical Hacking realizado al menos una vez al año.

  • Evaluaciones de riesgo formales al menos una vez al año o ante cambios significativos.

  • Gestión de vulnerabilidades con escaneos periódicos, priorización por criticidad y planes de remediación.

10. Lineamientos

10.1 Gestión con instituciones de seguridad de la información

(Controles A.5.5, A.5.6)

La gestión con instituciones de seguridad de la información tiene como objetivo establecer y mantener un contacto con organizaciones especializadas que puedan proporcionar apoyo para la implementación y mantenimiento del SGSI. Considerando los requisitos de las partes interesadas y las regulaciones aplicables, Worky mantiene contacto con las siguientes organizaciones para la comunicación y reporte de los incidentes de seguridad:

Organizaciones Contacto
Policía Cibernética (Ciudad de México) Teléfono: 55 5242 5100 Ext: 5086 Correo electrónico: ucontacto@ssc.cdmx.gob.mx
Unidad de Policía Cibernética de la Ciudad de México FGJ Teléfono: 52426418 Correo electrónico: gic@fgjcdmx.gob.mx

Para asegurar la concientización y el conocimiento de los colaboradores, la empresa también mantiene contacto con grupos de interés especial que les permite capacitarse y estar actualizados sobre las mejores prácticas, nuevas amenazas, alertas y/o vulnerabilidades de seguridad.

10.2 Gestión de protección de datos personales

(Controles A.5.34, A.8.11, A.8.12)

Worky comprende la importancia de la protección de datos personales y el cumplimiento de las normativas de seguridad aplicables al SGSI y, adicionalmente, se apega a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares vigente del Gobierno Federal de México. La seguridad implementada para la protección de datos de identificación personal es de manera general y consistente para toda la información de la empresa, sin distinción de la que contiene o no datos personales. Con lo anterior garantiza que se permee la integridad, confidencialidad y disponibilidad en los datos personales que gestiona. Además, Worky implementa los siguientes métodos de enmascaramiento de datos para garantizar su protección:

  • Cifrado.

  • Anulación o eliminación de caracteres.

  • Variación de números y fechas.

  • Sustitución (cambiar un valor por otro).

  • Sustitución de los valores por su hash.

En caso de que sea necesario eliminar el vínculo y asociación del titular con sus datos personales, se implementa el Procedimiento de Anonimización de Datos Personales definido por la organización. Todos los lineamientos establecidos en la presente política ayudan, en diferentes niveles, con la prevención de fuga de datos.

10.3 Gestión de los dispositivos móviles y el teletrabajo

(Controles A.6.7, A.8.1)

La gestión de los dispositivos móviles y el teletrabajo tiene como objetivo asegurar el buen uso por parte de los colaboradores o partes externas, de los activos y la información de la compañía que procesan.

Por lo que Worky establece las siguientes medidas de seguridad en relación a los dispositivos:

  • Contar con inicios de sesión seguros utilizando un usuario y contraseña robusta.

    • En casos de teléfonos móviles y tablets, se implementa el acceso por medio de huella, patrón, reconocimiento facial o algo similar.

  • Eliminar el software innecesario.

  • Actualizar el sistema operativo y aplicaciones de forma regular.

  • Mantener el antivirus y firewall encendido en todo momento.

  • Colocar todos los documentos y archivos en repositorios oficiales de la empresa para que estén respaldados y disponibles.

    • En la medida de lo posible, no se descargan archivos de manera local en los dispositivos. Y de hacerlo, éstos se eliminan una vez que ya no se necesiten.

  • Mantener el cifrado de disco encendido.

  • No usar un administrador de cuentas en el computador de uso diario.

  • Mantener un área de trabajo segura y sin información confidencial a la vista.

  • Generar copias de seguridad de manera periódica siguiendo los lineamientos establecidos en la Política de Tecnología y Operaciones de TI y en el Procedimiento de Gestión de Backups definidos por la empresa.

  • Limitar la conexión con redes públicas para realizar actividades de trabajo.

    • Cuando el uso de estas redes sea muy necesario, se debe utilizar una VPN.

  • Transmitir información sólo por medio de redes seguras y páginas web con protocolos HTTPS, y aplicar los lineamientos establecidos en la Política de Tratamiento de la Información definida por la empresa.

  • Habilitar el rastreo y borrado remoto para los posibles casos de robo o extravío.

    • Al ocurrir un robo o extravío, el colaborador debe informar de inmediato a su jefe directo y a las autoridades pertinentes.

  • En casos de urgencia donde surja la necesidad de utilizar equipos de terceros, se utiliza una sesión o ventana en modalidad “incógnito” para asegurar que no se puedan rastrear las direcciones web y que no se registre una trazabilidad de las claves o contraseñas utilizadas. Para los dispositivos propios de los colaboradores se deben implementar los lineamientos establecidos en la Política de BYOD definida por la empresa.

10.3.1 Consistencia con la clasificación de la información

Al trabajar de forma remota o en movimiento, los colaboradores y partes externas se aseguran que la información es manejada de manera coherente respecto a su clasificación asignada, y de acuerdo con lo establecido en esta política.

10.3.2 Lineamientos de seguridad sobre el entorno

Worky establece las siguientes medidas de seguridad para proteger sus activos de información en cualquier tipo de entorno:

  • Garantizar un nivel de privacidad adecuado y asegurar que personas externas no puedan ver documentos, archivos o pantallas en los que se pueda visualizar información confidencial.

  • Implementar los lineamientos establecidos en la Política de Escritorios Limpios definida por la empresa.

10.4 Gestión de los recursos humanos

(Controles A.5.11, A.6.1, A.6.4)

La gestión de los recursos humanos tiene como objetivo seleccionar a las personas más adecuadas, mantener e incluso reforzar sus competencias, conocimientos, habilidades y comportamientos éticos y garantizar la seguridad de la información de la empresa.
Para esto, Worky realiza las siguientes actividades:

  • Diseña e implementa un Procedimiento de Preselección y Selección de Personal que:

    • Valora el talento de las personas.

    • Respeta la igualdad de oportunidades y no promueven la discriminación de ningún tipo.

    • Asegura que la selección de personal se realiza con base en los criterios profesionales del candidato y alineados a las necesidades reales de la organización.

    • Cumple con la legislación laboral vigente.

    • Garantiza la confidencialidad y protección de los datos personales.

  • Realiza la investigación de los candidatos de acuerdo a las regulaciones aplicables para validar la información proporcionada en la solicitud de empleo, como lo puede ser:

    • Los datos de identificación de la persona.

    • Las referencias personales, familiares y laborales.

Y una vez seleccionados los candidatos adecuados, se diseña e implementa un Proceso de Contratación y Desvinculación de Personal que:

  • Asegura el establecimiento de los términos y condiciones de la relación laboral en el contrato acordado con el colaborador, incluyendo aquellos relacionados con las sanciones administrativas, la desvinculación y la devolución de todos los activos provistos por la compañía completando y firmando el Formato de Devolución de Equipos Gestionado a través del formulario en el sistema de gestión de tareas (ClickUp, Jira, Excel, etc.).

    • Puede ocurrir el caso en que personal interno o externo incurra en alguna desviación o incumplimiento de los lineamientos de seguridad establecidos por la empresa, lo cual será motivo de sanciones administrativas e incluso legales, las cuales quedan por escrito en los contratos celebrados. Esto involucra un proceso disciplinario que considera:

      • La identificación de la actividad o comportamiento inapropiado, o la violación de las políticas internas de la organización.

      • La investigación adecuada para determinar la causa y el impacto de lo ocurrido.

      • La definición de las acciones disciplinarias apropiadas a implementar, las cuales pueden incluir una advertencia verbal, por escrito, una suspensión temporal, una terminación del contrato, una acción legal o una combinación de estas medidas.

      • El registro y documentación de las acciones disciplinarias tomadas.

  • Formaliza un compromiso de confidencialidad y lealtad con el colaborador para proteger la información de la empresa.

  • Brinda la inducción y concientización pertinente a los colaboradores sobre sus responsabilidades de seguridad de la información y los riesgos asociados a sus funciones, así como también de la misión y visión de la empresa.

    • Para esto además implementa un programa anual de capacitación y concientización sobre seguridad de la información para todos los colaboradores, tanto internos como externos. Proporciona las políticas y procedimientos pertinentes que deben ser de conocimiento del colaborador para su lectura y comprensión.

  • Entrega anualmente la política de seguridad de la información a toda la empresa para su lectura y comprensión.

  • Gestiona los accesos y permisos pertinentes de acuerdo al puesto asignado, siguiendo los lineamientos establecidos en esta política y el Procedimiento de Gestión de Accesos definido por la empresa.

10.5 Gestión y clasificación de los activos de información

(Controles A.5.10, A.5.12, A.5.13, A.7.10, A.8.10)

Los activos de información de la empresa y los recursos que le dan soporte son identificados, inventariados y clasificados en función de los requerimientos del negocio y del programa de seguridad de la empresa.
Worky establece una adecuada gestión de sus activos y su clasificación, por medio de las siguientes acciones:

  • La identificación y mantenimiento de un inventario de activos de información que abarca todos los dispositivos y medios extraíbles utilizados para las actividades de la empresa, ya sean de su propiedad o de los colaboradores.

  • La asignación de propietarios de los activos de información.

  • La clasificación de la información en función a sus niveles de confidencialidad, integridad y disponibilidad.

  • El acceso, manejo y tratamiento adecuado de los activos de información acorde a su clasificación asignada.

Worky establece las siguientes categorías de clasificación:

  • Información confidencial o sensible: Es aquella con el mayor nivel de importancia y/o custodia dentro de la organización. Su afectación puede traer consecuencias graves al negocio.

  • Información organizacional o interna: Es aquella con un nivel de importancia y/o custodia moderada dentro de la organización.

  • Información pública: Es aquella con un nivel de importancia y/o custodia mínimo e incluso nulo dentro de la organización.

El proceso de alta, baja y devolución de activos tecnológicos debe iniciarse y documentarse mediante el formulario oficial alojado en el sistema de gestión de tareas (ClickUp, Jira, Excel, etc.), asegurando el registro de la cadena de custodia y el borrado seguro de la información.

10.5.1 Etiquetado de los activos de información

Worky etiqueta sus activos de información con base en su clasificación asignada para identificarlos fácil y rápidamente.

Los métodos para el etiquetado de la información que pueden ser utilizados por la empresa son:

  • Versionado, es decir indicando la clasificación de la información dentro del control de versiones que se encuentra en la documentación.

  • Marca de agua, incluyendo en la documentación un sello o leyenda que indique su clasificación.

  • Encabezado o pie de página, incluyendo en la parte superior o inferior dentro de la documentación la clasificación de la información correspondiente en todas las hojas que contenga.

  • Carpeta lógica, etiquetando una carpeta creada dentro de un equipo de cómputo o dispositivo con la clasificación de la información que tendrán todos los archivos depositados en ella.

Nota importante: Toda la información que no cuente con un etiquetado explícito será considerada como información pública.

10.5.2 Intercambio de información con partes externas

Worky implementa políticas, procedimientos y controles formales para proteger el intercambio de información a través de los distintos medios de comunicación y acorde con la clasificación de la información a intercambiar.

La empresa define los lineamientos del intercambio de información en su Política de Tratamiento de la Información.

10.5.3 Saneamiento / destrucción de activos y eliminación de información

Worky reconoce la necesidad de sanear, destruir o eliminar los activos y la información que ya no se consideren necesarios para la organización.

La información almacenada en sistemas de información, dispositivos o en cualquier otro medio de almacenamiento se elimina de forma segura por medio de:

  • Sobreescritura electrónica.

  • Borrado criptográfico.

  • Herramientas de borrado seguro que estén previamente autorizadas y configuradas correctamente.

  • Eliminación de versiones, copias y archivos temporales de todas las ubicaciones donde se encuentren.

Además, define los siguientes métodos de saneamiento y destrucción para garantizar que la reutilización o eliminación de activos y la información contenida en ellos sea segura:

Tipo de activo de información Saneamiento (o borrado seguro) Destrucción
Papel No aplica. No aplica; el equipo es reutilizado.
Dispositivos móviles

Borrar manualmente toda la información almacenada: contactos, SMS, etc.

 No aplica; el equipo es reutilizado.
Servidores

Eliminar la configuración de arreglo de discos, cuando aplique.

Formatear disco duro del servidor.

Si el servidor es rentado, se entrega al proveedor.

Si el servidor es propiedad de la empresa, (definir método de destrucción).
Equipo de cómputo

Sanear equipo de cómputo utilizando aplicativos de borrado seguro.

Desconfiguración de cuenta de correo y otros sistemas organizacionales.

Limpieza de exploradores (temporales, cookies, etcétera).

Desconfiguración de conexión de red.

 No aplica; el equipo es reutilizado.

10.6 Gestión de los riesgos de seguridad

(Cláusula 6)

La gestión de los riesgos de seguridad dentro de la organización tiene como objetivo facilitar la identificación y evaluación de los eventos potenciales que podrían provocar la pérdida, ya sea operativa o tecnológica, que afecten la confidencialidad, integridad y/o disponibilidad de la información.

Otro de sus objetivos es establecer y priorizar planes de tratamiento adecuados que minimicen el impacto de los riesgos dentro de las operaciones de la compañía.

Worky establece un proceso formal dentro de su Metodología de Gestión de Riesgos que contempla lo siguiente:

  • El alcance del proceso de gestión de riesgos y su necesidad de adaptación al contexto más actual de la empresa.

  • La implementación de métodos para la identificación y evaluación de los riesgos de seguridad de la información.

  • El análisis y decisión de los planes de tratamiento de riesgo.

  • La definición del umbral de tolerancia y los criterios de aceptación de los riesgos.

  • La evaluación y aceptación del nivel de riesgo residual.

  • La planificación y evaluación periódica de los riesgos, la cual se realiza por lo menos una vez al año o cuando ocurran cambios significativos dentro de la empresa.

Worky además garantiza que los riesgos de seguridad se abordan de manera efectiva en la gestión de proyectos y durante todo su ciclo de vida, considerando los siguientes aspectos:

  • La evaluación y tratamiento de los riesgos de seguridad de la información debe realizarse en una fase temprana del ciclo de vida del proyecto y con revisiones periódicas.

  • Se debe evaluar y monitorear el progreso y efectividad del tratamiento de los riesgos.

La matriz de riesgos 'viva' y su evaluación estratégica se mantienen y actualizan en la plataforma Hackmetrix. Por otro lado, la ejecución de los planes de tratamiento de riesgos (mitigación), así como la recolección de las evidencias técnicas de cumplimiento, se gestionan de manera operativa a través del sistema de gestión de tareas (ClickUp, Jira, Excel, etc.), garantizando que cada riesgo identificado tenga un responsable y un seguimiento auditable.

10.7 Gestión de los accesos

(Controles A.5.15, A.8.3, A.8.5)

La gestión de los accesos tiene como objetivo asignar y controlar los roles y permisos de los usuarios del personal o partes externas, utilizados para acceder a la información, sistemas o aplicaciones de la empresa.

Para esto, Worky establece los siguientes lineamientos:

  • Los colaboradores cuentan con un usuario único.

  • Las altas, bajas y modificaciones de usuarios y/o permisos se realizan siguiendo el Procedimiento de Gestión Accesos definido por la empresa.

    • Al dar de alta a un nuevo usuario se otorgan los accesos y permisos estrictamente necesarios para llevar a cabo sus tareas de trabajo y garantizar una adecuada segregación de funciones.

    • Ante un cambio de funciones se eliminan los accesos relacionados con la función anterior y se asignan los accesos necesarios para las nuevas responsabilidades. 

    • Al dar de baja a un usuario se eliminan o deshabilitan todos los accesos asociados a la persona.
  • Los privilegios de administrador de los sistemas de la empresa son restringidos solo a personal capacitado y previamente autorizado.
  • Los accesos son revisados periódicamente por lo menos una vez al año.
  • El registro de los roles y permisos otorgados dentro de la empresa se realiza dentro del módulo de Accesos de Hackmetrix, el cual se actualiza conforme a los cambios que van ocurriendo.
  • Las cuentas compartidas sólo están autorizadas cuando son necesarias por objetivos comerciales y/o operativos debidamente justificados.
  • El acceso a entidades externas debe ser previamente autorizado por el propietario de la información y/o del activo correspondiente, y la necesidad del acceso debe estar debidamente justificada y ser coherente con la clasificación de la información definida por la empresa.
  • La información almacenada en el entorno de nube puede estar sujeta al acceso y la gestión por parte del proveedor, por lo que para protegerla adecuadamente se debe solicitar la aprobación del acceso al CTO, en conjunto con el Comité de Seguridad de la Información.

10.8 Gestión de contraseñas e información de autenticación

(Control A.5.17)

La gestión de contraseñas e información de autenticación tiene como objetivo asegurar la protección de la información sensible de la empresa por medio de contraseñas robustas y siguiendo las mejores prácticas de la industria.

Para esto, Worky establece los siguientes lineamientos, los cuales deben ser aplicados tanto por usuarios normales como por usuarios privilegiados:

  • Está prohibido compartir información de autenticación o contraseñas, así como también el compartir credenciales en texto plano por medios no seguros.
  • Las contraseñas por defecto que proporciona el proveedor, o que son generadas automáticamente, son robustas y únicas para cada persona y se cambian desde el primer uso.
  • Las contraseñas son personales e intransferibles, y es responsabilidad del usuario hacer un buen uso de ellas.
  • No se utiliza la misma contraseña para más de un sistema o aplicación.
  • Las contraseñas tienen una longitud mínima de 8 caracteres y contienen minúsculas, mayúsculas, números y símbolos.
  • Todos los colaboradores utilizan un gestor de contraseñas.
  • Se configura el segundo factor de autenticación (2FA) para los siguientes sistemas y aplicaciones:
    • Gitlab
    • Slack
    • Google Account: Gmail, Drive, etc.
  • No se escriben ni resguardan PINs o contraseñas al lado de computadores, teléfonos, en libretas, notas, etcétera.

10.9 Gestión de la criptografía

(Control A.8.24)

La gestión de la criptografía tiene como objetivo proporcionar un nivel más alto de seguridad de la información para que ésta no pueda ser leída por personas no autorizadas.

Y para esto, Worky utiliza métodos criptográficos que protegen la confidencialidad e integridad de su información, no solo durante su almacenamiento, sino también durante su transferencia y recepción.

Estos métodos son aplicados en los siguientes elementos:

  • Credenciales de accesos.

  • Información compartida por medios no oficiales (archivos, correos electrónicos, etcétera).

  • Información y repositorios de backups.

  • Información interna restringida para la mayoría de los empleados.

  • Bases de datos.

  • Registros de usuarios.

  • Información de carácter personal.

Además, para ejecutar un protocolo de seguridad de criptografía eficiente, Worky considera lo siguiente:

  • El establecimiento y gestión de las claves públicas y privadas, lo cual se realiza siguiendo el Procedimiento de Gestión de Claves Públicas y Privadas definido por la empresa.

  • La autenticación de los usuarios.

  • La aplicación de cifrado de mensajes y métodos de no repudio.

La organización establece que los métodos criptográficos a implementar son:


Activo de información Método criptográfico Especificaciones
Firma de documentos digitales Firma electrónica DocuSign
Almacenamiento de información en la nube

Cifrado simétrico

 AES
Accesos a plataformas en trabajo remoto.

VPN

OpenVPN
Mensajería por correo electrónico confidencial

Cifrado asimétrico

 Estándar OpenPGP

10.10 Gestión de la seguridad física

(Controles físicos A.7)

La gestión de la seguridad física tiene como objetivo proteger adecuadamente las instalaciones de la empresa y sus activos de información.

Para esto, Worky implementa las siguientes medidas de seguridad:

  • Perímetro de seguridad física de las instalaciones y oficinas de la organización, considerando la protección contra amenazas externas y ambientales.
  • Las instalaciones y oficinas de la empresa cuentan con los señalamientos pertinentes de seguridad para identificar salidas de emergencia, rutas de evacuación, extintores, etcétera.
  • Las instalaciones y oficinas de la empresa son monitoreadas continuamente con herramientas como videovigilancia, guardias de seguridad y alarmas.
  • Controles de acceso físico que generan registros de las entradas y salidas de colaboradores y visitantes.
    • Estos registros contienen fecha, hora de entrada y de salida, y en caso de ser proveedores o visitantes, el motivo de visita.

10.11 Gestión de la tecnología y las operaciones

(Control A.5.37, A.8.6, A.8.7, A.8.8, A.8.13, A.8.15, A.8.17, A.8.19, A.8.31, A.8.32, A.8.34)

La gestión de la tecnología y las operaciones considera todos los procesos operativos con el objetivo de garantizar la implementación de la seguridad de la información en las operaciones y servicios del negocio.

Worky establece los lineamientos para estos procesos dentro de la Política de Tecnología y Operaciones de TI.

10.12 Gestión de la seguridad en los sistemas y aplicaciones

(Control A.8.7, A.8.9, A.8.23)

La gestión de la seguridad en los sistemas, aplicaciones, plataformas o cualquier otra herramienta usada por la empresa tiene como objetivo implementar y controlar la seguridad en todos los entornos que soportan los servicios y operaciones del negocio.

Y para esto, Worky implementa, configura y utiliza los siguientes sistemas:

La correcta instalación y configuración de los sistemas mencionados anteriormente abarcan los siguientes elementos:

  • Sistemas operativos.
  • Redes y dispositivos de red.
  • Estaciones de trabajo y dispositivos móviles.
  • Sistemas de almacenamiento.
  • Sistemas de virtualización.
  • Bases de datos.
  • Correo electrónico e internet.
  • Aplicaciones en general.
  • Aplicaciones web.
  • Soluciones de seguridad.
  • Sistemas, servicios y aplicaciones de nube.

Además, Worky implementa las medidas de hardening proporcionadas por los proveedores y las contenidas en la Documentación de Hardening de la organización.

Esto permite:

  • La detección de programas informáticos no autorizados.
  • La detección de sitios web maliciosos o sospechosos.
  • La reducción de explotación de vulnerabilidades técnicas.
  • La validación automatizada y periódica de los sistemas utilizados en los procesos críticos de la organización.
  • El escaneo de archivos, datos, descargas, páginas web, etcétera para validar que no sean maliciosos.

Los lineamientos que se aplican a nivel de sistema operativo y de aplicaciones se encuentran definidos en la Política de Seguridad por Capas de la empresa.

10.12.1 Filtrado web

Worky gestiona y restringe el acceso a todos sus colaboradores y personal externo que trabaje con activos y/o información de la organización de los siguientes tipos de sitios web para reducir y evitar la exposición a contenido malicioso:

  • Sitios que tienen una función de carga de información que no está autorizada por la organización.
    • La carga de información a sitios web debe estar justificada por razones comerciales válidas.
  • Sitios maliciosos conocidos o sospechosos que distribuyen malware o contenido de phishing.
  • Servidores de mando y control.
  • Sitios maliciosos identificados a partir de inteligencia de amenazas (ver sección 3.21 Gestión de la inteligencia de amenazas de seguridad).
  • Sitios web que comparten contenido ilegal.

La configuración y el robustecimiento técnico de todos los activos de información (servidores, contenedores, bases de datos y red) deben seguir estrictamente los lineamientos definidos en la Documentación de Hardening v2. El equipo de ITSM / DevOps es responsable de realizar verificaciones trimestrales de cumplimiento, cuya evidencia y logs de auditoría deben quedar registrados en el sistema de gestión de tareas (ClickUp, Jira, Excel, etc.)

10.13 Gestión de los registros de eventos (logs)

(Controles A.8.15, A.8.17)

La gestión de los registros de eventos también llamados logs, tiene como objetivo registrar y monitorear las actividades realizadas en los sistemas de información de la empresa para la detección de acciones inusuales o accesos no autorizados a tiempo que permitan la prevención de incidentes de seguridad.

Worky establece los lineamientos para esto en la Política de Gestión de Logs y aplica las acciones definidas en el Procedimiento de Gestión de Logs.

10.14 Gestión de las vulnerabilidades técnicas

(Control A.8.8)

La gestión de vulnerabilidades técnicas tiene como objetivo revisar constantemente los sistemas de información para identificar vulnerabilidades y posibles brechas de seguridad que puedan ser explotadas para perjudicar a la organización, y de esta manera dar solución a ellas en el modo y momento adecuado.

Dado esto, Worky establece lo siguiente:

  • Se realiza Ethical Hacking por lo menos una vez al año.
  • El Procedimiento de Gestión de Vulnerabilidades establecido por la empresa contempla:
    • La verificación periódica de la publicación de vulnerabilidades por parte de los fabricantes de tecnología.
    • La realización periódica de escaneos de vulnerabilidades.
    • La priorización de atención para las vulnerabilidades con respecto a su criticidad e impacto.
    • La definición de plazos para reaccionar y dar resolución a las vulnerabilidades técnicas reportadas o identificadas.
    • La generación de un plan de remediación con plazos establecidos y su seguimiento.
    • La validación de la remediación por medio de retest de vulnerabilidades.
  • Para mitigar la explotación de posibles vulnerabilidades se deben mantener los sistemas actualizados en sus últimas versiones, incluyendo la instalación de los parches pertinentes.
  • La instalación de software en dispositivos propiedad de la empresa debe limitarse a actualizaciones y parches de seguridad. No se permite la instalación de nuevo software para uso personal y cuya procedencia es desconocida o sin licencia.

10.15 Gestión de la seguridad en las redes

(Controles A.5.14, A.5.15, A.8.26)

La gestión de la seguridad en las redes tiene como objetivo proteger la información y el tráfico de datos transmitidos por redes internas o externas, y para ello Worky implementa las siguientes medidas:

  • Se restringen las conexiones con redes que no sean confiables.
  • Se segregan en distintas redes los servicios, usuarios y sistemas de información de la empresa.
  • El acceso público directo entre internet y los sistemas de la organización se realiza solo por medio de una VPN.
  • Se aplican medidas de seguridad para la protección de la información transferida por medio de la mensajería electrónica contra acceso no autorizado, asegurando el correcto direccionamiento, usando canales de comunicación seguros y garantizando la disponibilidad e integridad de la información.
  • Se documentan, comunican e implementan una Política de Tratamiento de la Información y un Procedimiento de Transferencia de Información por Medios Extraíbles para administrar los equipos de red, los medios extraíbles y las transferencias de información.
  • Se documenta, comunica e implementa una Política de Seguridad por Capas donde se establecen las medidas aplicadas a nivel de red.
  • Las transacciones en la página web de la organización se ejecutan de manera segura utilizando los protocolos de seguridad pertinentes.
    • Algunos de los protocolos aplicados son el uso de certificados, firma electrónica, autenticación de usuarios, protocolos de cifrado de comunicaciones entre las partes involucradas, etcétera.

10.16 Gestión del ciclo de vida del desarrollo

(Control A.8.31)

La gestión del ciclo de vida del desarrollo tiene como objetivo mantener un control adecuado de los cambios y adecuaciones, así como del mantenimiento e implementación de medidas de seguridad durante todas las fases que contempla el desarrollo de software.

Para esto, Worky aplica las siguientes acciones:

  • Se cuenta con una segregación de ambientes para el desarrollo, pruebas y producción con el fin de minimizar los riesgos latentes en los procesos de gestión de cambios. Además, se definen los requisitos para el paso entre cada uno de los ambientes y los derechos de usuario responsables de ello.
    • Para la ejecución de las pruebas, no se utilizan datos productivos de clientes.
  • Se documenta, comunica e implementa una Política de Desarrollo Seguro donde se establecen los lineamientos de seguridad pertinentes.
  • Se documenta, comunica e implementa una Metodología de Ciclo de Vida de Desarrollo donde se establecen todas las actividades y controles de seguridad realizados por la empresa durante el desarrollo.
  • Se documenta, comunica e implementa un Procedimiento de Gestión de Cambios Productivos donde se establece el proceso formal para el control de los cambios aplicados en los pasos a producción.
    • Los lineamientos establecidos para la gestión de cambios productivos se encuentran dentro de la Política de Tecnología y Operaciones de TI.

10.17 Gestión de las relaciones con los proveedores

(Controles A.5.19, A.5.20, A.5.22, A.5.23)

La gestión de las relaciones con los proveedores tiene como objetivo asegurar un nivel apropiado de calidad y seguridad en los servicios y/o productos obtenidos por partes externas, así como garantizar la seguridad de los activos e información de la empresa a los que tienen acceso.

Para esto, Worky implementa las siguientes medidas:

  • Se mantiene una lista de los proveedores de la empresa y se realiza una evaluación anual de sus servicios, la cual se documenta en la Matriz de Evaluación de Proveedores.
    • Esta evaluación proporciona información relevante para la toma de decisiones sobre la contratación y/o renovación de proveedores, y para las evaluaciones de riesgo de la organización.
  • Se cuenta con un contrato por escrito con cada proveedor, el cual incluye sus responsabilidades asociadas a la seguridad de la información y acuerdos de confidencialidad y el compromiso de cumplir con las políticas de seguridad de la información de Worky .
  • El contrato también define los acuerdos de niveles de servicio, las responsabilidades legales y derechos de propiedad intelectual vigentes, y las regulaciones de protección de la información de carácter personal.
  • Se definen los requerimientos mínimos de seguridad para proteger la información según su clasificación asignada, y el tipo de acceso y permisos a otorgar con base en las necesidades del proveedor y del negocio.
  • Se le comunican las políticas y procedimientos operativos aplicables al proveedor para cumplir con todos los requisitos de seguridad establecidos por la empresa.
  • Se gestiona adecuadamente la comunicación y el impacto de los posibles cambios que puedan presentarse en los contratos con proveedores, en sus servicios o cualquier aspecto dentro de la organización que afecte directa o indirectamente la relación con ellos.
  • Se solicita al proveedor la comunicación y propagación de los requisitos de seguridad de Worky a lo largo de la cadena de suministro, en caso de que subcontraten y/o adquieran productos y/o servicios de otras partes externas para la prestación de su propio servicio.
  • Se solicita al proveedor información relacionada a seguridad, configuraciones y buenas prácticas para el uso correcto de su producto y/o servicio.

10.17.1 Servicios de nube

Además de los lineamientos previamente establecidos para la gestión de las relaciones con los proveedores, que también aplican a los proveedores de servicios en la nube, Worky establece los siguientes criterios para implementar adecuadamente la seguridad en los servicios de la nube.

Criterios generales
  • El uso de servicios en la nube debe ser exclusivo para el cumplimiento de las funciones laborales de cada colaborador.
    • No está autorizado el uso de servicios en la nube para fines personales.
  • Está prohibido el uso de los servicios de correo electrónico y almacenamiento en la nube con fines personales que no tengan que ver con la empresa.
    • Se debe tener activado el filtro antispam para asegurar que los correos maliciosos son identificados y que no lleguen a la bandeja de entrada, así como también se debe instalar una tecnología de cifrado y firma digital para proteger la información confidencial y asegurar la autenticidad de la empresa como remitente en los correos electrónicos.
  • Se debe verificar y dar mantenimiento a las redes creadas sobre la infraestructura del proveedor de servicios de nube.
  • Se debe realizar monitoreo a los logs de transferencia de datos hacia la nube.
  • Los procesos no deben ejecutarse en una nube virtualizada de alguno de los múltiples inquilinos de los servicios de la empresa.
  • Si se requiere el almacenamiento de información clasificada como reservada, sensible o confidencial y/o información de carácter personal, ésta debe permanecer cifrada para evitar su divulgación o acceso no autorizados.
  • Al contratar servicios en la nube se debe validar la protección de los datos en tránsito, incluyendo:
    • Los datos que se mueven desde la infraestructura tradicional a los proveedores de nube, incluyendo público/privado, interior/exterior y otras combinaciones.
    • Los datos que migran entre los proveedores de nube.
    • Los datos que se mueven entre instancias (u otros componentes) en una nube determinada.

Criterios relacionados a los riesgos de seguridad
  • En los procesos de contratación y uso de servicios en la nube se deben identificar, evaluar y gestionar los riesgos de seguridad asociados al tratamiento de información, acceso a información personal, riesgos legales, técnicos, de continuidad y todos los asociados a la transmisión de información por medio de la nube.
  • Al contratar servicios de nube se deben contemplar y tratar los riesgos de pérdida de continuidad, disponibilidad e integridad por fallas en las plataformas para generar los procesos de recuperación correspondientes.
  • No se deben utilizar servicios en la nube cuyo análisis de riesgo indique niveles no tolerables para la organización.
    • Los resultados del análisis y evaluación de riesgos son determinantes para aceptar o rechazar el uso de servicios en la nube, ya sean de pago o gratuitos.

Criterios relacionados a las capacidades, respaldos y gestión de cambios
  • Los servicios de nube deben cumplir con los lineamientos de capacidad, respaldos y gestión de cambios establecidos en la Política de Tecnología y Operaciones de TI de la empresa.
  • Los servicios de nube deben ser incluidos en el Procedimiento de Gestión de Backups, y Procedimiento de Gestión de Cambios Productivos establecidos por la empresa para que cumplan con todos los requisitos de seguridad pertinentes.
  • Los cambios deben aprobarse siguiendo el Procedimiento de Gestión de Cambios Productivos y con la utilización de sandbox y pistas de lanzamiento.
  • La empresa recibe notificaciones sobre los cambios sustanciales que el proveedor realiza y que afecten al cliente en la forma en que se entrega el servicio.

10.18 Gestión de incidentes de seguridad

(Control A.5.24)

La gestión de incidentes de seguridad tiene como objetivo llevar un adecuado análisis, registro y tratamiento de los incidentes de seguridad que puedan afectar las operaciones o servicios de la compañía.

Para esto, Worky define los siguientes lineamientos:

  • Todos los colaboradores, clientes y proveedores deben reportar a la organización la identificación de posibles incidentes de seguridad y la ocurrencia de ellos.
  • Se deben analizar, definir y registrar soluciones para todo incidente de seguridad reportado o detectado, siguiendo el Procedimiento de Gestión de Incidentes de Seguridad establecido por la empresa.
  • Se deben asignar a los responsables más adecuados para atender y resolver los incidentes de seguridad y otras posibles vulnerabilidades detectadas.
  • Se debe registrar toda la información relevante sobre los incidentes de seguridad, incluyendo su impacto, frecuencia y forma de resolución aplicada.
    • Esto tiene como objetivo recolectar datos sobre su comportamiento y crear una base de conocimiento a la que se pueda consultar ante la ocurrencia de eventos similares en el futuro.

Adicionalmente, la organización habilita un canal de comunicación por medio de Worky App (Buzón de Quejas y Sugerencias) para denunciar de manera anónima cualquier violación a las políticas de seguridad de la organización, o cualquier anomalía que pueda generar un incidente de seguridad.

10.19 Gestión de la continuidad del negocio

(Control A.5.29)

La gestión de la continuidad del negocio tiene como objetivo asegurar que las operaciones de la empresa se mantengan funcionando adecuadamente aún durante eventos de crisis o de desastre.

Para esto, Worky define los siguientes lineamientos:

  • La documentación, comunicación e implementación de planes de continuidad y recuperación ante desastres que garanticen la restauración de los servicios o elementos interrumpidos por eventos inesperados, y su correcto funcionamiento una vez levantados.
  • La asignación de los responsables adecuados, con el conocimiento y capacitación pertinentes para la ejecución adecuada de los planes definidos por la empresa.
  • El aseguramiento de los recursos necesarios para la ejecución adecuada de los planes ante un evento inesperado.
  • El mantenimiento de los planes, considerando la aplicación de pruebas y la mejora continua, siguiendo los lineamientos establecidos en el Plan de Recuperación ante Desastres y el Plan de Continuidad definidos por la empresa.

10.20 Gestión del cumplimiento

(Control A.5.31)

La gestión del cumplimiento tiene como objetivo mantener a la empresa alineada a las diferentes regulaciones y normativas a las que está sujeta.

Para esto, Worky realiza lo siguiente:

  • Identifica y documenta los requisitos, regulaciones y normativas aplicables al giro de negocio y a la empresa en general dentro de la Matriz de Evaluación de Requisitos Legales y Contractuales.
  • Verifica que los acuerdos con los colaboradores, clientes y proveedores cumplan con las pautas de las regulaciones aplicables, así como también que se identifiquen los riesgos de seguridad de la información derivados del servicio prestado o asociados a la relación con cada una de estas partes.
  • Establece las políticas y procedimientos necesarios para adherirse a los requisitos regulatorios y normativos.
  • Realiza revisiones de cumplimiento y auditorías internas del SGSI de manera anual.

La ejecución, seguimiento y recolección de evidencias de todos los controles de seguridad descritos en esta política se centralizan a través del sistema de gestión de tareas (ClickUp, Jira, Excel, etc.). El uso de los formularios y flujos de trabajo en dicha plataforma es de carácter obligatorio para todo el personal responsable, garantizando la trazabilidad y auditabilidad de los procesos institucionales ante revisiones internas y externas

10.21 Gestión de la inteligencia de amenazas de seguridad

(Control A.5.7)

Worky implementa la inteligencia de amenazas para la examinación y análisis de datos e información relevante sobre posibles nuevas amenazas y vulnerabilidades, lo cual aporta valor en la toma de decisiones sobre el control de ellas, saber cómo prevenirlas, detectarlas y remediarlas.

Esto se realiza siguiendo el Procedimiento de Gestión de Inteligencia de Amenazas establecido por la organización, y tiene los siguientes objetivos:

  • Mejora de procesos internos.
  • Implementación de una gestión de riesgos de seguridad más eficiente que genere decisiones más sólidas e informadas.
  • Mayor comprensión de los puntos débiles de la organización que permita la priorización adecuada de las decisiones a tomar.
  • Amplio conocimiento en las amenazas que apoye la proactividad y la aplicación de medidas preventivas que impidan la ocurrencia de un ciberataque.

La información obtenida como resultado de la inteligencia de amenazas debe ser compartida en un formato comprensible a todas las personas pertinentes, partes interesadas e incluso con otras organizaciones para mejorar los procesos y sus resultados.

Fecha de última actualización: Febrero 2026
Versión 1.0

Para mayor detalle sobre la arquitectura de seguridad de Worky, consulte el documento Seguridad de la Información en Worky. Consultas adicionales: soporte@worky.mx