1. Política General de Gestión de Riesgos

POLÍTICA GENERAL DE GESTIÓN DE RIESGOS

1.1 Propósito y Alcance

Esta política establece el marco simplificado para la gestión integral de riesgos en TTPSEC SPA, considerando nuestra naturaleza de microempresa especializada en ciberseguridad, asegurando protección de activos y continuidad operativa conforme a ISO 31000:2018.

ESTRUCTURA ORGANIZACIONAL TTPSEC SPA

Gerencia General: Aprueba políticas, apetito de riesgo y decisiones de aceptación de riesgos mayores
Líder de Seguridad IT/OT: Ejecuta metodología, lidera evaluación de riesgos y propone controles
Consultores Senior y Arquitecto de Ciberseguridad: Participan en identificación de riesgos y análisis técnico
Todos los colaboradores: Reportan riesgos, anomalías o condiciones inseguras

1.2 Estructura de Gobierno de Riesgos (Adaptada a Microempresa)

1.2.1 Gerencia General

Responsabilidades:

• Aprobar la política de riesgos y definir el apetito de riesgo empresarial

• Tomar decisiones sobre aceptación de riesgos mayores (>UF 500)

• Asignar recursos para tratamiento de riesgos críticos

• Revisar mensualmente el registro de riesgos principales

1.2.2 Líder de Seguridad IT/OT

Responsabilidades:

• Ejecutar la metodología de gestión de riesgos

• Liderar el proceso de evaluación trimestral de riesgos

• Proponer controles y medidas de mitigación específicas

• Mantener actualizado el registro maestro de riesgos

• Coordinar con equipo técnico la implementación de controles

1.2.3 Consultores Senior y Arquitecto de Ciberseguridad

Responsabilidades:

• Participar activamente en identificación de riesgos técnicos

• Realizar análisis técnico especializado de vulnerabilidades

• Proponer soluciones tecnológicas para mitigación de riesgos

• Contribuir con experiencia en evaluación de riesgos de clientes

1.2.4 Todos los Colaboradores

Responsabilidades:

• Reportar inmediatamente riesgos, anomalías o condiciones inseguras

• Participar en evaluaciones de riesgo cuando sea requerido

• Cumplir con controles y procedimientos establecidos

• Sugerir mejoras basadas en experiencia operativa

1.3 Categorías de Riesgo Priorizadas para Microempresa

1.3.1 Riesgos de Negocio (Críticos)

• Pérdida de clientes clave: Clientes que representen >20% de ingresos anuales

• Competencia desleal: Copia de metodologías o robo de información comercial

• Reputación: Incidentes que afecten prestigio en el mercado de ciberseguridad

• Dependencia de personal clave: Salida inesperada de especialistas críticos

1.3.2 Riesgos Operacionales (Altos)

• Fallas tecnológicas: Caída de sistemas críticos de trabajo o clientes

• Proveedores críticos: Interrupción de servicios de proveedores únicos

• Capacidad operativa: Sobrecarga de trabajo que comprometa calidad

• Errores en servicios: Fallas en consultoría que generen responsabilidad

1.3.3 Riesgos de Cumplimiento (Altos)

• Protección de datos: Incumplimiento Ley 21.719 con datos de clientes

• Confidencialidad: Filtración de información sensible de clientes

• Contratos: Incumplimiento de SLAs o acuerdos de confidencialidad

• Responsabilidad profesional: Errores que generen daños a clientes

1.3.4 Riesgos Financieros (Medios)

• Flujo de caja: Concentración de cobros en pocos clientes

• Morosidad: Retrasos en pagos que afecten liquidez

• Costos operativos: Incrementos no planificados en gastos fijos

• Inversiones tecnológicas: ROI negativo en herramientas especializadas

1.4 Metodología Simplificada de Evaluación

1.4.1 Matriz de Probabilidad e Impacto (Adaptada)

Probabilidad Anual:

• Muy Baja (1): < 10%

• Baja (2): 10-25%

• Media (3): 25-50%

• Alta (4): 50-75%

• Muy Alta (5): > 75%

Impacto Financiero:

• Menor (1): < UF 50 ($1.8M)

• Bajo (2): UF 50-150 ($1.8M-$5.3M)

• Medio (3): UF 150-500 ($5.3M-$17.5M)

• Alto (4): UF 500-1.500 ($17.5M-$52.5M)

• Crítico (5): > UF 1.500 ($52.5M)

1.4.2 Niveles de Riesgo y Respuesta

• Riesgo Bajo (1-6): Monitoreo mensual, sin acciones adicionales

• Riesgo Medio (8-12): Controles básicos, revisión trimestral

• Riesgo Alto (15-20): Plan de mitigación inmediato, seguimiento semanal

• Riesgo Crítico (25): Acción ejecutiva inmediata, escalamiento a Gerencia

1.5 Proceso de Gestión de Riesgos (Trimestral)

1.5.1 Identificación (Semana 1)

• Líder de Seguridad IT/OT: Convoca reunión trimestral de riesgos

• Equipo técnico: Identifica riesgos emergentes en proyectos activos

• Gerencia General: Aporta riesgos estratégicos y de negocio

• Resultado: Lista actualizada de riesgos identificados

1.5.2 Evaluación (Semana 2)

• Análisis técnico: Consultores evalúan probabilidad e impacto

• Priorización: Aplicación de matriz de riesgo simplificada

• Categorización: Clasificación por nivel de criticidad

• Resultado: Registro de riesgos priorizado

1.5.3 Tratamiento (Semana 3-4)

• Riesgos Críticos/Altos: Plan de acción inmediato

• Riesgos Medios: Controles preventivos y de monitoreo

• Riesgos Bajos: Aceptación con seguimiento

• Resultado: Plan de tratamiento aprobado por Gerencia

1.6 Indicadores de Riesgo Clave (KRI)

1.6.1 Indicadores de Negocio

• Concentración de clientes: % ingresos del cliente principal

• Rotación de personal: Salidas anuales de personal técnico clave

• Satisfacción del cliente: Score NPS promedio

• Incidentes de seguridad: Número mensual de incidentes reportados

1.6.2 Indicadores Operacionales

• Disponibilidad de sistemas: % uptime de sistemas críticos

• Tiempo de respuesta: Promedio de atención a incidentes críticos

• Sobrecarga laboral: Horas extras promedio por colaborador

• Errores en servicios: Número de retrabajos por proyecto

1.6.3 Indicadores de Cumplimiento

• Cumplimiento de SLA: % de acuerdos cumplidos en tiempo

• Incidentes de confidencialidad: Casos reportados mensualmente

• Auditorías exitosas: % de auditorías aprobadas sin observaciones

• Capacitación: % de personal capacitado en temas críticos

2. CÓDIGO DE ÉTICA Y CONDUCTA

2.1 Propósito para Microempresa Especializada

Este código establece los principios éticos fundamentales para TTPSEC SPA, considerando que como microempresa de ciberseguridad, nuestra reputación profesional y la confianza de nuestros clientes son nuestros activos más valiosos.

2.2 Valores Corporativos Fundamentales

2.2.1 Integridad Técnica y Profesional

• Competencia técnica: Mantenemos el más alto nivel de especialización en ciberseguridad

• Honestidad en servicios: Comunicamos limitaciones y riesgos de manera transparente

• Mejora continua: Invertimos constantemente en actualización técnica

• Responsabilidad profesional: Asumimos completamente las consecuencias de nuestro trabajo

2.2.2 Confidencialidad Absoluta

• Secreto profesional: Protegemos información sensible de clientes como si fuera propia

• Segregación de información: Mantenemos estricta separación entre proyectos de clientes

• Ciclo de vida de datos: Aseguramos protección desde captura hasta destrucción

• Acceso mínimo necesario: Solo accedemos a información requerida para el servicio

2.2.3 Transparencia y Comunicación

• Comunicación clara: Explicamos hallazgos técnicos en lenguaje comprensible

• Alertas tempranas: Reportamos riesgos críticos inmediatamente

• Documentación completa: Mantenemos registros detallados de todas las actividades

• Feedback constructivo: Proporcionamos recomendaciones prácticas y viables

2.3 Normas Específicas para Servicios de Ciberseguridad

2.3.1 Manejo de Información Sensible

Durante Evaluaciones y Auditorías:

• Acceso solo a sistemas y datos estrictamente necesarios

• Uso de cuentas de acceso temporal con monitoreo

• Documentación de todos los accesos realizados

• Eliminación segura de datos temporales post-proyecto

En Análisis Forense:

• Cadena de custodia estricta para evidencia digital

• Uso de herramientas certificadas y metodologías reconocidas

• Respaldo encriptado de evidencia con doble autenticación

• Reporte imparcial de hallazgos sin sesgo del cliente

2.3.2 Conflictos de Interés en Ciberseguridad

Situaciones Prohibidas:

• Trabajar simultáneamente para clientes competidores directos

• Utilizar vulnerabilidades descubiertas para beneficio personal

• Ofrecer servicios de "hacking ético" y "protección" al mismo cliente

• Mantener herramientas o exploits sin reportar a clientes afectados

Gestión de Conflictos:

• Declaración previa de relaciones comerciales existentes

• Evaluación caso a caso de compatibilidad de clientes

• Implementación de "chinese walls" cuando sea posible

• Transparencia total con clientes sobre limitaciones

2.3.3 Uso de Herramientas y Técnicas

Herramientas de Penetration Testing:

• Uso exclusivo en entornos autorizados por escrito

• Limitación de alcance según contrato específico

• Prohibición de uso para fines personales o no autorizados

• Actualización constante con parches de seguridad

Técnicas de Ingeniería Social:

• Solo en contexto de evaluaciones autorizadas

• Límites claros sobre información personal utilizable

• Prohibición de causar daño psicológico o reputacional

• Reporte detallado de técnicas utilizadas y efectividad

2.4 Responsabilidades del Equipo Técnico

2.4.1 Líder de Seguridad IT/OT

• Asegurar cumplimiento de estándares éticos en todos los proyectos

• Aprobar metodologías y herramientas utilizadas en evaluaciones

• Supervisar manejo adecuado de información sensible

• Ser punto de contacto para dilemas éticos complejos

2.4.2 Consultores Senior y Arquitecto

• Modelar comportamiento ético en interacción con clientes

• Reportar inmediatamente cualquier solicitud inapropiada de clientes

• Mantener actualización en mejores prácticas éticas del sector

• Mentoría ética a consultores junior

2.4.3 Todos los Colaboradores

• Cumplir protocolos de confidencialidad en todo momento

• Reportar presiones indebidas o solicitudes inapropiadas

• Mantener separación clara entre trabajo personal y corporativo

• Participar activamente en capacitaciones éticas

2.5 Canal de Consultas Éticas (Adaptado a Microempresa)

2.5.1 Estructura Simplificada

• Primera instancia: Líder de Seguridad IT/OT

• Segunda instancia: Gerencia General

• Consultas anónimas: Email denuncias(@)ttpsec.com

• Situaciones complejas: Asesor legal externo

2.5.2 Proceso de Resolución

1. Recepción: Confirmación de recibo en 24 horas

2. Evaluación: Análisis conjunto Líder-Gerencia en 72 horas

3. Consulta externa: Si es necesario, consulta legal especializada

4. Resolución: Comunicación de decisión en máximo 7 días

5. Seguimiento: Verificación de implementación de solución

3.1 Marco Aplicable a Microempresa de Ciberseguridad

Como microempresa especializada, enfrentamos riesgos específicos de corrupción relacionados con acceso privilegiado a información sensible y la naturaleza confidencial de nuestros servicios. Esta política asegura cumplimiento de Ley N° 20.393 y protege nuestra reputación profesional.

3.2 Riesgos Específicos del Sector

3.2.1 Riesgos de Corrupción en Ciberseguridad

• Información privilegiada: Acceso a vulnerabilidades no divulgadas

• Chantaje técnico: Uso de hallazgos para presionar clientes

• Competencia desleal: Uso de información de un cliente contra otro

• Soborno por silencio: Pagos para no reportar vulnerabilidades críticas

3.2.2 Situaciones de Alto Riesgo

• Evaluaciones en empresas competidoras o relacionadas

• Auditorías forenses con implicaciones legales

• Consultorías en procesos de due diligence tecnológico

• Servicios a entidades gubernamentales o reguladas

3.3 Prohibiciones Específicas para TTPSEC

3.3.1 Prohibiciones Absolutas

En Servicios Técnicos:

• Solicitar pagos adicionales por "no reportar" vulnerabilidades críticas

• Ofrecer información sobre vulnerabilidades de un cliente a sus competidores

• Utilizar accesos técnicos para obtener información comercial sensible

• Modificar o manipular evidencia forense por presión de clientes

En Relaciones Comerciales:

• Aceptar regalos superiores a UF 1 de clientes o proveedores

• Participar en licitaciones con información privilegiada

• Ofrecer servicios gratuitos a cambio de referencias comerciales específicas

• Establecer sociedades con clientes sin transparencia total

3.3.2 Gestión de Regalos y Atenciones (Simplificada)

Permitido sin autorización:

• Artículos promocionales (< UF 0.3)

• Comidas de trabajo rutinarias

• Material técnico de capacitación

Requiere autorización de Gerencia General:

• Regalos entre UF 0.3 y UF 1

• Invitaciones a eventos del sector

• Cursos de capacitación pagados por terceros

Prohibido absolutamente:

• Regalos > UF 1

• Viajes personales pagados por clientes

• Beneficios para familiares directos

3.4 Gestión de Conflictos de Interés

3.4.1 Identificación de Conflictos Potenciales

Situaciones que Requieren Evaluación:

• Cliente que es también proveedor de servicios tecnológicos

• Evaluación de seguridad en empresa donde tenemos inversiones

• Consultoría a empresa competidora de cliente existente

• Servicios a empresa con vínculos familiares del equipo

3.4.2 Proceso de Declaración (Simplificado)

1. Identificación: Cualquier colaborador identifica conflicto potencial

2. Comunicación: Reporte inmediato a Líder de Seguridad IT/OT

3. Evaluación: Análisis conjunto con Gerencia General

4. Decisión: Aceptación, mitigación o rechazo del trabajo

5. Documentación: Registro en archivo de conflictos de interés

3.4.3 Medidas de Mitigación Práticas

• Equipos segregados: Asignación de personal diferente por cliente

• Información compartimentada: Acceso limitado según proyecto específico

• Supervisión reforzada: Revisión adicional de entregas y procesos

• Transparencia total: Divulgación completa a clientes afectados

3.5 Procedimientos de Control (Adaptados a Microempresa)

3.5.1 Controles Preventivos

Evaluación de Clientes:

• Verificación de antecedentes básicos (DICOM, SII)

• Consulta en registros públicos de sanciones

• Evaluación de reputación en el sector

• Validación de capacidad de pago

Contratos y Acuerdos:

• Cláusulas anticorrupción estándar en todos los contratos

• Límites claros de alcance para evitar sobornos implícitos

• Procedimientos de escalamiento para cambios de alcance

• Términos de confidencialidad bidireccionales

3.5.2 Monitoreo Continuo

Indicadores de Alerta:

• Solicitudes de modificar reportes de seguridad

• Presión para acelerar procesos sin justificación técnica

• Ofertas de pagos o beneficios no contractuales

• Pedidos de información sobre otros clientes

Revisiones Periódicas:

• Evaluación mensual de cumplimiento por Líder de Seguridad

• Revisión trimestral de casos limítrofes con Gerencia

• Auditoría anual de procedimientos anticorrupción

• Capacitación semestral del equipo completo

3.6 Relaciones con Sector Público

3.6.1 Principios para Entidades Gubernamentales

• Transparencia total: Todos los procesos documentados y auditables

• Igualdad de trato: Mismos estándares que clientes privados

• Prohibición de facilitation payments: No pagos para acelerar trámites

• Comunicación formal: Toda interacción por canales oficiales

3.6.2 Procedimientos Específicos

• Licitaciones públicas: Participación solo con propuestas técnicas sólidas

• Reuniones oficiales: Siempre con agenda y registro de acuerdos

• Regalos corporativos: Solo material técnico de valor mínimo

• Reportes de resultados: Entrega directa a autoridades sin intermediarios

4.1 Marco de Cumplimiento para Microempresa Especializada

TTPSEC SPA, como microempresa de ciberseguridad, debe cumplir múltiples normativas específicas del sector tecnológico y de protección de datos, además de obligaciones generales empresariales.

4.2 Responsable de Cumplimiento (Función Combinada)

4.2.1 Líder de Seguridad IT/OT como Compliance Officer

Responsabilidades Adicionales:

• Monitoreo de cambios normativos relevantes al sector

• Coordinación de implementación de nuevos requerimientos

• Capacitación del equipo en aspectos de cumplimiento

• Reporte mensual a Gerencia sobre estado de cumplimiento

Recursos y Herramientas:

• Suscripción a alertas normativas especializadas

• Acceso a asesoría legal externa especializada

• Participación en asociaciones del sector tecnológico

• Software de gestión de cumplimiento básico

4.3 Normativas Críticas para TTPSEC

4.3.1 Protección de Datos Personales (Ley 21.719)

Implementación Específica:

• Registro de Actividades: Base de datos de todos los tratamientos de datos

• Evaluaciones de Impacto: Para servicios de auditoría y forense

• Procedimientos ARCO: Atención de derechos de titulares en 15 días

• Notificación de Brechas: Protocolo de 72 horas a autoridad

• Transferencias Internacionales: Validación de adecuación de países destino

Controles Operativos:

• Minimización de datos: Solo capturar información necesaria para el servicio

• Propósito específico: Uso de datos solo para fines declarados al cliente

• Retención limitada: Eliminación automática según cronograma acordado

• Seguridad técnica: Encriptación estándar y acceso autenticado

4.3.2 Responsabilidad Penal Empresarial (Ley 20.393)

Modelo de Prevención Simplificado:

• Oficial de Cumplimiento: Líder de Seguridad IT/OT con funciones específicas

• Procedimientos de Control: Protocolo anticorrupción y conflictos de interés

• Supervisión y Control: Revisión mensual de transacciones y relaciones

• Denuncia y Investigación: Canal directo a Gerencia General

Delitos Aplicables Monitoreados:

• Soborno a funcionarios públicos en licitaciones

• Lavado de activos en pagos de clientes

• Financiamiento del terrorismo (clientes internacionales)

• Receptación de información obtenida ilícitamente

4.3.3 Normativas Laborales Específicas

Teletrabajo y Trabajo Remoto:

• Acuerdos formales de teletrabajo con cláusulas de confidencialidad

• Provisión de equipos seguros con configuración corporativa

• Monitoreo de cumplimiento de jornada laboral

• Cobertura de riesgos profesionales en trabajo remoto

Confidencialidad y Secreto Profesional:

• Acuerdos de confidencialidad individuales reforzados

• Cláusulas post-empleo de no competencia (6 meses)

• Protección especial para información de clientes estratégicos

• Capacitación específica en manejo de información sensible

4.3.4 Regulaciones Sectoriales Tecnológicas

Criptografía y Herramientas de Seguridad:

• Cumplimiento de restricciones de exportación de tecnología

• Uso de algoritmos criptográficos aprobados por estándares

• Licenciamiento adecuado de herramientas de pentesting

• Registro de herramientas utilizadas en auditorías

Servicios Transfronterizos:

• Validación de regulaciones locales en países de clientes

• Cumplimiento de transfer pricing para servicios internacionales

• Declaración de servicios exportados ante autoridades

• Cobertura de seguros para responsabilidad profesional internacional

4.4 Procedimientos de Monitoreo (Simplificados)

4.4.1 Cronograma de Revisiones

Mensual (Líder de Seguridad IT/OT):

• Verificación de cumplimiento de plazos legales

• Revisión de nuevas regulaciones aplicables

• Validación de procedimientos de protección de datos

• Reporte de excepciones a Gerencia General

Trimestral (Gerencia General):

• Evaluación integral de cumplimiento normativo

• Revisión de efectividad de controles implementados

• Análisis de casos limítrofes o complejos

• Aprobación de ajustes a procedimientos

Semestral (Con Asesor Externo):

• Auditoría externa de cumplimiento legal

• Validación de interpretación de normativas complejas

• Revisión de cambios normativos significativos

• Actualización de políticas y procedimientos

4.4.2 Indicadores de Cumplimiento

KPIs Críticos:

• Tiempo promedio de respuesta a solicitudes ARCO

• Porcentaje de contratos con cláusulas de cumplimiento actualizadas

• Número de incidentes de protección de datos reportados

• Cumplimiento de cronogramas de capacitación obligatoria

Alertas Tempranas:

• Retrasos en reportes regulatorios obligatorios

• Solicitudes de clientes que pueden generar conflictos normativos

• Cambios organizacionales que afecten cumplimiento

• Incidentes de seguridad con implicaciones regulatorias

4.5 Gestión de Cambios Normativos

4.5.1 Monitoreo de Cambios

Fuentes de Información:

• Diario Oficial y registros gubernamentales

• Asociaciones profesionales del sector tecnológico

• Servicios de alerta legal especializados

• Networking con colegas del sector

Evaluación de Impacto:

• Análisis inmediato de aplicabilidad a TTPSEC

• Evaluación de costos de implementación

• Cronograma de cumplimiento obligatorio

• Identificación de riesgos de incumplimiento

4.5.2 Implementación de Cambios

Proceso Simplificado:

1. Identificación: Líder de Seguridad detecta cambio normativo

2. Análisis: Evaluación de impacto con Gerencia General

3. Planificación: Cronograma de implementación práctica

4. Ejecución: Modificación de procedimientos y capacitación

5. Verificación: Validación de cumplimiento efectivo

5.1 Estructura Simplificada de Autorización

Para TTPSEC SPA como microempresa, establecemos una matriz de autorización práctica que refleje nuestra estructura organizacional real y asegure control adecuado sin burocracia excesiva.

5.2 Matriz de Autorización por Área y Monto

5.2.1 Gerencia General

Autorización Plena:

• Contratos comerciales: Sin límite de monto

• Gastos operacionales: Hasta UF 1.000 ($35M)

• Inversiones en tecnología: Hasta UF 2.000 ($70M)

• Contratación de personal: Cualquier posición

• Endeudamiento: Cualquier modalidad

• Garantías corporativas: Cualquier tipo y monto

Requiere Validación Externa:

• Compromisos superiores a UF 5.000 ($175M): Asesor legal

• Garantías personales: Asesor legal y contador

• Operaciones con partes relacionadas: Asesor independiente

5.2.2 Líder de Seguridad IT/OT

Autorización Operativa:

• Contratos técnicos especializados: Hasta UF 300 ($10.5M)

• Gastos en herramientas y licencias: Hasta UF 200 ($7M)

• Contratación de consultores especializados: Hasta UF 500 ($17.5M)

• Aprobación de metodologías y procedimientos técnicos

• Autorización de accesos a sistemas de clientes

Requiere Aprobación de Gerencia:

• Contratos superiores a límites establecidos

• Compromisos con implicaciones legales significativas

• Decisiones que afecten la estrategia comercial

• Cambios en políticas de seguridad corporativas

5.2.3 Consultores Senior y Arquitecto

Autorización Técnica:

• Gastos menores operativos: Hasta UF 50 ($1.75M)

• Selección de herramientas para proyectos específicos

• Aprobación de metodologías técnicas dentro de proyectos

• Autorización de pruebas de seguridad en entornos controlados

Escalamiento Obligatorio:

• Cualquier compromiso financiero > UF 50

• Decisiones que afecten múltiples proyectos

• Cambios significativos en alcance de proyectos

• Hallazgos críticos que requieran decisiones comerciales

5.3 Procedimientos de Aprobación por Tipo

5.3.1 Contratos Comerciales

Contratos Estándar (< UF 500):

1. Preparación: Líder de Seguridad elabora propuesta técnica

2. Validación comercial: Gerencia General aprueba términos comerciales

3. Revisión legal: Validación de cláusulas estándar

4. Firma: Gerencia General autoriza y firma

Contratos Complejos (> UF 500):

1. Análisis técnico: Equipo técnico evalúa viabilidad

2. Evaluación comercial: Gerencia analiza rentabilidad y riesgos

3. Revisión legal externa: Asesor especializado valida términos

4. Aprobación final: Gerencia General con validación de asesor

5. Firma: Gerencia General con constancia de revisión legal

5.3.2 Inversiones en Tecnología

Herramientas Especializadas:

• Hasta UF 100: Aprobación directa de Líder de Seguridad IT/OT

• UF 100-500: Aprobación conjunta Líder + Gerencia General

• Superior a UF 500: Evaluación formal de ROI y aprobación de Gerencia

Criterios de Evaluación:

• Necesidad técnica específica para servicios

• Compatibilidad con infraestructura existente

• Costo-beneficio considerando utilización esperada

• Impacto en capacidades competitivas

5.3.3 Contratación de Personal y Consultores

Personal Permanente:

• Consultores Junior: Líder de Seguridad IT/OT aprueba perfil, Gerencia aprueba condiciones

• Consultores Senior: Gerencia General aprueba perfil y condiciones

• Especialistas: Evaluación conjunta del equipo técnico y aprobación de Gerencia

Consultores Externos:

• Proyectos específicos < UF 200: Líder de Seguridad IT/OT

• Consultorías > UF 200: Gerencia General

• Contratos marco: Gerencia General con evaluación del equipo técnico

5.4 Controles y Validaciones

5.4.1 Segregación de Funciones Adaptada

Principio de Doble Validación:

• Quien propone no puede aprobar (excepto gastos < UF 50)

• Revisión técnica independiente para compromisos > UF 200

• Validación financiera previa para todos los compromisos > UF 100

• Documentación completa antes de cualquier firma

Rotación de Responsabilidades:

• Evaluación de proveedores alternada entre consultores senior

• Revisión de contratos rotativa para evitar sesgos

• Validación cruzada de metodologías técnicas

• Auditoría interna informal trimestral

5.4.2 Documentación Obligatoria

Para Todos los Compromisos > UF 100:

• Justificación técnica o comercial documentada

• Evaluación de alternativas consideradas

• Análisis de impacto financiero y operativo

• Validación de cumplimiento normativo aplicable

Para Contratos > UF 500:

• Due diligence básico del contraparte

• Evaluación de riesgos contractuales específicos

• Plan de implementación y seguimiento

• Definición de métricas de éxito y control

5.5 Firma Electrónica y Representación

5.5.1 Implementación de Firma Digital

Plataforma Corporativa:

• DocuSign o equivalente para contratos rutinarios

• Firma electrónica avanzada para contratos > UF 1.000

• Certificados digitales para documentos ante autoridades

• Respaldo en la nube con acceso controlado

Procedimientos de Seguridad:

• Autenticación de dos factores para firma electrónica

• Registro de IP y timestamp de cada firma

• Notificación automática de documentos firmados

• Archivo encriptado de documentos finalizados

5.5.2 Poderes y Representación Legal

Gerencia General:

• Poder general de administración dentro del objeto social

• Representación judicial y extrajudicial amplia

• Facultades bancarias y financieras completas

• Poder para otorgar poderes específicos

Líder de Seguridad IT/OT:

• Poder específico para contratos técnicos dentro de límites

• Representación ante clientes para temas operativos

• Autorización para firma de acuerdos de confidencialidad

• Poder para gestión de certificaciones técnicas

5.5.3 Situaciones de Emergencia

Criterios de Emergencia:

• Riesgo inmediato para servicios críticos de clientes

• Oportunidades comerciales con plazo improrrogable (< 24 horas)

• Requerimientos urgentes de autoridades

• Incidentes de seguridad que requieran acción inmediata

Procedimiento de Emergencia:

1. Autorización verbal: Gerencia General autoriza por teléfono

2. Confirmación inmediata: Email con resumen de autorización

3. Ratificación: Firma física o electrónica dentro de 48 horas

4. Documentación: Justificación completa para archivo corporativo

6.1 Sistema de Control Interno Adaptado a Microempresa

TTPSEC SPA implementa un sistema de control interno proporcional a su tamaño, enfocado en los riesgos más críticos del negocio de ciberseguridad y asegurando eficiencia operativa sin burocracia excesiva.

6.2 Ambiente de Control

6.2.1 Estructura de Control Simplificada

Gerencia General:

• Define políticas de control y apetito de riesgo

• Supervisa implementación de controles críticos

• Evalúa efectividad del sistema mensualmente

• Asigna recursos para mejoras de control necesarias

Líder de Seguridad IT/OT:

• Implementa controles técnicos y operativos

• Coordina evaluaciones de riesgo y control

• Supervisa cumplimiento de procedimientos

• Reporta deficiencias e incidentes a Gerencia

Equipo Técnico:

• Ejecuta controles en procesos operativos

• Reporta anomalías y excepciones detectadas

• Participa en evaluaciones de efectividad

• Sugiere mejoras basadas en experiencia práctica

6.2.2 Valores y Competencias

Competencia Técnica:

• Certificaciones actualizadas en especialidades críticas

• Capacitación continua en nuevas amenazas y controles

• Metodologías de trabajo estandarizadas y documentadas

• Evaluación periódica de conocimientos técnicos

Integridad Profesional:

• Código de ética específico para servicios de ciberseguridad

• Políticas claras sobre manejo de información sensible

• Procedimientos de escalamiento para dilemas éticos

• Consecuencias claras por incumplimientos

6.3 Actividades de Control Específicas

6.3.1 Controles en Servicios de Ciberseguridad

Controles Preventivos:

• Autorización de accesos: Aprobación documentada antes de acceder a sistemas de clientes

• Segregación de proyectos: Equipos independientes para clientes competidores

• Revisión de metodologías: Validación de técnicas antes de aplicar en cliente

• Control de herramientas: Inventario y autorización de software utilizado

Controles Detectivos:

• Monitoreo de actividades: Logs detallados de accesos y actividades técnicas

• Revisión de entregas: Validación independiente de reportes y hallazgos

• Análisis de excepciones: Investigación de actividades inusuales o no autorizadas

• Feedback de clientes: Evaluación sistemática de satisfacción y calidad

6.3.2 Controles Administrativos y Financieros

Gestión Financiera:

• Facturación: Validación cruzada entre servicios prestados y montos facturados

• Cobranza: Seguimiento semanal de cuentas por cobrar

• Gastos: Autorización previa para gastos según matriz de aprobaciones

• Conciliaciones: Revisión mensual de cuentas bancarias y tarjetas corporativas

Gestión de Personal:

• Confidencialidad: Renovación anual de acuerdos de confidencialidad

• Accesos: Revisión trimestral de accesos a sistemas corporativos

• Evaluación: Revisión semestral de desempeño con componente de control

• Capacitación: Programa anual de formación en control y cumplimiento

6.3.3 Controles de Tecnología de la Información

Seguridad de Sistemas:

• Acceso controlado: Autenticación de dos factores para sistemas críticos

• Respaldos automáticos: Backup diario con pruebas mensuales de recuperación

• Actualizaciones: Parches de seguridad aplicados en máximo 30 días

• Monitoreo: Alertas automáticas de intentos de acceso no autorizados

Protección de Datos:

• Encriptación: Datos en tránsito y en reposo encriptados con AES-256

• Clasificación: Etiquetado automático según sensibilidad de información

• Retención: Eliminación automática según políticas de retención

• Transferencias: Validación de destino antes de envío de información

6.4 Función de Auditoría Interna (Adaptada)

6.4.1 Modelo de Auditoría para Microempresa

Auditoría Interna Combinada:

• Responsable principal: Líder de Seguridad IT/OT (50% del tiempo)

• Apoyo técnico: Rotación entre consultores senior (25% del tiempo)

• Supervisión: Gerencia General (revisión de hallazgos y planes)

• Validación externa: Auditor externo semestral para validación independiente

Enfoque Basado en Riesgos:

• Concentración en procesos críticos de mayor riesgo

• Ciclo de auditoría de 18 meses para cubrir todos los procesos clave

• Auditorías dirigidas basadas en incidentes o cambios significativos

• Seguimiento continuo de controles críticos

6.4.2 Plan de Auditoría Simplificado

Cobertura Anual Mínima:

• Procesos comerciales: Contratos, facturación, cobranza (trimestral)

• Servicios técnicos: Metodologías, calidad, confidencialidad (semestral)

• Cumplimiento normativo: Protección datos, anticorrupción (semestral)

• Gestión financiera: Gastos, inversiones, nómina (trimestral)

• Tecnología: Seguridad, respaldos, accesos (trimestral)

Metodología Práctica:

1. Planificación (1 día): Definición de alcance y procedimientos

2. Ejecución (2-3 días): Pruebas de controles y validaciones

3. Reporte (1 día): Documentación de hallazgos y recomendaciones

4. Seguimiento (continuo): Verificación de implementación de mejoras

6.4.3 Procedimientos de Auditoría Específicos

Auditoría de Servicios Técnicos:

• Revisión de expedientes de proyectos completados

• Validación de cumplimiento de metodologías aprobadas

• Verificación de autorizaciones de acceso a sistemas de clientes

• Evaluación de calidad de entregables y documentación

Auditoría de Cumplimiento:

• Verificación de actualización de políticas y procedimientos

• Validación de capacitaciones obligatorias del personal

• Revisión de reportes regulatorios y su oportunidad

• Evaluación de efectividad de controles anticorrupción

Auditoría de Seguridad de la Información:

• Pruebas de penetración en sistemas corporativos

• Revisión de logs de acceso y actividades sospechosas

• Validación de efectividad de respaldos y recuperación

• Evaluación de cumplimiento de políticas de seguridad

6.5 Monitoreo y Evaluación Continua

6.5.1 Indicadores de Control Clave

Indicadores de Efectividad:

• Porcentaje de controles operando según diseño (meta: >95%)

• Tiempo promedio de corrección de deficiencias (meta: <30 días)

• Número de incidentes de control por trimestre (meta: <3)

• Satisfacción de clientes con controles de calidad (meta: >90%)

Indicadores de Eficiencia:

• Costo de control como % de ingresos (meta: <5%)

• Tiempo dedicado a actividades de control vs. productivas

• Número de excepciones procesadas mensualmente

• Automatización de controles manuales repetitivos

6.5.2 Reportes de Control y Auditoría

Reporte Mensual a Gerencia:

• Resumen de controles ejecutados y resultados

• Deficiencias identificadas y estado de corrección

• Indicadores de control con análisis de tendencias

• Recomendaciones para mejoras inmediatas

Reporte Trimestral del Sistema:

• Evaluación integral de efectividad del sistema de control

• Análisis de riesgos emergentes y necesidades de control

• Resultados de auditorías internas ejecutadas

• Plan de mejoras para el siguiente trimestre

Reporte Anual de Auditoría:

• Evaluación completa del sistema de control interno

• Benchmarking con mejores prácticas del sector

• Plan de auditoría para el siguiente período

• Inversiones requeridas en mejoras de control

6.6 Mejora Continua del Sistema

6.6.1 Proceso de Mejora

Identificación de Oportunidades:

• Análisis de deficiencias recurrentes

• Feedback del equipo técnico y clientes

• Benchmarking con competidores y mejores prácticas

• Evaluación de nuevas tecnologías de control

Implementación de Mejoras:

• Priorización basada en costo-beneficio y riesgo

• Piloto de nuevos controles antes de implementación completa

• Capacitación del equipo en nuevos procedimientos

• Medición de efectividad post-implementación

6.6.2 Adaptación a Cambios del Negocio

Escalabilidad:

• Controles diseñados para crecer con la empresa

• Automatización progresiva de procesos manuales

• Sistemas de información que soporten mayor volumen

• Estructura de control adaptable a nuevos servicios

Flexibilidad:

• Revisión regular de relevancia de controles existentes

• Eliminación de controles obsoletos o redundantes

• Adaptación rápida a cambios normativos

• Capacidad de respuesta a nuevos riesgos del sector

7.1 Propósito y Alcance

Esta política establece las condiciones laborales, beneficios, procedimientos y responsabilidades que rigen las relaciones laborales en TTPSEC SPA, asegurando cumplimiento del Código del Trabajo chileno y promoviendo un ambiente laboral de excelencia técnica y profesional.

7.2 Principios de Gestión de Personas

7.2.1 Especialización y Excelencia Técnica

• Contratación basada en competencias técnicas comprobables

• Inversión continua en capacitación especializada

• Reconocimiento del conocimiento técnico y experiencia

• Promoción del desarrollo profesional continuo

7.2.2 Flexibilidad y Balance Trabajo-Vida

• Modalidades de trabajo adaptables (presencial, remoto, híbrido)

• Horarios flexibles compatible con jornada legal

• Respeto por tiempo personal y familiar

• Ambiente laboral que promueva bienestar integral

7.2.3 Meritocracia y Transparencia

• Evaluaciones objetivas basadas en resultados y competencias

• Procesos transparentes de selección y promoción

• Retroalimentación constructiva y oportuna

• Oportunidades equitativas de crecimiento profesional

7.3 Condiciones Laborales Específicas

7.3.1 Jornada Laboral y Flexibilidad

Jornada Ordinaria:

• Modalidad Presencial: 40 horas semanales, lunes a viernes 8:30-17:00

• Modalidad Remota: 40 horas semanales con flexibilidad horaria (disponibilidad 9:00-17:00)

• Modalidad Híbrida: Combinación acordada con supervisión directa

Flexibilidad Horaria:

• Entrada flexible entre 8:00-10:00 hrs (presencial)

• Trabajo remoto 5 días por semana para roles técnicos

• Horario concentrado (4x11) disponible por acuerdo mutuo

• Compensación de horas por trabajo nocturno/fin de semana

Horas Extraordinarias:

• Autorización previa requerida para horas extras

• Compensación según tasa legal (50% recargo días hábiles, 100% domingos/festivos)

• Límite máximo: 2 horas diarias, 10 horas semanales

• Preferencia por compensación en tiempo libre equivalente

Vacaciones y Permisos

Vacaciones Anuales:

• 15 días hábiles base (aumenta 1 día por cada 3 años, máximo 20 días)

• Planificación coordinada para asegurar continuidad operativa

• Posibilidad de fraccionamiento en períodos mínimos de 5 días

• No acumulación superior a 2 períodos anuales

Permisos Especiales:

• Nacimiento de hijo: 5 días hábiles (padre), según ley (madre)

• Matrimonio: 5 días hábiles

• Fallecimiento familiar directo: 7 días hábiles

• Exámenes médicos: Tiempo necesario con certificado médico

• Capacitación certificada: Hasta 5 días anuales para cursos aprobados

Licencias Médicas:

• Tramitación de subsidios según normativa COMPIN/ISAPRE

• Complemento empresarial para mantener 100% del sueldo primeros 10 días

• Seguimiento personalizado para reintegro gradual si es necesario

• Apoyo para gestión de licencias prolongadas

7.4 Deberes y Obligaciones del Personal

7.4.1 Deberes Generales

Excelencia Profesional:

• Mantener actualizadas competencias técnicas especializadas

• Cumplir estándares de calidad en entregables y servicios

• Participar activamente en capacitaciones obligatorias

• Compartir conocimientos y mejores prácticas con el equipo

Confidencialidad y Seguridad:

• Proteger información confidencial de clientes y empresa

• Cumplir protocolos de seguridad de la información

• Reportar inmediatamente incidentes de seguridad

• Usar equipos corporativos exclusivamente para fines laborales

Conducta Profesional:

• Representar dignamente a TTPSEC en interacciones con clientes

• Mantener comunicación respetuosa y constructiva

• Cumplir compromisos y plazos acordados

• Participar colaborativamente en proyectos de equipo

7.4.2 Obligaciones Específicas por Rol

Consultores (Junior y Senior):

• Ejecutar metodologías técnicas según estándares aprobados

• Documentar adecuadamente hallazgos y recomendaciones

• Mantener comunicación fluida sobre progreso de proyectos

• Escalamiento oportuno de problemas o bloqueos

Arquitecto de Ciberseguridad:

• Liderar diseño de soluciones técnicas complejas

• Mentoría técnica a consultores junior

• Validación de metodologías y herramientas utilizadas

• Representación técnica ante clientes estratégicos

Líder de Seguridad IT/OT:

• Supervisión técnica y administrativa del equipo

• Asegurar cumplimiento de estándares de calidad

• Gestión de relaciones con clientes clave

• Reporte a Gerencia sobre estado de proyectos y equipo

7.5 Régimen Disciplinario

7.5.1 Clasificación de Faltas

Faltas Leves:

• Atrasos reiterados sin justificación (> 3 en un mes)

• Incumplimiento menor de procedimientos internos

• Uso inadecuado de equipos corporativos para fines personales

• Comunicación inadecuada con colegas o clientes

Faltas Graves:

• Ausencias injustificadas (> 2 días en un mes)

• Incumplimiento de plazos críticos sin causa justificada

• Violación de procedimientos de confidencialidad

• Negativa a participar en capacitaciones obligatorias

Faltas Gravísimas:

• Filtración de información confidencial de clientes

• Uso de accesos técnicos para fines no autorizados

• Conductas de acoso, discriminación o violencia

• Competencia desleal o conflictos de interés no declarados

7.5.2 Medidas Disciplinarias

Para Faltas Leves:

• Amonestación verbal con registro escrito

• Capacitación adicional específica

• Supervisión reforzada temporal

Para Faltas Graves:

• Amonestación escrita con copia en carpeta personal

• Suspensión de 1-3 días sin goce de remuneración

• Plan de mejoramiento con seguimiento mensual

Para Faltas Gravísimas:

• Suspensión de 4-7 días sin goce de remuneración

• Terminación de contrato por causa justificada

• Acciones legales cuando corresponda

7.5.3 Procedimiento Disciplinario

1. Investigación: Recopilación de antecedentes y evidencias

2. Descargos: Derecho del trabajador a presentar defensa (48 horas)

3. Resolución: Decisión fundamentada dentro de 7 días hábiles

4. Comunicación: Notificación escrita de medida adoptada

5. Apelación: Derecho a apelar ante Gerencia General (5 días hábiles)

7.6 Desarrollo Profesional y Capacitación

7.6.1 Plan de Desarrollo Individual

Evaluación Anual de Desempeño:

• Revisión de logros y competencias técnicas

• Identificación de brechas y oportunidades de mejora

• Definición de objetivos profesionales para siguiente período

• Plan de capacitación personalizado

Metas de Desarrollo:

• Obtención de certificaciones técnicas relevantes

• Participación en proyectos de mayor complejidad

• Desarrollo de habilidades de liderazgo (según trayectoria)

• Especialización en tecnologías emergentes

7.6.2 Programa de Capacitación Continua

Capacitación Obligatoria Anual:

• Actualización en ciberseguridad y nuevas amenazas (40 horas)

• Cumplimiento normativo y ética profesional (16 horas)

• Habilidades blandas y comunicación técnica (24 horas)

• Metodologías y herramientas corporativas (16 horas)

Capacitación Especializada:

• Presupuesto individual UF 20 anuales para certificaciones elegidas

• Tiempo libre remunerado para rendir exámenes de certificación

• Reembolso 100% de certificaciones exitosas aprobadas por empresa

• Participación en conferencias del sector (1 anual por persona)

7.7 Terminación del Contrato

7.7.1 Causales de Terminación

Por Necesidades de la Empresa:

• Término de contrato con aviso 30 días e indemnización legal

• Caso fortuito o fuerza mayor

• Desahucio del empleador con indemnización correspondiente

Por Falta del Trabajador:

• Falta probidad, acoso, discriminación o actos de violencia

• Violación grave de confidencialidad o seguridad

• Abandono de trabajo o incumplimiento grave de obligaciones

Por Decisión del Trabajador:

• Renuncia voluntaria con aviso 30 días

• Despido indirecto por incumplimiento grave del empleador

7.7.2 Procedimiento de Desvinculación

Proceso Estándar:

1. Comunicación: Reunión personal para comunicar decisión

2. Finiquito: Cálculo y pago de todas las prestaciones adeudadas

3. Devolución: Entrega de equipos, accesos y material corporativo

4. Confidencialidad: Recordatorio de vigencia de obligaciones post-empleo

5. Referencia: Carta de recomendación según desempeño (si aplica)

Transferencia de Conocimiento:

• Documentación de proyectos en curso

• Transferencia de contactos y relaciones clave

• Capacitación de reemplazo cuando sea posible

• Período de transición coordinado

8.1 Propósito y Marco Legal

Esta política establece medidas preventivas y correctivas para eliminar cualquier forma de acoso laboral, sexual y discriminación arbitraria en TTPSEC SPA, en cumplimiento del artículo 211-A del Código del Trabajo y promoviendo un ambiente laboral respetuoso e inclusivo.

8.2 Definiciones y Conceptos Clave

8.2.1 Acoso Laboral

Toda conducta que constituya agresión u hostigamiento reiterados, ejercida por el empleador o por uno o más trabajadores, en contra de otro u otros trabajadores, por cualquier medio, y que tenga como resultado para el o los afectados su menoscabo, maltrato o humillación, o bien que amenace o perjudique su situación laboral o sus oportunidades en el empleo.

Ejemplos de Conductas:

• Sobrecarga deliberada de trabajo o asignación de tareas imposibles

• Exclusión sistemática de reuniones o actividades laborales

• Comentarios despectivos sobre capacidades profesionales

• Amenazas veladas sobre estabilidad laboral

• Aislamiento social dentro del ambiente de trabajo

8.2.2 Acoso Sexual

Requerimientos de carácter sexual, no consentidos por quien los recibe y que amenacen o perjudiquen su situación laboral o sus oportunidades en el empleo.

Modalidades:

• Chantaje Sexual (quid pro quo): Condicionamiento de beneficios laborales a favores sexuales

• Ambiente Hostil: Conductas que crean un entorno intimidatorio de naturaleza sexual

• Acoso Sexual Directo: Proposiciones, tocamientos o insinuaciones explícitas

• Acoso Sexual Indirecto: Comentarios, gestos o material de contenido sexual

8.2.3 Discriminación Arbitraria

Toda distinción, exclusión o preferencia basada en motivos de raza, color, sexo, edad, estado civil, sindicación, religión, opinión política, nacionalidad, ascendencia nacional u origen social, que tenga por objeto anular o alterar la igualdad de oportunidades o de trato en el empleo y la ocupación.

Formas Específicas:

• Discriminación en procesos de selección o promoción

• Diferencias salariales injustificadas por motivos protegidos

• Exclusión de oportunidades de capacitación o desarrollo

• Trato diferenciado en beneficios o condiciones laborales

8.3 Compromisos de TTPSEC SPA

8.3.1 Tolerancia Cero

TTPSEC SPA tiene una política de tolerancia cero hacia cualquier forma de acoso o discriminación. Toda conducta de este tipo será investigada y sancionada conforme a la gravedad de los hechos, independiente del nivel jerárquico de quien la cometa.

8.3.2 Ambiente Laboral Inclusivo

• Promover diversidad e inclusión en todos los niveles organizacionales

• Asegurar igualdad de oportunidades en desarrollo profesional

• Fomentar comunicación respetuosa y colaborativa

• Implementar medidas preventivas y de concienciación

8.3.3 Protección de Denunciantes

• Confidencialidad absoluta de identidad de denunciantes

• Prohibición expresa de represalias contra quien denuncie de buena fe

• Protección laboral durante proceso de investigación

• Seguimiento post-resolución para asegurar no reiteración

8.4 Medidas Preventivas

8.4.1 Capacitación y Sensibilización

Programa Anual Obligatorio:

• Sesión de inducción para todo personal nuevo (4 horas)

• Capacitación anual de refrescamiento (2 horas)

• Talleres específicos para personal con equipos a cargo (4 horas)

• Sesiones especializadas según incidentes o necesidades detectadas

Contenidos de Capacitación:

• Marco legal y política empresarial

• Identificación de conductas inapropiadas

• Procedimientos de denuncia y canales disponibles

• Consecuencias legales y laborales

• Promoción de comunicación respetuosa

8.4.2 Comunicación y Concienciación

• Publicación de política en lugares visibles y plataforma corporativa

• Recordatorios periódicos en comunicaciones internas

• Testimonios y casos de estudio (anonimizados)

• Promoción de valores de respeto e inclusión

8.4.3 Supervisión y Monitoreo

• Evaluación periódica de clima laboral

• Observación de dinámicas de equipo en reuniones

• Retroalimentación confidencial sobre liderazgo

• Análisis de rotación y satisfacción laboral por área

8.5 Procedimiento de Denuncia

8.5.1 Canales de Denuncia Disponibles

Internos:

• Gerencia General: Presencial, telefónico o email gerencia@ttpsec.cl

• Líder de Seguridad IT/OT: Para casos que no involucren a Gerencia

• Email Confidencial: denuncias@ttpsec.cl (solo acceso Gerencia)

• Buzón Físico: Oficina principal, revisión semanal por Gerencia

Externos:

• Inspección del Trabajo: Para casos complejos o no resueltos internamente

• Asesor Legal Externo: Disponible para orientación confidencial

8.5.2 Información Requerida en Denuncia

• Identificación del denunciante (puede ser anónima)

• Descripción detallada de hechos denunciados

• Fecha, hora y lugar de ocurrencia de los hechos

• Identificación de presunto responsable

• Testigos presenciales (si los hubiere)

• Evidencia disponible (emails, mensajes, documentos)

8.5.3 Recepción y Registro

1. Confirmación de Recibo: Acuse recibo en 24 horas hábiles

2. Registro Confidencial: Asignación de número de caso

3. Evaluación Preliminar: Determinación de viabilidad y gravedad

4. Comunicación Inicial: Información de próximos pasos a denunciante

8.6 Procedimiento de Investigación

8.6.1 Inicio de Investigación

Criterios para Investigación Formal:

• Denuncia específica con hechos verificables

• Patrón de conductas reportadas por múltiples fuentes

• Evidencia prima facie de conducta inapropiada

• Solicitud expresa de investigación por parte del afectado

Designación de Investigador:

• Casos que no involucren Gerencia: Líder de Seguridad IT/OT

• Casos que involucren Gerencia: Asesor legal externo

• Casos complejos: Comisión investigadora (Gerencia + Asesor externo)

8.6.2 Proceso de Investigación

Fase 1 - Planificación (2 días hábiles):

• Análisis de denuncia y evidencia disponible

• Definición de estrategia de investigación

• Identificación de entrevistados y evidencias a recopilar

• Comunicación a partes involucradas sobre inicio de proceso

Fase 2 - Recopilación de Evidencia (5-10 días hábiles):

• Entrevistas confidenciales con denunciante, denunciado y testigos

• Revisión de documentación relevante (emails, registros, etc.)

• Análisis de evidencia física o digital disponible

• Solicitud de información adicional si es necesario

Fase 3 - Análisis y Conclusiones (3 días hábiles):

• Evaluación integral de evidencia recopilada

• Determinación de veracidad de hechos denunciados

• Calificación de gravedad según marco normativo

• Elaboración de informe final con recomendaciones

8.6.3 Garantías del Proceso

Para el Denunciante:

• Confidencialidad de identidad durante todo el proceso

• Protección contra represalias directas o indirectas

• Acompañamiento y apoyo psicológico si es requerido

• Información periódica sobre avance de investigación

Para el Denunciado:

• Conocimiento de cargos específicos en su contra

• Derecho a presentar descargos y evidencia de defensa

• Representación o asesoría legal si lo desea

• Presunción de inocencia hasta resolución final

8.7 Medidas Correctivas y Sanciones

8.7.1 Medidas Inmediatas (Durante Investigación)

• Separación física temporal de las partes involucradas

• Restricción de contacto directo entre denunciante y denunciado

• Supervisión reforzada de dinámicas de trabajo

• Suspensión preventiva en casos de gravedad extrema

8.7.2 Sanciones por Acoso Laboral

Acoso Leve (conductas aisladas, sin intencionalidad manifiesta):

• Amonestación escrita con capacitación obligatoria

• Disculpas formales al afectado

• Supervisión de comportamiento por 6 meses

• Participación en programa de sensibilización

Acoso Moderado (conductas reiteradas o con impacto significativo):

• Suspensión de 3-5 días sin goce de remuneración

• Capacitación intensiva en relaciones laborales

• Cambio de funciones o área si es factible

• Seguimiento psicológico obligatorio

Acoso Grave (conductas sistemáticas o con clara intencionalidad):

• Suspensión de 6-15 días sin goce de remuneración

• Degradación o pérdida de funciones de supervisión

• Terminación de contrato por causal

• Denuncia a autoridades competentes

8.7.3 Sanciones por Acoso Sexual

Acoso Sexual Leve (comentarios inapropiados ocasionales):

• Amonestación escrita y capacitación obligatoria

• Disculpas formales y compromiso de cambio de conducta

• Supervisión estrecha por período de 1 año

• Evaluación psicológica y tratamiento si es necesario

Acoso Sexual Grave (conductas reiteradas o proposiciones directas):

• Suspensión de 10-30 días sin goce de remuneración

• Pérdida definitiva de funciones de supervisión

• Reubicación laboral o cambio de turnos

• Denuncia ante Fiscalía por delito sexual

Acoso Sexual Gravísimo (chantaje sexual o contacto físico):

• Terminación inmediata de contrato por causal

• Denuncia penal ante autoridades competentes

• Prohibición de reingreso a instalaciones de la empresa

• Cooperación total con investigación penal

8.7.4 Sanciones por Discriminación Arbitraria

Discriminación Leve (trato diferenciado sin impacto material):

• Capacitación en diversidad e inclusión

• Disculpas públicas o privadas según caso

• Compromiso escrito de no discriminación

• Seguimiento de comportamiento por 6 meses

Discriminación Grave (impacto en oportunidades laborales):

• Suspensión disciplinaria y reparación de perjuicios

• Pérdida de funciones de selección o evaluación de personal

• Compensación económica o promoción para afectado

• Capacitación intensiva en derechos humanos

Discriminación Gravísima (discriminación sistemática o múltiple):

• Terminación de contrato por incumplimiento grave

• Reparación integral de daños causados

• Reporte a autoridades laborales competentes

• Prohibición de participar en decisiones de personal

8.8 Seguimiento y Monitoreo

8.8.1 Seguimiento Post-Resolución

• Verificación de cumplimiento de medidas adoptadas

• Monitoreo de ausencia de represalias contra denunciante

• Evaluación de efectividad de medidas correctivas

• Apoyo continuo a víctima si es requerido

8.8.2 Indicadores de Prevención

• Número de denuncias recibidas y resueltas por período

• Tiempo promedio de resolución de casos

• Nivel de satisfacción con proceso de investigación

• Porcentaje de personal capacitado anualmente

8.8.3 Mejora Continua

• Evaluación anual de efectividad de política

• Actualización basada en cambios normativos

• Incorporación de mejores prácticas del sector

• Retroalimentación de casos resueltos para prevención

9.1 Marco Legal y Propósito

Esta política establece el marco para el tratamiento de datos personales en TTPSEC SPA, asegurando cumplimiento de la Ley 19.628 (vigente) y preparación para la Ley 21.719 (vigente desde 2026), protegiendo derechos de titulares y minimizando riesgos legales y reputacionales.

9.2 Ámbito de Aplicación y Responsabilidades

9.2.1 Datos Personales bajo Tratamiento en TTPSEC

Datos de Trabajadores:

• Información de contacto y datos familiares

• Antecedentes laborales y evaluaciones de desempeño

• Información médica para licencias y seguros

• Datos bancarios para pagos de remuneraciones

• Registros de capacitación y certificaciones

Datos de Clientes:

• Información de contacto de representantes empresariales

• Datos de acceso a sistemas para auditorías

• Registros de comunicaciones y reuniones

• Información técnica de sistemas evaluados

Datos de Proveedores:

• Información de contacto de representantes

• Datos financieros para evaluación crediticia

• Antecedentes comerciales y referencias

• Registros de transacciones y pagos

9.2.2 Roles y Responsabilidades

Gerencia General (Responsable del Tratamiento):

• Definir propósitos y medios del tratamiento de datos

• Asegurar cumplimiento de normativa de protección de datos

• Aprobar políticas y procedimientos específicos

• Responder ante autoridades por cumplimiento normativo

Líder de Seguridad IT/OT (Data Protection Officer - DPO):

• Supervisar cumplimiento diario de políticas de protección de datos

• Asesorar sobre obligaciones legales y mejores prácticas

• Servir como punto de contacto para consultas de titulares

• Coordinar respuesta a incidentes de seguridad de datos

Todos los Colaboradores:

• Cumplir procedimientos de protección de datos en sus actividades

• Reportar inmediatamente incidentes o brechas de seguridad

• Solicitar autorización para nuevos tratamientos de datos

• Participar en capacitaciones obligatorias sobre protección de datos

9.3 Principios de Tratamiento de Datos Personales

9.3.1 Licitud y Transparencia

Bases Legales para Tratamiento:

• Consentimiento: Para datos no necesarios para relación contractual

• Ejecución contractual: Para datos necesarios para cumplir obligaciones laborales/comerciales

• Cumplimiento legal: Para datos requeridos por normativas aplicables

• Intereses legítimos: Para datos necesarios para gestión empresarial, sin afectar derechos de titular

Transparencia:

• Información clara sobre propósitos de tratamiento

• Comunicación de derechos de titulares en lenguaje comprensible

• Notificación de cambios significativos en tratamiento

• Disponibilidad de contacto para consultas y ejercicio de derechos

9.3.2 Limitación de Finalidad

Finalidades Específicas:

• Datos laborales: Gestión de relación laboral, cumplimiento obligaciones legales, seguridad

• Datos de clientes: Prestación de servicios contratados, comunicación comercial autorizada

• Datos de proveedores: Evaluación, contratación y gestión de relación comercial

Prohibiciones:

• Uso de datos para finalidades incompatibles con propósito original

• Tratamiento para fines de marketing sin consentimiento específico

• Compartir datos con terceros sin base legal apropiada

• Retener datos más tiempo del necesario para finalidad declarada

9.3.3 Minimización y Exactitud

Principio de Minimización:

• Recopilar solo datos estrictamente necesarios para finalidad específica

• Evitar solicitar información irrelevante o excesiva

• Revisar periódicamente necesidad de datos recopilados

• Eliminar datos que ya no sean necesarios

Exactitud y Actualización:

• Verificar exactitud de datos al momento de recopilación

• Implementar procedimientos de actualización periódica

• Corregir datos inexactos inmediatamente al detectarlos

• Solicitar actualización de datos a titulares cuando sea apropiado

9.3.4 Limitación de Conservación

Plazos de Retención:

• Datos laborales: Durante relación laboral + 10 años (prescripción acciones laborales)

• Datos de clientes: Durante relación comercial + 5 años (prescripción acciones comerciales)

• Datos de proveedores: Durante relación comercial + 6 años (obligaciones tributarias)

• Datos de postulantes no seleccionados: 2 años máximo

Eliminación Segura:

• Procedimientos certificados de destrucción de datos físicos

• Borrado seguro de datos digitales con software especializado

• Verificación de eliminación en respaldos y copias

• Registro documental de eliminación realizada

9.4 Derechos de los Titulares

9.4.1 Derecho de Acceso (ARCO - Acceso)

Procedimiento:

• Solicitud por escrito a dpo@ttpsec.cl o presencialmente

• Verificación de identidad del solicitante

• Respuesta en máximo 15 días hábiles

• Información sobre datos tratados, finalidades, destinatarios y plazos de conservación

Información Proporcionada:

• Categorías de datos personales objeto de tratamiento

• Finalidades específicas del tratamiento

• Destinatarios o categorías de destinatarios de datos

• Plazo de conservación o criterios para determinarlo

9.4.2 Derecho de Rectificación (ARCO - Rectificación)

• Corrección de datos inexactos o incompletos

• Actualización de información desactualizada

• Comunicación de rectificaciones a terceros que hayan recibido los datos

• Respuesta e implementación en máximo 15 días hábiles

9.4.3 Derecho de Cancelación (ARCO - Cancelación)

Causales para Cancelación:

• Datos ya no necesarios para finalidades que motivaron tratamiento

• Retirada de consentimiento cuando era base legal del tratamiento

• Tratamiento ilícito de datos personales

• Cancelación necesaria para cumplimiento de obligación legal

Excepciones:

• Cumplimiento de obligación legal que exija conservación

• Ejercicio del derecho de defensa en procesos judiciales

• Fines de archivo de interés público, investigación o estadística

9.4.4 Derecho de Oposición (ARCO - Oposición)

• Oposición a tratamiento basado en intereses legítimos

• Oposición a tratamiento para fines de marketing directo

• Oposición a tratamiento para fines de elaboración de perfiles

• Evaluación caso a caso considerando derechos e intereses en conflicto

9.4.5 Procedimiento Unificado ARCO

1. Recepción: Solicitud por canal oficial con identificación del titular

2. Verificación: Validación de identidad y legitimidad de solicitud

3. Evaluación: Análisis legal de procedencia de solicitud

4. Respuesta: Comunicación de decisión y acciones tomadas (15 días hábiles)

5. Implementación: Ejecución efectiva de derecho reconocido

6. Seguimiento: Verificación de cumplimiento y satisfacción del titular

9.5 Medidas de Seguridad Técnicas y Organizativas

9.5.1 Seguridad Técnica

Control de Acceso:

• Autenticación de dos factores para sistemas con datos personales

• Principio de menor privilegio en asignación de accesos

• Revisión trimestral de accesos asignados y su necesidad

• Logs de auditoría de accesos y modificaciones de datos

Protección de Datos:

• Encriptación AES-256 para datos en reposo y en tránsito

• Respaldos automáticos diarios con pruebas mensuales de recuperación

• Segregación de redes para sistemas con datos sensibles

• Antivirus y anti-malware actualizados automáticamente

Protección de Infraestructura:

• Firewall configurado con reglas restrictivas por defecto

• Monitoreo 24/7 de intentos de acceso no autorizados

• Actualizaciones de seguridad aplicadas en máximo 30 días

• Evaluaciones de vulnerabilidad trimestrales

9.5.2 Seguridad Organizativa

Capacitación del Personal:

• Inducción obligatoria en protección de datos para nuevos empleados

• Capacitación anual de actualización en normativa y procedimientos

• Sesiones específicas para personal con acceso a datos sensibles

• Evaluación de conocimientos post-capacitación

Políticas y Procedimientos:

• Acuerdos de confidencialidad específicos para protección de datos

• Procedimientos documentados para manejo de datos en cada proceso

• Política de escritorio limpio y pantalla bloqueada

• Procedimientos de respuesta a incidentes de seguridad

Gestión de Terceros:

• Evaluación de proveedores que manejen datos personales

• Contratos con cláusulas específicas de protección de datos

• Auditorías periódicas de cumplimiento de terceros

• Registro de terceros con acceso a datos personales

9.6 Transferencias Internacionales de Datos

9.6.1 Evaluación de Adecuación

Países con Nivel Adecuado de Protección:

• Países de la Unión Europea (decisión de adecuación vigente)

• Países con certificación de organismos internacionales reconocidos

• Validación caso a caso para otros destinos

Mecanismos de Transferencia:

• Cláusulas contractuales estándar aprobadas por autoridades

• Certificaciones internacionales (Privacy Shield, BCRs)

• Consentimiento específico del titular para transferencia

• Necesidad de transferencia para ejecución de contrato

9.6.2 Procedimiento de Autorización

1. Solicitud: Identificación de necesidad de transferencia internacional

2. Evaluación: Análisis de nivel de protección del país destinatario

3. Autorización: Aprobación por DPO con definición de mecanismo apropiado

4. Implementación: Formalización de garantías contractuales o técnicas

5. Monitoreo: Supervisión continua de cumplimiento de garantías

9.7 Gestión de Incidentes de Seguridad

9.7.1 Identificación y Clasificación

Tipos de Incidentes:

• Brecha de Confidencialidad: Acceso no autorizado a datos personales

• Brecha de Integridad: Modificación no autorizada de datos personales

• Brecha de Disponibilidad: Pérdida de acceso a datos personales

Clasificación por Gravedad:

• Bajo: Incidente sin riesgo para derechos de titulares

• Medio: Incidente con riesgo limitado y controlable

• Alto: Incidente con riesgo significativo para derechos de titulares

• Crítico: Incidente con riesgo alto e inmediato para derechos de titulares

9.7.2 Procedimiento de Respuesta

Respuesta Inmediata (0-24 horas):

• Contención del incidente para evitar propagación

• Evaluación preliminar de impacto y gravedad

• Notificación interna a DPO y Gerencia General

• Documentación inicial de evidencias y acciones tomadas

Investigación y Evaluación (24-72 horas):

• Investigación detallada de causas y alcance del incidente

• Evaluación de datos afectados y titulares involucrados

• Análisis de riesgos para derechos y libertades de titulares

• Determinación de obligación de notificación a autoridades

Notificación y Comunicación (72 horas desde detección):

• Notificación a autoridad competente si existe riesgo para titulares

• Comunicación a titulares afectados si existe alto riesgo

• Comunicación interna sobre lecciones aprendidas

• Actualización de registro de incidentes de seguridad

9.7.3 Medidas Correctivas y Preventivas

• Implementación de medidas para prevenir reincidencia

• Refuerzo de capacitación en áreas relacionadas con incidente

• Revisión y actualización de procedimientos de seguridad

• Seguimiento de efectividad de medidas implementadas

10.1 Marco Legal y Propósito

Esta política establece un sistema integral de denuncias confidenciales en TTPSEC SPA, cumpliendo con la Ley 20.393 sobre responsabilidad penal de personas jurídicas y fortaleciendo la cultura de transparencia, ética y cumplimiento normativo.

10.2 Objetivos del Canal de Denuncias

10.2.1 Objetivos Generales

• Facilitar reporte confidencial de conductas irregulares o ilegales

• Prevenir materialización de riesgos legales y reputacionales

• Demostrar compromiso empresarial con ética y cumplimiento

• Proteger a denunciantes de buena fe contra represalias

10.2.2 Objetivos Específicos para TTPSEC

• Detectar tempranamente riesgos en servicios de ciberseguridad

• Proteger confidencialidad de información de clientes

• Prevenir uso indebido de accesos técnicos privilegiados

• Asegurar cumplimiento de estándares éticos profesionales

10.3 Conductas Denunciables

10.3.1 Delitos y Faltas Graves

Corrupción y Soborno:

• Ofrecer, solicitar o aceptar sobornos de cualquier tipo

• Pagos de facilitación a funcionarios públicos

• Tráfico de influencias para obtener beneficios indebidos

• Conflictos de interés no declarados

Lavado de Activos y Financiamiento del Terrorismo:

• Transacciones sospechosas con clientes o proveedores

• Facturación ficticia o simulada

• Pagos en efectivo inusuales o no justificados

• Clientes con antecedentes penales relevantes

Responsabilidad Penal Empresarial:

• Receptación de información obtenida ilícitamente

• Uso de documentos falsos en procesos comerciales

• Competencia desleal mediante espionaje industrial

• Violación de secretos empresariales de clientes

10.3.2 Violaciones Específicas del Sector Ciberseguridad

Uso Indebido de Accesos Técnicos:

• Acceso no autorizado a sistemas de clientes

• Copia o descarga de información sin autorización

• Uso de vulnerabilidades descubiertas para fines no éticos

• Instalación de backdoors o herramientas de monitoreo no autorizadas

Violación de Confidencialidad:

• Filtración de información sensible de clientes

• Uso de información de un cliente para beneficiar a otro

• Divulgación de vulnerabilidades sin autorización del cliente

• Venta de información técnica a terceros no autorizados

Mala Praxis Profesional:

• Falsificación de resultados de auditorías o evaluaciones

• Ocultamiento de vulnerabilidades críticas descubiertas

• Emisión de certificaciones falsas o sin sustento técnico

• Manipulación de evidencia en investigaciones forenses

10.3.3 Violaciones Laborales y Éticas

Acoso y Discriminación:

• Acoso laboral, sexual o discriminación arbitraria

• Ambiente laboral hostil o intimidatorio

• Represalias contra denunciantes previos

• Violación de políticas de diversidad e inclusión

Fraude y Malversación:

• Uso indebido de recursos corporativos

• Falsificación de registros de tiempo o gastos

• Apropiación de oportunidades comerciales corporativas

• Uso de información privilegiada para beneficio personal

10.4 Canales de Denuncia Disponibles

10.4.1 Canales Internos

Canal Principal - Email Confidencial:

• Dirección: denuncias@ttpsec.com

• Acceso: Solo Gerencia General y DPO

• Disponibilidad: 24/7 con respuesta en 48 horas hábiles

• Características: Confidencial, permite envío anónimo, con acuse de recibo automático

Canal Telefónico:

• Número: +56 9 20063713 (línea directa Gerencia)

• Horario: Lunes a viernes 8:00-18:00

• Características: Confidencial, grabación opcional, posibilidad de llamada anónima

Canal Presencial:

• Oficina: Reunión privada con Gerencia General o DPO

• Coordinación: Previa cita por email o teléfono

• Características: Máxima confidencialidad, registro escrito opcional

Buzón Físico:

• Ubicación: Oficina principal, área privada

• Revisión: Semanal por Gerencia General

• Características: Anónimo, físico, con formulario predefinido disponible

10.4.2 Canal Externo (Para casos complejos)

Asesor Legal Externo:

• Contacto directo para casos que involucren alta dirección

• Abogado especialista en compliance y responsabilidad penal

• Investigación independiente con reporte a empresa

• Protección adicional para denunciante

10.4.3 Portal Web de Denuncias (Implementación Futura)

• Plataforma web segura y encriptada

• Posibilidad de seguimiento anónimo de casos

• Formulario guiado para completar denuncia

• Notificaciones automáticas de avance

10.5 Procedimiento de Recepción y Gestión

10.5.1 Recepción de Denuncias

Registro Inicial:

• Asignación de número de caso único

• Registro en sistema confidencial de denuncias

• Clasificación preliminar según tipo y gravedad

• Acuse de recibo al denunciante (si no es anónimo)

Información Mínima Requerida:

• Descripción de hechos denunciados

• Personas involucradas (si se conocen)

• Fecha y lugar aproximado de ocurrencia

• Evidencia disponible o testigos

• Impacto o daño potencial

10.5.2 Evaluación Preliminar (48-72 horas)

Criterios de Evaluación:

• Verosimilitud de hechos denunciados

• Gravedad potencial de la conducta

• Riesgo para la empresa o terceros

• Posibilidad de investigación efectiva

Decisiones Posibles:

• Investigación formal: Para denuncias con fundamento aparente

• Investigación preliminar: Para casos que requieren más información

• Archivo provisional: Para denuncias sin fundamento evidente

• Derivación externa: Para casos que excedan capacidad interna

10.5.3 Asignación de Investigador

Principios de Asignación:

• Independencia del investigador respecto a hechos denunciados

• Competencia técnica o legal según naturaleza de denuncia

• Disponibilidad de tiempo para dedicación apropiada

• Confidencialidad y discreción profesional

Investigadores Disponibles:

• Gerencia General: Para casos que no la involucren directamente

• DPO/Líder de Seguridad IT/OT: Para casos técnicos o de cumplimiento

• Asesor Legal Externo: Para casos complejos o que involucren alta dirección

• Investigador Externo: Para casos que requieran especialización particular

10.6 Proceso de Investigación

10.6.1 Planificación de Investigación

Plan de Investigación:

• Alcance y objetivos específicos de investigación

• Cronograma estimado con hitos principales

• Recursos necesarios (tiempo, personal, presupuesto)

• Metodología y técnicas de investigación a utilizar

Medidas Cautelares:

• Preservación de evidencia relevante

• Separación temporal de personas involucradas si es necesario

• Restricción de accesos o funciones según caso

• Comunicación a partes relevantes sobre inicio de investigación

10.6.2 Ejecución de Investigación

Recopilación de Evidencia:

• Entrevistas confidenciales con denunciante, denunciado y testigos

• Revisión de documentación física y digital relevante

• Análisis forense de sistemas informáticos si es aplicable

• Verificación de registros, logs y evidencia técnica

Garantías Procesales:

• Derecho de defensa para persona investigada

• Confidencialidad de proceso y protección de identidades

• Imparcialidad e independencia del investigador

• Documentación completa y ordenada de evidencias

10.6.3 Informe de Investigación

Contenido del Informe:

• Resumen ejecutivo con conclusiones principales

• Descripción detallada de hechos investigados

• Evidencia recopilada y análisis realizado

• Conclusiones sobre veracidad de denuncia

• Recomendaciones de acciones correctivas o disciplinarias

Distribución Confidencial:

• Gerencia General (siempre, salvo que esté involucrada)

• Persona investigada (resumen con conclusiones que la afecten)

• Denunciante (si no es anónimo, resumen con resultado general)

• Autoridades competentes (si se detectan delitos)

10.7 Medidas de Protección para Denunciantes

10.7.1 Confidencialidad y Anonimato

Protección de Identidad:

• Acceso restringido a identidad del denunciante

• Uso de códigos o números de caso en comunicaciones

• Prohibición de divulgación sin autorización expresa

• Medidas técnicas para proteger anonimato en denuncias anónimas

Manejo de Información:

• Almacenamiento seguro de registros de denuncias

• Acceso solo para personal autorizado y con necesidad

• Eliminación segura de registros según cronograma

• Auditoría de accesos a información confidencial

10.7.2 Prohibición de Represalias

Tipos de Represalias Prohibidas:

• Despido, suspensión o modificación unilateral de contrato

• Reducción de remuneración o pérdida de beneficios

• Cambio perjudicial de funciones o condiciones laborales

• Acoso laboral o aislamiento social

Medidas de Protección:

• Monitoreo de situación laboral post-denuncia

• Canal directo para reportar represalias

• Investigación inmediata de supuestas represalias

• Sanciones severas para quienes ejerzan represalias

10.7.3 Apoyo al Denunciante

Apoyo Psicológico:

• Acceso a servicios de apoyo psicológico si es necesario

• Licencias especiales para asistir a terapia o tratamiento

• Ambiente laboral protegido durante proceso

• Seguimiento de bienestar general

Apoyo Legal:

• Orientación sobre derechos y protecciones disponibles

• Asesoría legal básica si es requerida

• Acompañamiento en procesos ante autoridades externas

• Información sobre recursos legales disponibles

10.8 Seguimiento y Mejora Continua

10.8.1 Indicadores de Gestión

Métricas de Efectividad:

• Número de denuncias recibidas por período

• Tiempo promedio de resolución de casos

• Porcentaje de denuncias que resultan fundadas

• Nivel de satisfacción de denunciantes con proceso

Métricas de Calidad:

• Cumplimiento de plazos de investigación

• Calidad de informes de investigación

• Efectividad de medidas correctivas implementadas

• Ausencia de represalias contra denunciantes

10.8.2 Revisión y Mejora

Evaluación Periódica:

• Revisión trimestral de casos y procedimientos

• Análisis anual de tendencias y patrones

• Evaluación de efectividad de canal de denuncias

• Identificación de oportunidades de mejora

Actualización del Sistema:

• Mejoras tecnológicas para facilitar denuncias

• Capacitación continua de investigadores

• Actualización de procedimientos según mejores prácticas

• Comunicación de mejoras a toda la organización

10.8.3 Comunicación y Difusión

Programa de Comunicación:

• Difusión inicial de política a todo el personal

• Recordatorios periódicos sobre disponibilidad del canal

• Campañas de concienciación sobre importancia de denunciar

• Comunicación de casos resueltos (anonimizados) como ejemplos

Capacitación:

• Inducción obligatoria sobre canal de denuncias para nuevo personal

• Capacitación anual de refrescamiento para todo el equipo

• Formación especializada para personal con responsabilidades de supervisión

• Talleres sobre reconocimiento de conductas denunciables

12.1 Propósito y Alcance

Esta política establece los procedimientos para selección, contratación y gestión de proveedores en TTPSEC SPA, asegurando transparencia, eficiencia económica, calidad técnica y cumplimiento normativo en toda la cadena de valor.

12.2 Principios de Compras y Contratación

12.2.1 Transparencia y Competencia

Procesos Competitivos:

• Cotización mínima de 3 proveedores para compras > UF 50

• Criterios de evaluación predefinidos y objetivos

• Documentación completa del proceso de selección

• Comunicación clara de requisitos técnicos y comerciales

Transparencia:

• Procedimientos públicos y conocidos por todos los proveedores

• Evaluación basada en criterios técnicos y económicos objetivos

• Justificación documentada de decisiones de selección

• Registro histórico de procesos de compra para auditoría

12.2.2 Eficiencia y Optimización de Recursos

Value for Money:

• Evaluación integral considerando precio, calidad y valor agregado

• Análisis de costo total de propiedad (TCO) para adquisiciones importantes

• Negociación comercial para optimizar condiciones

• Aprovechamiento de economías de escala cuando sea posible

Planificación de Compras:

• Plan anual de compras consolidado por categorías

• Identificación de necesidades recurrentes para contratos marco

• Coordinación entre áreas para compras conjuntas

• Evaluación de make vs. buy para servicios especializados

12.2.3 Calidad y Cumplimiento

Estándares de Calidad:

• Especificaciones técnicas claras y verificables

• Certificaciones requeridas según tipo de producto/servicio

• Procedimientos de recepción y validación de entregas

• Garantías mínimas y soporte técnico requerido

Cumplimiento Normativo:

• Verificación de cumplimiento legal y tributario de proveedores

• Validación de antecedentes comerciales y financieros

• Cláusulas contractuales de cumplimiento normativo

• Monitoreo continuo de proveedores críticos

12.3 Categorización de Compras y Proveedores

12.3.1 Por Tipo de Bien o Servicio

Tecnología Especializada:

• Software de ciberseguridad y herramientas técnicas

• Hardware especializado para laboratorios y pruebas

• Licencias de software y suscripciones cloud

• Equipos de comunicaciones y redes

Servicios Profesionales:

• Asesorías legales especializadas

• Servicios de capacitación y certificación

• Consultorías técnicas especializadas

• Servicios de auditoría y compliance

Bienes y Servicios Generales:

• Equipos de oficina y mobiliario

• Servicios de aseo y mantención

• Seguros corporativos

• Servicios de telecomunicaciones

12.3.2 Por Criticidad y Riesgo

Proveedores Críticos (Nivel 1):

• Servicios esenciales para operación (hosting, conectividad)

• Proveedores únicos o de difícil reemplazo

• Montos anuales > UF 500

• Acceso a información sensible o sistemas críticos

Proveedores Importantes (Nivel 2):

• Servicios relevantes para operación normal

• Proveedores con alternativas disponibles en el mercado

• Montos anuales UF 100-500

• Impacto medio en caso de falla

Proveedores Básicos (Nivel 3):

• Servicios de apoyo sin impacto crítico

• Múltiples alternativas disponibles

• Montos anuales < UF 100

• Fácil y rápido reemplazo

12.4 Proceso de Selección y Contratación

12.4.1 Identificación de Necesidad

Solicitud de Compra:

• Formulario estándar con justificación técnica y comercial

• Especificaciones técnicas detalladas

• Presupuesto estimado y disponibilidad de recursos

• Cronograma requerido para adquisición

Autorización de Proceso:

• Aprobación según matriz de autorización establecida

• Validación de presupuesto disponible

• Confirmación de necesidad por área usuaria

• Autorización para inicio de proceso de compra

12.4.2 Cotización y Evaluación

Solicitud de Cotizaciones:

• Lista de proveedores precalificados por categoría

• RFQ (Request for Quotation) estándar con criterios claros

• Plazo mínimo 5 días hábiles para respuesta

• Aclaraciones y consultas canalizadas centralmente

Criterios de Evaluación:

• Precio (40%): Costo total incluyendo implementación y soporte

• Calidad Técnica (35%): Cumplimiento de especificaciones y valor agregado

• Capacidad del Proveedor (15%): Experiencia, referencias, capacidad financiera

• Condiciones Comerciales (10%): Plazos, garantías, forma de pago

Matriz de Evaluación:

• Puntaje ponderado para cada criterio

• Evaluación independiente por al menos 2 personas

• Justificación documentada de puntajes asignados

• Selección del proveedor con mayor puntaje total

12.4.3 Due Diligence de Proveedores

Verificación Legal y Comercial:

• Certificado de vigencia societaria (no mayor a 60 días)

• Situación tributaria al día (F22, certificado SII)

• Consulta en registros comerciales (DICOM, Equifax)

• Verificación de antecedentes penales para servicios críticos

Evaluación Financiera:

• Estados financieros de últimos 2 años para montos > UF 500

• Referencias comerciales verificables

• Capacidad financiera para ejecutar el contrato

• Seguros de responsabilidad civil profesional (según corresponda)

Evaluación Técnica:

• Certificaciones y acreditaciones relevantes

• Experiencia en proyectos similares

• Referencias técnicas de clientes anteriores

• Capacidad de soporte técnico y post-venta

12.5 Formalización Contractual

12.5.1 Términos Contractuales Estándar

Cláusulas Obligatorias:

• Objeto específico del contrato y entregables esperados

• Condiciones comerciales (precio, forma de pago, plazos)

• Niveles de servicio (SLA) y métricas de desempeño

• Garantías técnicas y de cumplimiento

Cláusulas de Protección:

• Confidencialidad y protección de información sensible

• Cumplimiento de normativas aplicables (laboral, tributaria, ambiental)

• Responsabilidad civil y seguros requeridos

• Causales de terminación y penalidades

Cláusulas de Compliance:

• Declaración de cumplimiento de normativas anticorrupción

• Prohibición de conflictos de interés

• Obligación de reportar situaciones irregulares

• Derecho de auditoría y verificación de cumplimiento

12.5.2 Contratos Especializados por Tipo de Servicio

Contratos de Tecnología:

• Especificaciones técnicas detalladas y criterios de aceptación

• Licenciamiento y propiedad intelectual

• Soporte técnico y mantenimiento incluido

• Actualizaciones y evolución tecnológica

Contratos de Servicios Profesionales:

• Perfil y calificaciones del personal asignado

• Metodologías de trabajo y entregables esperados

• Confidencialidad reforzada para información de clientes

• Responsabilidad profesional y seguros específicos