01. Principios Fundamentales
Cero Tolerancia: Se prohíbe toda suplantación de identidad de la empresa o de sus contactos. Cualquier actividad fraudulenta será investigada y, en su caso, reportada a las autoridades (incluyendo el Departamento de Asuntos Legales de Florida conforme al Capítulo 668 de los Estatutos de Florida).
Verificar Siempre: Cualquier solicitud atípica (cambios urgentes de pago, envío de credenciales, adjuntos inesperados) debe confirmarse mediante un canal de comunicación alternativo y verificado (ej., llamada telefónica a un número conocido).
Responsabilidad Compartida: La seguridad es una obligación de todos los miembros de la organización y también se espera que los clientes reporten comunicaciones sospechosas.
02. Controles Técnicos Obligatorios
Email Authentication: All corporate domains (carvisionpro.com, etc.) must implement SPF, DKIM (2048-bit keys), and DMARC with a reject or quarantine policy (p=reject or p=quarantine), configured at 100%. Adoption of BIMI will be evaluated.
Autenticación Multifactor (MFA): Es obligatorio el uso de MFA resistente a phishing (ej., FIDO2/WebAuthn) para el acceso a correo electrónico corporativo, ERP/CRM (Odoo), paneles de administración del sitio web y la pasarela de pagos (cumpliendo con PCI DSS 4.0).
Protección de Navegación y Contenido: Se implementarán filtros avanzados de URL y adjuntos, marcado claro de correos externos ([EXTERNAL] en el asunto o cuerpo), y, cuando sea necesario, aislamiento remoto de navegador para enlaces de alto riesgo.
Seguridad en Comercio Electrónico: Se mantendrá un inventario controlado de scripts de terceros en el sitio web, conforme a los requisitos 6.4.3 y 11.6.1 del PCI DSS 4.0.
Gestión de Accesos: Se aplicará el principio de mínimo privilegio, con revisiones trimestrales de los accesos en todas las plataformas.
03. Concientización y Capacitación
Se ejecutará un programa continuo que incluye:
- Inducción para nuevos empleados sobre riesgos de phishing y procedimientos de reporte.
- Capacitación anual obligatoria para todo el personal.
- Recordatorios mensuales (“nudges”) con ejemplos recientes de amenazas.
- Simulaciones de phishing trimestrales segmentadas por función (ej., simulaciones de fraude a proveedores para el departamento financiero; simulaciones de robo de credenciales para atención al cliente).
Se medirán y reportarán:
- Tasa de clics en simulaciones.
- Tasa de reporte de incidentes (correos sospechosos reportados).
- Tiempo promedio de respuesta ante un incidente real.
04. Respuesta a Incidentes (Playbook)
a) Reportar: Todo empleado que identifique un correo o mensaje sospechoso debe:
- Usar el botón “Reportar Phishing” en su cliente de correo (si está disponible).
- O reenviarlo como archivo adjunto (para preservar cabeceras) a la dirección security@carvisionpro.com.
- Nunca hacer clic en enlaces ni abrir adjuntos del mensaje sospechoso.
- Para confirmaciones críticas (cambios de datos bancarios, pagos), usar un canal alternativo verificado (teléfono conocido presencialmente o marcado desde una fuente confiable).
b) Contener: El equipo de seguridad (o el responsable designado) aislará los buzones o endpoints afectados, revocará sesiones activas, y bloqueará dominios/URLs maliciosas en los filtros de correo y DNS.
c) Erradicar y Recuperar: Se restablecerán credenciales comprometidas, se rotarán claves DKIM si es necesario, se purgarán los mensajes maliciosos de los buzones y se realizará una higiene de seguridad en los endpoints (análisis antivirus, eliminación de archivos temporales).
d) Aprender: Cada incidente generará un análisis post-mortem para ajustar reglas técnicas, actualizar la capacitación y mejorar los procesos. Las lecciones aprendidas se incorporarán a las próximas simulaciones.
05. Métricas y Cumplimiento
KPIs Clave:
- Porcentaje de correo autenticado (SPF/DKIM/DMARC exitoso).
- Tasa de adopción de MFA en cuentas críticas (100% objetivo).
- Tasa de reporte de phishing (correos reportados / correos maliciosos detectados por filtros).
- Tiempo medio de contención (MTTR) desde la detección hasta la contención.
Revisión: Esta política y su eficacia se revisarán semestralmente como parte del Sistema de Gestión de Seguridad de la Información (ISMS) basado en ISO 27001:2022. Los resultados de las simulaciones y métricas se presentarán a la alta dirección.
06. Datos De Contacto
Contacto para reportes de phishing:
Correo electrónico: security@carvisionpro.com
(Los clientes también pueden reportar suplantaciones a esta dirección)
Actualizaciones: Esta política puede ser actualizada periódicamente. La versión vigente se encuentra publicada en www.carvisionpro.com/legal/anti-phishing.