Política de Datos

La Alta Dirección de SAFEWAVE SpA declara formalmente su compromiso irrevocable con la implementación, mantenimiento y mejora continua de un Sistema de Gestión de Seguridad de la Información (SGSI) conforme a los requisitos de la norma ISO/IEC 27001. La seguridad de la información constituye un pilar estratégico esencial para la organización, siendo fundamental para la protección de los datos personales de los usuarios, el cumplimiento normativo vigente y la sostenibilidad institucional a largo plazo. Este compromiso implica la asignación de recursos adecuados, la definición de responsabilidades claras y la integración de la seguridad como parte del gobierno corporativo.

La presente política aplica a todos los sistemas de información de SafeWave, a su infraestructura tecnológica, a su personal interno, a proveedores tecnológicos y a todos los procesos relacionados con el tratamiento de datos personales. Ningún sistema, proceso o tercero que tenga acceso a información gestionada por la organización queda excluido del alcance del SGSI.

El Sistema de Gestión de Seguridad de la Información de SafeWave se estructura sobre los principios fundamentales de confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad. En materia de confidencialidad, la organización garantiza que la información solo será accesible por personas debidamente autorizadas, bajo el principio de mínimo privilegio. Para ello se implementan controles de acceso basados en roles, mecanismos de autenticación robusta, cifrado de datos en tránsito y, cuando corresponda, cifrado en almacenamiento, junto con la suscripción de acuerdos formales de confidencialidad.

En cuanto a la integridad, SafeWave adopta medidas destinadas a asegurar que la información sea exacta, completa y protegida contra modificaciones no autorizadas. Se mantienen registros de auditoría, procedimientos formales de control de cambios, validaciones técnicas y mecanismos de protección frente a alteraciones maliciosas o accidentales.

Respecto de la disponibilidad, la organización implementa medidas razonables para garantizar que la información esté accesible cuando sea requerida por usuarios autorizados. Esto incluye la utilización de infraestructura redundante cuando resulte viable, la realización de copias de seguridad periódicas, la mantención de un plan de continuidad operativa y la definición de un plan de recuperación ante desastres debidamente documentado.

Asimismo, SafeWave garantiza la trazabilidad y autenticidad de las operaciones realizadas sobre la información mediante mecanismos que permiten identificar quién accede a los datos, qué acciones ejecuta y cuándo se realizan dichas acciones. Para ello se mantienen registros de acceso, logs de eventos críticos y conservación de evidencias digitales conforme a la legislación vigente.

SAFEWAVE SpA declara de manera expresa, permanente y estructural que no venderá datos personales, no arrendará bases de datos, no intercambiará información con fines comerciales, no monetizará información personal y no utilizará datos para publicidad externa ni perfilamiento comercial. El tratamiento de datos se limita exclusivamente a la operación técnica del servicio, la seguridad de la comunidad digital y el cumplimiento de obligaciones legales. Esta prohibición constituye un principio rector del modelo de gobernanza organizacional y no admite excepciones comerciales.

El SGSI considera el cumplimiento estricto de la Ley N° 19.628 sobre Protección de la Vida Privada, la Ley N° 21.459 sobre Delitos Informáticos, la normativa chilena aplicable, los requisitos contractuales con terceros y los estándares establecidos por la norma ISO/IEC 27001. La organización adopta un enfoque preventivo basado en la gestión sistemática de riesgos, el cual contempla la identificación de activos de información, amenazas, vulnerabilidades, análisis de impacto, tratamiento del riesgo y revisiones periódicas documentadas conforme a criterios definidos por la organización.

SafeWave mantiene un procedimiento formal de gestión de incidentes de seguridad que incluye su detección, registro, análisis, contención, erradicación, recuperación y mejora posterior. Cuando la naturaleza del incidente lo requiera, se dará cumplimiento a las obligaciones legales de notificación ante las autoridades competentes o a los titulares de los datos, según corresponda.

La Alta Dirección es responsable del liderazgo estratégico del SGSI, asegurando su alineación con los objetivos institucionales. El Encargado de Seguridad de la Información supervisa su implementación y seguimiento operativo. Todo colaborador tiene la responsabilidad individual de cumplir esta política, y los proveedores que tengan acceso a información deberán cumplir estándares equivalentes de seguridad establecidos contractualmente.

El tratamiento de datos personales se rige por los principios de finalidad, proporcionalidad, minimización y seguridad. Los titulares de los datos podrán ejercer sus derechos conforme a la legislación vigente mediante los canales oficiales definidos por la organización.

El SGSI será revisado periódicamente mediante auditorías internas, revisiones por la dirección, evaluaciones de desempeño y actualización de controles, en coherencia con el principio de mejora continua establecido por la norma ISO/IEC 27001. La presente política será revisada al menos una vez al año o cuando existan cambios significativos en el contexto normativo, la infraestructura tecnológica, el modelo de negocio o el análisis de riesgos institucional.

SAFEWAVE SpA adopta un enfoque de seguridad por diseño y por defecto, incorporando la protección de la información desde la concepción de sus sistemas y procesos. La protección de la información no constituye únicamente una obligación legal, sino un compromiso estructural y permanente con la comunidad digital, la confianza de los usuarios y la responsabilidad institucional.