Política de Verificación de Antecedentes del Personal
Control de Gobernanza: Verificación de Antecedentes del Personal
1. Propósito
Establecer los requisitos para realizar verificaciones de antecedentes y evaluaciones de seguridad para todas las categorías de personal de manera proporcional a la sensibilidad de los activos y datos a los que tendrán acceso, incluyendo requisitos para proveedores externos.
2. Alcance
Esta política aplica a todos los empleados, contratistas, personal temporal, pasantes y personal de proveedores externos que accedan a los sistemas de información, datos o instalaciones de [ORGANIZACION].
3. Contenido del Política
3.1 Requisitos de Nivel de Verificación
[ORGANIZACION] implementa un enfoque de verificación escalonado basado en la sensibilidad del rol y los activos a los que se accede:
| Nivel | Roles Aplicables | Componentes de Verificación | Frecuencia de Reverificación |
|---|---|---|---|
| Nivel 1 - Estándar | Personal general con acceso estándar al sistema | Verificación de identidad, verificación de antecedentes penales, historial laboral (últimos [PERSONALIZAR: 5 years]) | Al contratar; [PERSONALIZAR: every 5 years] |
| Nivel 2 - Mejorado | Personal de TI, manejadores de datos, supervisores con acceso elevado | Nivel 1 más verificación crediticia, verificación de educación, verificación de referencias profesionales | Al contratar; [PERSONALIZAR: every 3 years] |
| Nivel 3 - Alta Sensibilidad | Administradores de sistemas, equipo de seguridad, ejecutivos, personal con acceso a activos críticos | Nivel 2 más verificación penal ampliada (todas las jurisdicciones), verificación de inhabilitación regulatoria | Al contratar; [PERSONALIZAR: every 2 years] |
| Nivel 4 - Crítico | Personal con acceso root/administrador de dominio, gestión de claves o acceso a datos altamente restringidos | Nivel 3 más [PERSONALIZAR: security clearance verification, additional screening as required] | Al contratar; [PERSONALIZAR: annually] |
3.2 Requisitos Previos a la Contratación
Ningún personal deberá recibir acceso a los sistemas de información, datos o instalaciones seguras de [ORGANIZACION] hasta que la verificación requerida para su nivel asignado haya sido completada y aprobada.
En circunstancias excepcionales donde las necesidades del negocio requieran acceso antes de que la verificación esté completa, una excepción temporal puede ser otorgada por [PERSONALIZAR: CISO/HR Director] con las siguientes condiciones: el acceso se limita al mínimo necesario, el individuo es supervisado, se habilita monitoreo mejorado y la verificación se completa dentro de [PERSONALIZAR: 30 days].
Las aprobaciones de excepciones deberán documentarse y mantenerse en los registros de verificación.
3.3 Requisitos para Proveedores Externos
Todos los contratos con proveedores externos cuyo personal accederá a los activos de [ORGANIZACION] deberán incluir requisitos de verificación de antecedentes proporcionales al nivel de acceso.
Los proveedores externos deberán proporcionar una atestación escrita de verificación completada para todo el personal asignado a compromisos con [ORGANIZACION], antes de que se otorgue el acceso.
[PERSONALIZAR: Vendor Management / Procurement] deberá verificar el cumplimiento de la verificación de terceros durante la incorporación y periódicamente durante el término del contrato.
Los estándares de verificación requeridos para personal de terceros son los mismos que para los roles equivalentes de [ORGANIZACION] según se define en los Requisitos de Nivel de Verificación.
3.4 Hallazgos Adversos
Los hallazgos adversos de verificación deberán ser evaluados por [PERSONALIZAR: HR / Security] caso por caso considerando la naturaleza y gravedad del hallazgo, su relevancia para el rol, el tiempo transcurrido desde el evento y cualquier circunstancia atenuante.
Las decisiones de contratar, retener o denegar acceso basadas en hallazgos adversos deberán documentarse con justificación y ser aprobadas por [PERSONALIZAR: HR Director / CISO].
Los hallazgos adversos que presenten un riesgo de seguridad claro e inmediato resultarán en la denegación o suspensión inmediata del acceso pendiente de revisión.
El personal que tenga conocimiento de cambios en su propio estado de verificación (por ejemplo, arresto, condena) deberá reportar dichos cambios a [PERSONALIZAR: HR / Security] dentro de [PERSONALIZAR: 5 business days].
3.5 Registros y Privacidad
Todos los registros de verificación deberán mantenerse de forma segura por [PERSONALIZAR: HR Department] con acceso limitado al personal autorizado bajo el principio de necesidad de conocer.
Las actividades de verificación deberán cumplir con todas las leyes y regulaciones de privacidad aplicables en las jurisdicciones de operación, incluyendo [PERSONALIZAR: applicable privacy regulations].
Los individuos deberán ser informados de los requisitos de verificación y proporcionar consentimiento antes de que se realice la verificación.
Los registros de verificación deberán conservarse durante la duración del compromiso del individuo más [PERSONALIZAR: 7 years] según el calendario de retención de registros.
4. Cumplimiento
El cumplimiento de este política es obligatorio para todo el personal y funciones dentro de su alcance. El cumplimiento será monitoreado a traves de auditorías periódicas, revisión de la gerencia y supervisión de la segúnda linea de defensa.
Las excepciones a este política deben documentarse con una justificación de negocio, ser aprobadas por [PERSONALIZAR: CISO/Comite Ejecutivo de Riesgos], y revisarse al menos anualmente.
5. Revisión y Actualización
Este política será revisado al menos anualmente por [PERSONALIZAR: CISO/Propietario del Documento] y actualizado según sea necesario para reflejar cambios en el panorama de amenazas, requisitos regulatorios, estructura organizaciónal o apetito de riesgo.
Todas las revisiónes serán documentadas con número de version, fecha, autor y descripción de los cambios.
Aprobación del Documento
Aprobado Por
Cargo
Fecha
Control de Documentos