V0 · 2026-05-16Borrador V0Personas + Empresas

Política de Confidencialidad

Protección de la información obtenida o generada durante todas las actividades de certificación. Compromiso ético y contractual con candidatos, clientes y reguladores.

1Declaración

FVR protege la información confidencial obtenida o generada durante todas las actividades de certificación. La confidencialidad es un compromiso ético y contractual con candidatos, clientes, partes interesadas y reguladores.

2Alcance

Aplica a toda la información obtenida durante el ciclo de certificación en ambas líneas de servicio (17021 y 17024), incluyendo:

  • Datos personales de candidatos, clientes y empleados de clientes
  • Expedientes de auditoría (17021) y de evaluación (17024)
  • Hallazgos no publicados (NC mayores, NC menores, observaciones)
  • Información financiera y operativa del cliente
  • Código y datos del modelo IA (línea 17024)
  • Banco de preguntas
  • Claves criptográficas
  • Registros de personal interno y subcontratado
  • Información comercial confidencial (cotizaciones, contratos, tarifas)

3Principios

  1. Mínimo privilegio: cada rol accede solo a lo necesario para su función.
  2. Consentimiento informado: el candidato/cliente acepta el uso de su información mediante contrato.
  3. No divulgación externa sin consentimiento por escrito, salvo obligación legal.
  4. Cifrado en reposo y en tránsito para información de niveles 3 (Confidencial) y 4 (Restringida).
  5. Retención limitada según la política de retención de información.

4Obligaciones del personal

  • Firma de acuerdo de confidencialidad al ingreso
  • Renovación cada 3 años de la declaración (combo con contrato y políticas)
  • Subsistencia post-vínculo: 5 años
  • No discusión de casos fuera del entorno laboral controlado
  • Notificación inmediata de incidente real o sospechado
  • Devolución de información al término del vínculo

5Divulgación obligatoria por ley

Cuando autoridad competente requiera información mediante orden legal: Dirección General es notificada primero, asesor legal valida la orden, si procede FVR informa al cliente afectado antes de la divulgación (salvo prohibición legal), y se documenta la entrega con bitácora.

6Niveles de información

La información se clasifica en cuatro niveles: Pública, Interna, Confidencial y Restringida.

7Incidentes

Cualquier acceso no autorizado, fuga, pérdida o sospecha se gestiona por el procedimiento interno de incidentes. Tiempo máximo de reporte interno: 2 horas. Reporte a partes afectadas conforme a regulación (México: INAI ≤ 72 horas para datos personales).

8Sanciones

SeveridadAcción
NegligenciaCapacitación obligatoria + amonestación
Acceso no autorizadoAcción disciplinaria + reporte Comité Salvaguarda
Filtración deliberadaTerminación + acción legal
Comercialización de información confidencialAcción legal + reporte al Organismo Acreditador
ISO/IEC 17024 · cláusula 4.4 · ISO/IEC 17021-1 · cláusula 8.4
Solicitar versión firmada