1

Manual de Seguridad de la InformaciónJulio 2020

FY21

Versión: 1.00Clasificación: Interna con Uso Externo LimitadoJulio de 2020

2

Contenido

Carta a los colaboradores y prestadores de servicios 4

La seguridad de la información en PwC 5

Enlaces de interés 5

Clasificación de la información 6

La necesidad de clasificar la información 7

Ciclo de vida de la información 8

Los datos personales 9

Datos personales sensibles 10

Protección de datos personales en PwC 11

Marco de clasificación de datos de PwC 12

Prácticas para la protección de la información en PwC 14

Herramientas provistas por PwC para la protección de tu información y la de tus clientes

15

Manejo de la información de PwC y sus clientes 16

Identificador de usuario y contraseñas 17

Desktops y computadoras portátiles 18

Trabajo remoto 19

Telefonía 20

Dispositivos móviles y smartphones 21

Compartir la información administrada por PwC con los clientes o compañeros del equipo de trabajo

22

Copias de seguridad de la información (Backup) 23

Uso de herramientas de comunicación 24

Correo electrónico (e-mail) 25

Mensajería instantánea 26

Uso de Internet 27

Actividades y comportamientos prohibidos en Internet 28

Uso de las redes sociales 29

Protección contra amenazas provenientes de Internet 30

Phishing, vishing y SMiShing 30

Protección contra software malicioso 31

Seguridad física 32

Precauciones para garantizar la seguridad física 33

Política de escritorios limpios 33

Incidentes de seguridad 34

¿Qué es un incidente de seguridad? 35

¿Cómo reportar un incidente de seguridad? 35

Sanciones y excepciones 36

Sanciones por violar la política de seguridad de PwC 37

Excepciones 37

Anexo I 38

Ejemplos de datos clasificados como públicos 39

Ejemplos de datos clasificados como internos 40

Ejemplos de datos clasificados como confidenciales 41

Ejemplos de datos clasificados como altamente confidenciales 42

4

Carta a los colaboradores y prestadores de servicios

Estimado colaborador o prestador de servicios:

Para PwC la información es un activo valioso, que como cualquier otro, es importante para el negocio y tiene un gran valor para la organización. En consecuencia, la misma debe ser adecuadamente protegida.

La política de seguridad de la información de PwC y las normas que de ella surgen se presentan en este manual con el fin de garantizar la protección de la confidencialidad de la información de PwC, sus clientes y empleados, así como también la privacidad de la información personal de aquellos con quienes PwC interactúa.

La confidencialidad, integridad y disponibilidad de la información son esenciales para preservar el negocio, la competitividad y el cumplimiento de los requisitos legales y profesionales, además de la imagen y reputación de PwC en el mercado.

Teniendo en cuenta lo expresado anteriormente, corresponde a todos los colaboradores y prestadores de servicios de PwC tomar conocimiento, observar y cumplir las normas descritas en este manual, así como también garantizar la seguridad de la información.

La seguridad de la información es un deber de todos en PwC.

Contamos con su colaboración.

En caso de duda, contáctese con NIS_CO@pwc.com

PwC Colombia

5

La seguridad de la información en PwC

Enlaces de interés

Sitio de NIS en Sparkhttps://pwc-spark.com/groups/pwc-itonecommunity/projects/network-information-security

Information Security Policy en Sparkhttps://pwc-spark.com/groups/network-information-security-policy-isp

Clasificación de datos en Sparkhttps://pwc-spark.com/docs/DOC-845236

La seguridad de la información (Information Security) es una prioridad para las firmas miembro de la red global de PricewaterhouseCoopers International Limited (PwC). Las firmas miembro son responsables de que sus colaboradores, clientes, proveedores y asociados protejan la información de toda la red PwC.

Una brecha en la seguridad de dicha información podría dañar a los individuos u organizaciones cuya información administra, llevando a sufrir sanciones regulatorias o pérdidas financieras e impactando en la reputación de la firma y de la marca PwC.La política de seguridad de la información (Information Security Policy -ISP-), establece los requerimientos mínimos de seguridad a los cuales todas las firmas PwC deben dar cumplimiento.

Es política de PwC que la información y activos de las firmas miembro estén protegidos frente a amenazas internas y externas, ya sean deliberadas o accidentales, de modo tal que:

• La información confidencial es resguardada apropiadamente

• La integridad de la información es mantenida para garantizar fiabilidad y completitud

• La información acerca de individuos es procesada de acuerdo a sus derechos

• La información está sólo disponible para aquellos individuos que tienen necesidades asociadas al negocio de PwC. También que sólo la información necesaria esté disponible

• Se da cumplimiento a las obligaciones legales, regulatorias y contractuales que apliquen

• La marca PwC está protegida

El presente manual destaca los principales puntos de la política de seguridad de la información. Sin embargo, no es un reemplazo de la misma.

6

Clasificación de la información

7

La necesidad de clasificar la información

La clasificación de los datos e información nos ayuda a todos en PwC a saber cómo protegerlos. También nos proporciona un marco común para comprender las características de un conjunto de datos o porciones de información. Cuando identificamos y clasificamos datos / información, sabemos:

• El nivel de sensibilidad• El tipo de riesgo que representa para PwC si

se perdieran• Cómo protegerlos contra cualquier daño

Saber esto resulta útil para gestionarlos a lo largo de su vida útil y cumplir los requisitos de protección de datos, legales y reglamentarios.

En el contexto de este documento los términos datos e información se utilizan de manera indistinta. Ambos representan el registro de hechos o circunstancias en un modo considerado equivalente. Por ejemplo, archivos de aplicaciones, datos en bases de datos, guardados en medios ópticos o cualquier otro soporte.

8

Ciclo de vida de la información

En PwC interactuamos con datos a lo largo de cuatro etapas que constituyen su ciclo de vida:

Recolección de datos para fines legítimos del negocio

Utilización de datos interactuando con ellos, desarrollándolos y modificándolos

Distribución de datos a personas con una necesidad legítima del negocio

Finalización de nuestro trabajo con los datos ya sea conservándolos o desechándolos

En cada etapa del ciclo de vida de la información, cada uno de nosotros tiene un rol vital en la protección de la misma. La pérdida o filtración de datos personales puede afectar negativamente tanto a las personas a las que hacen referencia esos datos, como así también a operaciones, servicios y la reputación de PwC, pudiendo implicar sanciones económicas y pérdida de contratos.

9

Los datos personales

Datos disponibles públicamente (p. ej., nombre, fotografía, empleador)

Datos para contactar o localizar a una persona (p. ej., dirección de correo electrónico, número de teléfono, domicilio)

Datos que se pueden vincular con datos de otras fuentes para identificar a una persona (p. ej., dirección IP vinculada a una dirección postal)

ID/GUID de empleado

Historial de empleo y educación

Sueldo y bonificaciones

Son considerados datos personales aquellos que se relacionan con una persona física identificada o por los cuales se puede identificar a una persona física. Los datos personales incluyen entre otros:

Algunos ejemplos adicionales son:

10

Datos personales sensibles

Los datos personales sensibles son aquellos que si se pierden, comprometen o revelan sin autorización pueden dar lugar a un daño considerable, vergüenza, molestia o injusticia para una persona.

La combinación de datos personales de distintas fuentes puede lograr la identificación de una persona. Por ejemplo, cuatro fuentes de datos diferentes combinadas pueden permitir vincular el año de nacimiento, sexo, código postal y diagnóstico médico para identificar a una persona.

En PwC adoptamos medidas adicionales para proteger los datos personales sensibles. El marco de clasificación de los datos nos ayuda a saber qué medidas necesitamos adoptar.

Raza u origen étnico

Opiniones políticas

Creencias filosóficas o religiosas

Afiliación sindical

Registros médicos

Ejemplos de datos personales considerados datos personales sensibles:

11

Protección de datos personales en PwC

La mayoría de las leyes y normativas de protección de datos están diseñadas para proteger los datos personales. Por ejemplo: el Reglamento General de Protección de Datos [RGPD o GDPR por sus siglas en inglés] de la Unión Europea o la Ley de transferibilidad y responsabilidad de seguros médicos [Health Insurance Portability and Accountability Act, HIPAA] de los EE.UU.

PwC estableció su propia política de protección de datos personales (Network Data Protection Policy) para asegurarse el cumplimiento de las leyes y normativas existentes, como así también para protegernos de los efectos negativos de una eventual pérdida de datos. Los equipos de trabajo deben ser conscientes de los requisitos de protección establecidos por PwC y cumplir con ellos, especialmente donde hay datos personales implicados. 

12

Marco de clasificación de datos de PwC

El marco de clasificación de los datos de PwC considera el posible impacto de una brecha de seguridad en una persona o en PwC según tres propiedades de la información: confidencialidad, integridad y disponibilidad. Cualquiera de ellas que se vea vulnerada puede tener un impacto negativo para la Firma, clientes o personas.

• La confidencialidad es mantener el acceso autorizado a la información.

• La integridad es la protección contra el uso inadecuado de la información (modificación, destrucción, etc.)

• La disponibilidad es garantizar el acceso fiable y oportuno a la información para llevar a cabo actividades de negocios.

Para lograr y mantener la responsabilidad, protección y uso adecuado de los datos de PwC y de los clientes, todos los datos deben clasificarse según su sensibilidad y criticidad:

• La sensibilidad mide el control de acceso necesario de los datos. Al determinar la sensibilidad de los datos, es clave observar los requisitos de cumplimiento, jurídicos y contractuales correspondientes según lo exigido por las leyes, normativas y estándares. Normalmente, los requisitos de confidencialidad definen el nivel de sensibilidad de los datos

• La criticidad mide la importancia de los datos para la organización. Al determinar la criticidad de los datos se debe observar su importancia o riesgo en relación a las metas y objetivos de la empresa. Esto incluye el funcionamiento ininterrumpido de las operaciones de negocio e informáticas esenciales. Normalmente, los requisitos de integridad y disponibilidad definen el nivel de criticidad de los datos

13

La tabla siguiente describe los niveles de clasificación de la información de PwC y proporciona una base para comprender y gestionar de manera apropiada los activos de información.

* Los datos regulados son clasificados como “restringidos” por PwC; esta información requiere un mayor nivel de protección debido a su naturaleza y a las posibles consecuencias en caso de que se vea comprometida.

Figura 1En el anexo 1 se pueden observar ejemplos de clasificación de datos.

Solo ciertas personasCirculación restringida.

No copiar

Nivel de acceso

Pública Interna Confidencial Altamente confidencial

Control de confidencialidad

Solo cierto grupo de personas Encriptada en todo momento y estado

Solo personas de PwCObservar la seguridad.

No comentar fuera de PwC

Pública Respetar derechos de autor y privacidad de las personas

Etiqueta de clasificación

DefiniciónImpacto potencial en la divulgación

Pública Información destinada al uso público.

No hay impacto negativo ni implicaciones si se divulga o se pierde.

Interna Información destinada al uso interno o uso externo autorizado.El atributo “restringido” se puede asignar para identificar datos con restricciones adicionales basadas en los requisitos reglamentarios, legales o del cliente.*

La pérdida o divulgación no autorizada puede causar humillación a PwC, un daño menor a la marca y la reputación de PwC, y/o pérdidas o sanciones financieras menores.

Confidencial Información sujeta al principio de mínimo conocimiento para ciertos individuos o grupos.El atributo “restringido” se puede asignar para identificar datos con restricciones adicionales basadas en los requisitos reglamentarios, legales o del cliente.*

La pérdida o divulgación no autorizada puede causar daño significativo a la marca y la reputación de PwC, infringir las responsabilidades profesionales, contractuales o legales de PwC, y/o generar sanciones financieras significativas.

Altamente confidencial (por ejemplo, clasificación gubernamental superior)

Información confidencial sujeta al principio de mínimo conocimiento para ciertos individuos o grupos. Al acceso típicamente lo aprueba la alta gerencia de las empresas afiliadas a PwC.

El atributo “restringido” se puede asignar para identificar datos con restricciones adicionales basadas en los requisitos reglamentarios, legales o del cliente.*

La pérdida o divulgación no autorizada puede causar daño grave a la marca y la reputación de PwC, infringir las responsabilidades profesionales, contractuales o legales de PwC, y/o generar sanciones financieras y reglamentarias graves.

14

Prácticas para la protección de la información en PwC

15

Herramientas provistas por PwC para la protección de su información y la de sus clientes

PwC entrega a cada usuario una computadora con herramientas de uso obligatorio para proteger la información, entre ellas podemos encontrar:

• Encriptación de los datos contenidos en el disco de la computadora y dispositivos móviles.

• Encriptación de los datos contenidos en dispositivos de almacenamiento portátil (USB, discos externos, etc), los cuales son de uso restringido.

• Antivirus y software de detección de actividades maliciosas.

• Herramientas para compartir documentos de manera segura.

• Cable de seguridad para laptops.

16

Manejo de la información de PwC y de sus clientes

Para garantizar la seguridad de la información de PwC, todos los colaboradores de PwC debemos siempre seguir estas reglas:

• Observar la clasificación de la información que se administra.

• Mantener todos los documentos y materiales de trabajo con información de PwC y de sus clientes en lugares adecuados para su almacenamiento y protección.

• No dejar con libre acceso documentos digitales o impresos clasificados Confidencial o Altamente Confidencial.

• Cuando deba eliminar documentos con información no pública, destruirlos de modo que su contenido sea irrecuperable y/o depositarlos en los recipientes designados para la eliminación o destrucción de material confidencial.

• Verificar cuidadosamente los destinatarios de correspondencia o correo electrónico para evitar errores en la entrega de los mismos con el consiguiente el desvío de información.

• No utilizar recordatorios escritos que expongan información sensible.

• No dejar documentos junto a impresoras, copiadoras o aparatos de fax.

16

17

Identificadores de usuario y contraseñas

La combinación de usuario y contraseña sirve para identificarnos y autenticarnos como usuarios y así proteger la información evitando el acceso no autorizado a la misma. Todos los colaboradores de PwC debemos cumplir con las reglas para la creación y uso de contraseñas:

• Las credenciales de usuario son personales e intransferibles. No las anote en papeles o en otros lugares. Divulgarlas es una violación a la Política de Seguridad de PwC.

• Las contraseñas deben combinar letras, números y caracteres especiales. Deben respetar la longitud mínima establecida.

• Modificar las contraseñas que nos sean entregadas luego del primer uso de las mismas.

• Sólo se puede utilizar una aplicación para guardar contraseñas si la misma es autorizada por PwC.

• Si un mensaje sospechoso solicita el cambio de contraseña, verificar con el Soporte de IT la veracidad de la solicitud antes de realizar cualquier acción.

• Cambiar inmediatamente las contraseñas si se sospecha que otras personas las conocen.

• Utilizar contraseñas fáciles de recordar y difíciles de ser descubiertas por otras personas.

• No usar como contraseña el nombre de usuario, equipo deportivo, palabras escritas en sentido inverso, abreviaciones comunes, palabras como “contraseña” o “password”, etc.

• En caso de sospechar que se efectuaron acciones no autorizadas en nuestro nombre, comunicarlo inmediatamente al Soporte de IT o al gerente o superior inmediato.

• No utilizar ningún identificador de usuario de los sistemas de PwC como ser GUID o usuario de red en servicios externos a PwC tales como redes sociales o sitios de servicios profesionales.

18

Desktops y computadoras portátiles

Las computadoras portátiles -genéricamente denominadas notebooks- y desktops y la información que reside en ellas son activos de PwC que deben ser adecuadamente protegidos. Las portátiles son un blanco frecuente de robos, por su alto valor en el mercado y facilidad de transporte. Como miembros de PwC debemos observar estas reglas:

• Siempre asegurar su notebook con el cable- candado provisto por la firma, especialmente cuando el equipo esté desatendido en lugares públicos u oficinas de clientes. Siempre guardarla en gavetas (o equivalente) fuera del horario laboral.

• No intercambiar las computadoras entre el personal, tampoco delegar la custodia de las mismas sin la aprobación específica del área de IT.

• No prestar la computadora a otra persona, sea o no colaborador de PwC.

• Recordar que PwC se reserva el derecho de auditar periódicamente todos los dispositivos provistos por la firma y/o instalados en sus oficinas, sin previo aviso.

• Si se necesita conectar equipos de un proveedor o cliente a la red de PwC, un miembro de PwC deberá contactarse con el Soporte de IT y solicitar su análisis y aprobación formal.

• No utilizar los sistemas de información de PwC para obtener acceso no autorizado a cualquier Sistema de información de PwC o sistemas de información de cualquier otra organización, entidad o individuo. Individuos con roles específicos de pruebas de seguridad (por ejemplo: pentesting) solo podrían obtener acceso no autorizado como parte de sus responsabilidades para realizar pruebas específicas.

• No desactivar o manipular el software de seguridad instalado por PwC.

• Bloquear la pantalla cada vez que se deje desatendida la computadora.

• No compartir archivos, carpetas o directorio en las computadoras.

• No está permitida la instalación de software no autorizado en su computadora.

• Nunca dejar la notebook en un lugar visible o vulnerable en el automóvil.

• Verificar que el maletín o la mochila usados para transportar la notebook estén en condiciones de garantizar la protección física del equipo.

• Apagar la computadora (en lugar de “hibernar” o “suspender”) siempre que no se utilice por un tiempo prolongado, sea trasladada o no esté en uso en un espacio público.

• No mostrar que llevamos objetos de valor, tales como notebook, tableta o teléfono.

En caso de robo o hurto de la notebook, se debe reportar el hecho como un incidente de seguridad. Ver sección ¿Cómo reportar un incidente de seguridad?

19

Trabajo remoto

Cuando necesitemos trabajar desde ubicaciones distintas a las instalaciones de PwC (un hotel, oficina de cliente o domicilio particular), debemos observar ciertas pautas de comportamiento dado que esta actividad introduce riesgos adicionales. Se deben revisar las condiciones particulares de teletrabajo de su país, las cuales pueden variar según la política y los requerimientos de cada uno. Observe las siguientes indicaciones cuando se encuentre trabajando en forma remota:

• Bloquear siempre la pantalla de su computadora cuando la misma quede desatendida.

• No permitir que extraños vean la pantalla de la computadora cuando se la utilice en espacios públicos como aeropuertos, lobbies de hoteles o trenes. Utilizar el filtro de seguridad si se dispone del mismo.

• Trabajar siempre conectado a la red de PwC vía VPN.

• Observar de conectarse sólo a redes WiFi confiables y con contraseña.

• Recordar que las redes WiFi son redes públicas y de acceso compartido por lo cual se debe utilizar VPN para conectarse inmediatamente a la red de PwC. No enviar ni recibir información de PwC o alguno de sus clientes sin estar conectado a la VPN de PwC.

• Prestar especial atención cuando no nos encontremos conectados a la red de PwC a fin de evitar acceder a archivos o sitios web que podrían tener contenido malicioso.

20

Telefonía

Cuando realicemos conversaciones telefónicas se debe tener en cuenta lo siguiente:

• Al dejar a una persona esperando en línea con el teléfono abierto, observar que no estemos permitiendo que oiga asuntos confidenciales de PwC.

• Utilizar el recurso de “manos libres” (o speaker) moderadamente, para evitar que otras personas escuchen la conversación y tomen conocimiento del asunto discutido.

• Al dejar recados en contestadores automáticos o casillas de voz, solamente transmitir la información necesaria para que la otra persona pueda devolver la llamada.

• Al atender el teléfono, no divulgar más información que nuestro nombre y el nombre de la firma, salvo que tenga total certeza de la identidad y el motivo de quien llama.

• No discutir asuntos confidenciales con interlocutores desconocidos o con propósitos dudosos por teléfono. Verificar primero la identidad y los propósitos del interlocutor.

• Evitar usar teléfonos para discutir asuntos confidenciales de la firma. Si fuera indispensable, hacerlo discretamente con la seguridad de que la conversación no sea oída por otras personas. Prestar atención a espacios cerrados pero no acústicamente aislados.

20

21

Dispositivos móviles y smartphones

Cuando utilizamos un dispositivo móvil o smartphone, debemos observar:

• Bloquear siempre el teléfono cuando no esté en uso.

• Las comunicaciones que contengan información de PwC o de sus clientes, están sujetas a las políticas de seguridad de PwC.

• El uso de cuentas de correo personal para comunicarse con clientes o para transmitir información de la firma está terminantemente prohibido.

• No utilizar mensajes de texto o de otro tipo (iMessage, WhatsApp, etc.) para compartir información de la firma o sus clientes, independientemente de quién sea el receptor.

• Los datos guardados pueden ser sujetos a inspección por parte de la firma de acuerdo a su sola discreción y conforme las regulaciones de cada país.

• No realizar capturas de pantalla del dispositivo cuando acceda a información de PwC.

• Notificar a los participantes en eventos sociales patrocinados u organizados por PwC o en eventos de oficina informales antes de tomar fotografías, videos o grabaciones de audio.

• El robo, extravío, obsequio, donación o reparación mayor de un smartphone con información de la firma debe ser reportado inmediatamente, ya sea éste propiedad del colaborador o de PwC. PwC se reserva el derecho de proceder según el convenio local de gestión de dispositivos móviles.

• PwC se reserva el derecho a eliminar aplicaciones que estén sin licencia, que puedan ser consideradas maliciosas, o que puedan afectar la seguridad de los servicios o información que el dispositivo administre. También se reserva el derecho de eliminar todo contenido y configuración del equipo en caso de múltiples intentos de acceso fallidos.

22

Compartir la información administrada por PwC con los clientes o compañeros del equipo de trabajo

En nuestro día a día manejamos diferentes tipos de información, la cual debe ser cuidada según la política de PwC. Es por ello que debemos tener los siguientes recaudos:

• Nunca discutir asuntos confidenciales o internos de PwC o sus clientes frente a personas que no necesiten tener conocimiento de esta información o que no estén directamente involucradas en el asunto. Tampoco hacerlo fuera de los lugares de trabajo, particularmente en áreas públicas tales como bares, ascensores, medios de transporte, etc.

• Siempre comprobar la identidad de su interlocutor cuando trate asuntos de la firma. Solicite datos de contacto, como ser teléfono y dirección debidamente comprobados.

• No compartir información, de cualquier manera, con ninguna persona o entidad sin obtener la autorización del responsable de la información.

• Nunca dar información de clientes o proyectos a personas no vinculadas con el tema.

• Ser reservado con personas que intenten obtener información personal nuestra, de otros colaboradores o prestadores de servicios de PwC o de sus clientes. Tener en cuenta la técnica de “ingeniería social” (obtención de información mediante engaños) utilizada para obtener información de la firma o sus clientes.

Reportar de inmediato cualquier incidente o sospecha de incidente de seguridad que observemos tal cual se indica en ¿Cómo reportar un incidente de seguridad?

22

23

Copias de seguridad de la información (Backup)

Si necesitamos hacer backup de la información, consultar con el soporte local de IT para conocer las herramientas que la Firma brinda al respecto. Siempre debemos tener en cuenta lo siguiente:

• Almacenar todos los archivos relacionados con el trabajo en el repositorio central del proyecto o sector de la Firma (servidor de PwC). Estos datos son custodiados por PwC.

• Ser cuidadoso al realizar backup de información confidencial (o superior) o de datos personales. Asegurarnos de tener la aprobación del dueño de la información y verificar que el lugar de almacenamiento sea seguro.

• En caso de necesidad de backups especiales comunicarlo al soporte de IT.

23

24

Uso de herramientas de comunicación

25

Correo electrónico (e-mail)

El correo electrónico provisto por PwC es nuestro medio oficial de comunicación con los clientes, proveedores y otras partes relativas al trabajo. Por esto debemos cumplir y observar lo siguiente:

• Recordar que el contenido de correos electrónicos con clientes y terceros podrá ser considerado como la posición oficial de PwC. Se debe actuar con profesionalismo.

• No transmitir por correo electrónico información o archivos adjuntos con información no pública a otras cuentas de correo electrónico fuera del ambiente de PwC.

• En caso de ser necesario el envío electrónico de un archivo que contenga información confidencial, se lo debe proteger obligatoriamente para evitar la lectura indebida utilizando una contraseña de la aplicación en que lo generó (WinZip, MS-Word, MS-Excel, etc.). Nunca enviar en el mismo correo el mensaje protegido y las contraseñas utilizadas.

• No enviar mensajes internos o externos, tales como chistes, material de carácter sexual, imágenes, videos, música, juegos, mensajes o textos de contenido étnico, criminal, religioso, político o que pueda interpretarse como ofensivo.

• No crear ni reenviar cadenas de correo que induzcan a enviar el mensaje a otras personas.

• Proteger contra alteraciones indebidas los documentos electrónicos confidenciales que deban enviarse a clientes o terceros. Por ejemplo, convertirlos a formato pdf, con los permisos de impresión y copia apropiados.

• Controlar que los mensajes sean enviados a los destinatarios pretendidos y sólo a ellos.

• Tener en cuenta que todos los correos electrónicos enviados o recibidos por el sistema de correo electrónico de la firma pueden ser abiertos y analizados por PwC, sin previo aviso.

• El uso de correos personales para el intercambio de información laborar con los clientes, proveedores o terceros está prohibido. Sólo utilizar el correo laboral provisto por PwC.

• No leer, acceder, ni divulgar emails de otros colaboradores y prestadores de servicios.

26

Mensajería instantánea

Debemos tener presente las siguientes recomendaciones y políticas al momento de usar este tipo de programas:

• Utilizar solo los programas de mensajería instantánea provistos por la firma para comunicaciones internas.

• Toda instalación de software alternativo de mensajería instantánea debe ser aprobada, verificada y realizada por el área local de IT.

• Usar el sistema de mensajería instantánea para comunicarnos con clientes sólo si forma parte del acuerdo contractual con el mismo y se garantizan las condiciones de privacidad.

• No enviar información no pública a través de mensajes instantáneos.

• No compartir ni distribuir archivos que puedan violar la propiedad intelectual y los derechos de autor (música, libros, películas, etc.). En caso de ser necesario usar una herramienta adicional, contactar al soporte de IT, para que sea revisado el caso.

27

Uso de Internet

Internet es una herramienta muy útil para la investigación y el intercambio de información relevante para las actividades del negocio de PwC. Sin embargo, no está libre de riesgos para los cuales se establecen las siguientes condiciones para hacer uso adecuado de este recurso.

• El uso ocasional de Internet y las herramientas de comunicación electrónica por motivos no laborales se encuentra permitido siempre y cuando no interfiera en la productividad de los colaboradores y cumpla con los principios y recomendaciones descritos en el presente manual y el Código de Conducta de PwC.

• PwC monitorea todos los accesos a Internet, por lo tanto deberá ser utilizada moderadamente cuando se trate de asuntos no relacionados con las actividades de la Firma.

• PwC dispone de diferentes herramientas para bloquear sitios que puedan afectar la seguridad o productividad de los usuarios. No obstante, el hecho de que una página no se encuentre bloqueada no implica la autorización de acceso a ella. Ante una duda sobre acceder a un sitio web, contactar al soporte de IT. Al acceder a Internet utilizando los recursos de PwC debe tener en cuenta lo siguiente:

• Nunca proporcionar su dirección de email de PwC para el uso de servicios web personales. Siempre se debe utilizar un correo personal.

• Para acceder a Internet, usar sólo los programas habilitados y autorizados por la firma. No utilizar ningún software adicional. Contactar al soporte de IT para resolver una necesidad dentro de las políticas de PwC.

• Está prohibido interceptar, divulgar o leer comunicaciones electrónicas sin la autorización del dueño de la información o los directivos de la Firma.

• En cumplimiento de la normativa y legislación local, la firma se reserva el derecho de analizar, monitorear y examinar cualquier comunicación electrónica por motivos de seguridad y/o investigación.

28

Actividades y comportamientos prohibidos en Internet

• Desarrollar actividades criminales o contrarias a la ley.

• Difundir mensajes amenazadores, de acoso, de persecución o de intimidación.

• Suplantar, ocultar, suprimir o tergiversar la identidad de un usuario en cualquier sistema de comunicaciones electrónicas o redes sociales.

• Transmitir, observar, descargar, almacenar o enviar material con contenido sexual o cualquier otro considerado ofensivo: obscenidades, bromas, material discriminatorio, etc.

• Descargar, instalar, almacenar, distribuir o vender materiales que violen los derechos de autor del mismo.

• Utilizar recursos no autorizados para intercambiar información del cliente o de la Firma.

• Realizar comentarios contrarios al Código de Ética de PwC en redes sociales, foros o cualquier otro sitio web en relación a la Firma.

• Acceder a sitios web relativos a: juegos, apuestas, actividades ilegales en general, contenido pornográfico o para adultos relacionados con nudismo, erotismo o pornografía.

• Acceder a sitios de música, juegos, videos, u otros sitios de entretenimientos on-line.

• Acceder a sitios de carácter discriminatorio, racista, o material potencialmente ofensivo incluyendo profanidad, bromas de mal gusto, prejuicios, menosprecio o acoso explícito.

• Acceder a sitios reconocidos como inseguros. En caso de requerir el acceso a estos sitios como parte de su trabajo en PwC, deberá antes justificarse la necesidad y obtener la autorización del área de IT y de Seguridad de la Información.

• Descargar desde Internet cualquier material (incluyendo software) protegido bajo leyes de derecho de propiedad, ya sea para usos relativos a PwC o uso particular.

• Publicar comentarios no profesionales sobre la firma en foros públicos, redes sociales, blogs, o cualquier otro medio de publicación en Internet.

• Instalar complementos en su navegador. Sólo es permitida la utilización de aquellos autorizados y provistos por el área de IT.

• Utilizar un identificador de usuario de los sistemas de PwC en servicios externos a la firma.

• Acceder a sitios de correo electrónico personales (webmail), por ejemplo Gmail personal, Outlook, etc.

29

Uso de las redes sociales

Las redes sociales también forman parte de nuestro día a día y frecuentemente se mezclan aspectos laborales y personales en ellas. Debemos cumplir con lo siguiente:

• Mantener una actitud profesional y consciente al ingresar a redes sociales. Recordar que se es miembro de PwC también en las redes sociales personales.

• Ser precavido al momento de usar las redes sociales, aunque éstas no se encuentren asociadas con su correo laboral y el uso de ellas sea personal y ajeno a PwC. Asegurar que lo publicado no ofenda a nadie, perjudicando su imagen personal y/o profesional.

• Nunca compartir información no pública de PwC, de sus clientes o proveedores en redes sociales.

• Ser discreto sobre la información personal (teléfono, lugar de trabajo, dirección, etc.) que se publica en las redes sociales.

• Observar que los nombres indicados en las cuentas de las redes sociales no siempre representan la verdadera identidad de la persona o institución que posee la cuenta.

• No publicar comentarios negativos sobre clientes de la firma o de la industria del cliente en foros públicos, redes sociales, blogs o cualquier otro medio en Internet.

• Al momento de compartir información de la firma o realizar comentarios sobre ella, ser cauteloso, verificar que la información sea pública y tener permiso para difundirla.

30

Protección contra amenazas provenientes de Internet

Phishing, vishing y SMiShing

El phishing, vishing y SMiShing son técnicas de ingeniería social utilizadas por personas maliciosas con el objetivo de obtener información confidencial usando una identidad falsa. Generalmente consiste en hacer creer al usuario que se encuentra frente a una situación legítima ya sea por correo electrónico, llamado telefónico o mensaje de texto, estando en realidad en una situación falsa. Allí, las personas son engañadas para que ingresen o provean sus datos confidenciales. Las siguientes son algunas medidas útiles para reducir el riesgo de estas amenazas

• Evitar abrir cualquier email definido como SPAM. El SPAM es el principal medio de distribución de cualquier mensaje que intente engañar.

• Si tenemos dudas de la legitimidad de un correo o mensaje de texto, pero se conoce al remitente, contactarlo por otro medio. En el caso de llamados telefónicos, ofrecer llamar a la persona a un número que nosotros conozcamos. Nunca solicitar el número.

• Nunca contactar un destinatario de dudosa procedencia en los datos de contactos proporcionados por él.

• Nunca confiar en mensajes de correo, mensajes de texto o llamadas telefónicas que soliciten cualquier tipo de datos personales.

• Por regla general no ejecutar archivos adjuntos desconocidos y analizarlos aun cuando se esté esperando recibirlos.

• Nunca hacer clic en un enlace incluido en un mensaje de correo o mensaje de texto. Verificar las direcciones de los enlaces antes de abrirlos.

• Observar las direcciones a páginas web y otros sitios. Suelen ser engañosos y llevarnos a sitios falsos.

• En caso de detectar o sospechar de un ataque de phishing, vishing o SMiShing, seguir las instrucciones indicadas en el punto ¿Cómo reportar un incidente de seguridad?

31

Protección contra software malicioso

Un software malicioso (malware o virus) es un programa nocivo hecho para vulnerar la seguridad de la información del objetivo de ataque. El malware puede ser introducido por medio de un archivo adjunto al correo electrónico, un pendrive infectado, e incluso vía archivos obtenidos en Internet.

Para minimizar el riesgo de que los sistemas informáticos de la firma sean perjudicados por un virus, debemos cumplir las siguientes reglas:

• No abrir correos electrónicos de remitentes desconocidos o títulos sospechosos.

• Ser precavido al abrir vínculos (links) incluidos en correos electrónicos ya que estos pueden llevarnos a una página cuya finalidad es infectar su computadora.

• No utilizar dispositivos de almacenamiento extraíbles desconocidos o no autorizados.

• En caso de recibir archivos o vínculos no esperados por correo electrónico, consultar al remitente si en efecto tuvo la intención de enviarlo ya que podría tratarse de un malware.

• No descargar ningún tipo de contenido no autorizado aun cuando éste sea gratis. Un método para distribuir software malicioso es incluirlos en aplicaciones gratuitas.

• En caso de dudar en relación con los equipos o archivos que pueden contener virus, contactar al soporte local de IT.

32

Seguridadfísica

33

Precauciones para garantizar la seguridad físicaEl acceso a las oficinas de PwC debe estar habilitado sólo a personas autorizadas. Para evitar accesos indebidos a la información y a los recursos de PwC debemos seguir las siguientes reglas:

• Estar siempre atento a cualquier persona extraña que circule en las oficinas de PwC.

• Comunicar a recepcionistas, guardias o al responsable local de seguridad la presencia de personas extrañas al lugar de trabajo o que no se encuentren debidamente identificadas.

• Acompañar a colaboradores o prestadores de servicios de PwC que estén visitando las oficinas de la firma durante toda su permanencia.

• Observar el acceso a zonas o áreas de resguardo de información confidencial o superior, como así también las de acceso restringidos.

• Si poseemos tarjeta de identificación personal para transitar dentro de la Firma recordar:

- Llevar en todo momento la tarjeta de identificación personal en un lugar visible.

- Que la tarjeta de identificación es de uso personal e intransferible.

• Las tarjetas de acceso de uso temporario deben ser devueltas en la recepción del edificio cuando se abandone el mismo.

• Si disponemos de tarjeta de control de acceso, las mismas son de uso personal e intransferible. En caso de pérdida o robo de la misma, comunicar el hecho inmediatamente al área correspondiente de su administración.

Política de escritorios limpiosLos escritorios personales no deben contener sobre ellos información confidencial o altamente confidencial visible y accesible a cualquier persona. Al finalizar nuestra jornada de trabajo o cuando el escritorio quede desatendido, el mismo debe quedar libre de información en cualquier formato (impresa, medios removibles) para garantizar que la misma no sea observada o sustraída por terceros.

34

Incidentes de seguridad

35

¿Qué es un incidente de seguridad?

¿Cómo reportar un incidente de seguridad?

Un incidente de seguridad consiste en uno o más eventos que puedan poner en riesgo la privacidad, confidencialidad, integridad o disponibilidad de la información de PwC o de sus clientes.

Algunos ejemplos de incidentes de seguridad son:

• Pérdida o robo de la computadora.• Pérdida o robo de un dispositivo externo con

información, esté ella encriptada o no.• Presencia de virus o cualquier otro programa

malicioso en las computadoras de la firma.• Publicación de información confidencial en

sitios públicos.• Envío de información confidencial a

destinatarios no autorizados.• Utilización de una cuenta no autorizada

o acceso a un sistema sin la debida autorización.

Para reportar un incidente de seguridad, o la sospecha de alguno, debemos hacerlo inmediatamente siguiendo alguno de estos pasos:

• Comunicarse con equipo local de soporte de IT.

• Hablar con el gerente a cargo del trabajo.• Contactar al Comité de Seguridad de la

Información local del país en caso de que existiera.

• Contactar al equipo de Seguridad de la Información.

• En caso de detectar un ataque de phishing o sospechar del mismo:

- Reenviar el mensaje (email) a phishing_report_lan@pwc.com

- No tomar acción con el mensaje y aguardar el resultado del análisis.

36

Sanciones y excepciones

37

Sanciones por violar la política de seguridad de PwC

Excepciones

La violación de un control de seguridad o el incumplimiento del Manual de Seguridad de la Información de PwC, serán considerados infracciones a las políticas de PwC y por lo tanto se aplicarán las sanciones disciplinarias correspondientes definidas por el área de Human Capital.

Determinados requerimientos del negocio exigen que se flexibilice la política de seguridad de la información. En dichos casos, la justificación empresarial deberá estar acompañada de la aprobación del Management de la firma local, el/la Socio/a de Riesgo y/o el Comité de Seguridad Local. Todas las excepciones deben ser informadas y autorizadas por Network Information Security (NIS). Las excepciones deben ser revisadas y renovadas anualmente.

38

Anexo I

39

Ejemplos de datos clasificados como públicos

Datos de PwC Datos personales (PII)Datos de entidades (p. ej., cliente, proveedor)

• Contenido del sitio web• Materiales de marketing• Boletines generados para

uso público• Contenido disponible

públicamente en redes sociales u otros canales en línea (por ejemplo, LinkedIn, YouTube, Facebook)

- Nombre - Empleador - Dirección laboral - Dirección de correo

electrónico laboral - Número de teléfono laboral

*A pesar de esta clasificación pública, puede haber requisitos de manipulación adicionales para los tipos de datos anteriores porque son datos personales.

No corresponde. Los datos personales deben tratarse como parte de una clasificación de los datos superior.

• Información públicamente disponible sobre clientes o proveedores

• Contenido de redes sociales disponible para el público

• Informes públicos según lo requieran los organismos reguladores

• Informes públicos anuales del cliente

• Materiales de marketing externos del cliente

40

Ejemplos de datos clasificados como internos

Datos de PwC Datos personales (PII)Datos de entidades (p. ej., cliente, proveedor)

• Comunicaciones internas administrativas o de las oficinas de PwC (por ejemplo, reubicación, información específica de la oficina, boletines informativos)

• Contenido de suscripción al sitio web

• Materiales de referencia y capacitación

• Políticas, estándares, procedimientos, metodologías, plantillas

• Gráficos organizativos• Calendarios de eventos y de

la empresa afiliada de PwC• Datos financieros y de

recursos a nivel de proyecto interno

• Ingresos y otros datos financieros de PwC preparados para la distribución a clientes (por ejemplo, revisión anual global)

• Información de noticias e investigación proporcionada mediante servicios de suscripción.

Información de socios y personal• Directorios de socios y

personal (correo electrónico, teléfono, etc.)

• Información de la tarjeta comercial (nombre, puesto, correo electrónico, empresa de empleo, dirección laboral y teléfono laboral)

• Identificación del empleado (Identificador único global [Globally Unique Identifier, GUID], identificación de inicio de sesión de la aplicación o el sistema, identificación de empleado)

• Nivel de clase• Situación laboral• Datos masivos anónimos

(todos los elementos confidenciales eliminados u ofuscados) utilizados para análisis o pruebas

• Fotografía del empleado

Información del cliente• Información de la tarjeta

comercial (nombre, puesto, correo electrónico, empleador, dirección laboral y teléfono laboral)

• Números de cliente de PwC [números de identificación para clientes]

• Número de identificación del empleador (Employer Identification Number, EIN)

• Información comercial general que hace referencia a clientes [por ejemplo, información en Source, información sobre sistemas financieros]

• Plantillas de propuestas redactadas y anónimas o entregas de trabajo de muestra (es decir, sin información de identificación del cliente ni información patentada que no es propiedad del cliente)

41

Ejemplos de datos clasificados como confidenciales

Datos de PwC Datos personales (PII)Datos de entidades (p. ej., cliente, proveedor)

• Comunicaciones internas destinadas a individuos específicos o a un grupo limitado conocido (por ejemplo, intercambio de información con el equipo que tiene contacto con el cliente)

• Información sobre las actividades comerciales de PwC, incluidas las siguientes:

• Estrategia - Recursos humanos

(planificación, movilidad, etc.)

- Relaciones públicas, comunicaciones y relaciones gubernamentales (relaciones institucionales o externas)

- Finanzas y tesorería (por ejemplo, resultados financieros de la empresa afiliada, márgenes, tasas de facturación entre empresas, tasas de liquidación, acuerdos de financiación, pólizas de seguro, cuentas por cobrar y por pagar)

- Información de marketing y ventas (incluidos datos de CRM, objetivos, comentarios sobre pérdidas, comentarios de clientes)

- Información sobre adquisiciones y proveedores (por ejemplo, contratos de no divulgación, propuestas, solicitudes de respuestas a propuestas y puntuación de proveedores)

- Relaciones comerciales conjuntas (contratos, etc.)

- Trabajo general de actividades de fusión y adquisición

- Consultas de independientes

Toda la información• Cualquier contenido de

datos personales de redes sociales (Facebook, LinkedIn, etc.) disponible solo para aquellas personas que son conexiones personales

• Geolocalización• Currículum vitae o CV• Edad, fecha de nacimiento• Estado de veterano• Idiomas que habla• Contraseña o número PIN

(separado de la identificación de usuario) para una persona que controla el acceso a los activos de hardware o la información de PwC

• Credenciales de usuario (identificación de usuario y contraseña o combinación de PIN) para un conjunto de individuos, en cuyo caso la contraseña o PIN están cifrados en tránsito y en reposo y no se pueden descifrar (sólo restablecer)

• Género (por ejemplo, hombre, mujer)

• Estado civil• Nacionalidad, estado de

ciudadanía

Información de socios y personal: general• Registros del personal• Evaluaciones de desempeño,

calificaciones y planes de desarrollo

• Registros de educación profesional continua (Continuing Professional Education, CPE) y capacitación, registros de aprendizaje y expedientes académicos

• Archivos confidenciales del cliente

- Propuestas (* los términos y la confidencialidad del contrato de compromiso con el cliente pueden incluir requisitos adicionales de manipulación de los datos)

- Productos a entregar - Documentos de trabajo - Documentación de respaldo

para documentos de trabajo (por ejemplo, correos electrónicos, información enviada por el cliente, etc.)

- Políticas y procedimientos - Propiedad intelectual - Documentos de estrategia - Información o estados

financieros generales - Balance de comprobación - Contratos de compromiso - Datos de transacciones

financieras de clientes y datos de tenencias financieras para individuos

- Declaraciones de impuestos individuales y corporativas

- Otra información confidencial recibida de clientes de PwC u otras partes con las que hacemos negocios (por ejemplo, propuestas de proveedores, licitaciones, presupuestos, contratos de proveedores)

42

Datos de PwC Datos personales (PII)Datos de entidades (p. ej., cliente, proveedor)

- Archivos generales de la oficina del asesor general OGC (Office of the General Counsel)

- Información de antecedentes sobre el personal del cliente

- Notas con sugerencias - Comunicaciones

confidenciales entre el abogado y el cliente y asesoramiento sobre asuntos rutinarios

- Informes presentados - Archivos de información

de riesgo y calidad; (por ejemplo, aceptación y continuación, hallazgos contra el lavado de dinero, revisiones de calidad, consultas)

- Resultados anuales de cumplimiento de estándares globales

• Datos de seguridad de la información de red, incluidos los siguientes:

- Diseños de red de producción y direcciones IP de dispositivos de hardware internos

- Datos de incidentes de seguridad de la información

- Datos de vulnerabilidad de seguridad de TI

• Código fuente

• Contrato de empleo• Historial laboral, educación• Compensación y datos

financieros (por ejemplo, salario, bono, declaraciones de impuestos, beneficios de jubilación, inversiones)

• Niveles de clase e historial de ascensos

• Beneficios• Domicilio personal• Información de contacto de

emergencia, parientes más cercanos y beneficiarios

• Registro de nómina individual (menor impacto en PwC si está en peligro)

• Información del sistema de independencia (por ejemplo, tenencias, enajenación)

• Confirmación anual de cumplimiento

Información del cliente• Datos de CRM relativos a

los contactos de clientes y clientes potenciales

Información del proveedor• Datos de CRM relativos a los

contactos de proveedores y proveedores potenciales

Restringidos• Datos de clientes

gubernamentales u otros datos que se designen como confidenciales desde un punto de vista de seguridad nacional en virtud de la legislación local pertinente (por ejemplo, secretos de estado de China, datos del gobierno de los Estados Unidos, etc.) ** Cabe destacar que los requisitos especiales de manipulación de datos se suelen aplicar a dichos datos, incluidos, por ejemplo, restricciones a la exportación de datos y al tratamiento de datos por parte de extranjeros

• Desempeño financiero no público

- Formularios de impuestos gubernamentales no publicados o preliminares

- Estados financieros previos a la emisión

- Evaluaciones e informes de controles financieros internos

- Valoraciones

Ejemplos de datos clasificados como confidenciales (cont.)

43

Datos de PwC Datos personales (PII)Datos de entidades (p. ej., cliente, proveedor)

• Documentos de red - Regulaciones (por

ejemplo, órdenes de consentimiento, supervisión gubernamental)

- Contrato de servicios de la empresa

• Ciertos archivos de la OGC:

- Estrategia de litigio - Reservas de seguros - Investigaciones internas - Investigaciones

regulatorias - Asesoramiento sobre

asuntos de clientes activos - Actividad de fusión y

adquisición no pública (por ejemplo, adquisiciones de PwC)

• Información del seguro de PwC (por ejemplo, datos financieros de la aseguradora cautiva, límites de seguros de empresas afiliadas, reclamaciones)

• Claves criptográficas utilizadas para la conectividad a la red o los sistemas de PwC

Toda la información• Conjuntos de credenciales

de usuario (identificación de usuario y combinaciones de contraseña o número PIN) para un conjunto de individuos para los que la contraseña o el PIN no están cifrados o se puede descifrar; credenciales que controlan el acceso a los activos de hardware o a la información de PwC

• Categorías especiales de datos personales confidenciales:

- Raza, origen étnico - Opiniones políticas - Creencias religiosas o

filosóficas - Situación sindical - Datos genéticos y biométricos - Información de salud,

registros médicos, estado de discapacidad

- Información sobre el tratamiento médico de una persona, condición mental o física o diagnóstico por parte de un profesional de la salud

- Pago por diagnóstico o tratamiento médico

- Información sobre seguros o discapacidades, incluidos los reclamos y el historial de reclamos

- Información cubierta: Información de salud protegida ([Protected Health Information, PHI] o Información de salud protegida en formato electrónico [electronic Protected Health Information, ePHI]), cualquier información en un registro médico que se pueda utilizar para identificar a un individuo, y que se creó, usó o divulgó en el curso de la prestación de un servicio de atención médica, como un diagnóstico o tratamiento

• Información utilizada para dirigir transacciones financieras y actividad operativa comercial directa llevada a cabo por PwC en nombre de un tercero

- Reestructuración o administración

- Actividad para llevar a cabo acciones financieras directas para un negocio (transacciones financieras para operar un negocio)

• Propiedad intelectual altamente confidencial (por ejemplo, para tecnología de vanguardia o diseños e invenciones de alto perfil)

• Nombres de los miembros de la junta del cliente que no están disponibles públicamente

• Información clasificada (por ejemplo, información que las entidades gubernamentales identifican como “clasificada”)

• Toda la información recopilada específicamente para una oferta o un mercado de valores en los que se aplican las reglas de intercambio de información privilegiada (por ejemplo, valoraciones, diligencia debida, etc.), además de cualquier información contractual adicional, según lo exija la legislación y la reglamentación locales

Ejemplos de datos clasificados altamente confidenciales

44

Datos de PwC Datos personales (PII)Datos de entidades (p. ej., cliente, proveedor)

- Antecedentes penales o denuncias de delitos penales

- Vida sexual, orientación sexual• Números de identificación

emitidos por el gobierno (número del seguro social [social security number, SSN], pasaporte, licencia de conducir)

• Tarjeta de crédito, cuenta bancaria, cheque de crédito, información financiera

• Resultados de la verificación de antecedentes laborales

• Información de socios y personal

• Registros disciplinarios (quejas éticas, investigaciones, violaciones de independencia, reprimendas)

• Quejas e investigaciones de quejas en las que las inquietudes se relacionan con las siguientes categorías específicas: origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, datos genéticos y biométricos (con el propósito de identificar de manera única a una persona), salud y vida sexual u orientación sexual (por ejemplo, una queja que alega discriminación racial)

• Registros de ausencia del personal, licencias por enfermedad o discapacidad (datos de salud)

• Información del cliente y de otras partes

• Grandes conjuntos de datos de información de identificación personal (Personally Identifiable Information, PII) que no se han agregado ni anonimizado (por ejemplo, archivo de nómina de un departamento o empresa afiliada, información financiera descargada del cliente)

- Datos del titular de la tarjeta almacenados, procesados o transmitidos por el cliente

Ejemplos de datos clasificados altamente confidenciales (cont.)

PwC ayuda a las organizaciones y personas a crear el valor que están buscando. Somos una red de firmas presente en 158 países, con más de 250.000 personas comprometidas a entregar calidad en los servicios de Auditoría, Impuestos y Consultoría. Cuéntanos lo que te importa y encuentra más información visitando nuestra web: www.pwc.com. © 2020 PricewaterhouseCoopers. PwC se refiere a las Firmas colombianas que hacen parte de la red global de PricewaterhouseCoopers International Limited, cada una de las cuales es una entidad legal separada e independiente. Todos los derechos reservados.

@PwC_Colombia /pwccolombia /PwCColombia /pwc_colombia

www.pwc.com/co

/pwc-colombia