Políticas tratamiento de datos personales

Garantizar la protección de los datos personales o de cualquier tipo de información que sea utilizada o se encuentre en las bases de datos y archivos, teniendo como referencia y garantizando el derecho constitucional que tienen las personas de conocer, actualizar y rectificar la información que en su momento haya sido suministrada en las bases de datos y/o archivos. Todo esto definido en el artículo 15 de la constitución política de Colombia, la Ley 1581 de 2012 y demás decretos reglamentarios.

El presente documento busca establecer los criterios fundamentales para la obtención, recolección, uso, tratamiento, procesamiento, intercambio, transferencia y transmisión de datos personales, y fijar las responsabilidades de Central Colombiana de Aseo S.A. E.S.P. y de sus empleados en el manejo de y tratamiento de los datos personales que se encuentran en las bases de datos y/o archivos.

Los criterios definidos en la política de privacidad y manejo de datos personales aplicarán a todas las bases de datos y/o archivos que contengas datos personales que sean objeto de tratamiento por parte de Central Colombiana de Aseo S.A. E.S.P.

  • AUTORIZACIÓN: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de Datos Personales.
  • AVISO DE PRIVACIDAD: Comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el Tratamiento de sus Datos Personales, mediante la cual se le informa acerca de la existencia de las Políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales.
  • BASE DE DATOS: Conjunto organizado de Datos Personales que sea objeto de Tratamiento.
  • DATO PERSONAL: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
  • DATO PUBLICO: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
  • DATO SENSIBLE: Es el dato personal que afecta la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen afiliaciones sindicales, el origen racial o étnico, la orientación política, las convicciones religiosas, morales o filosóficas, la pertenencia a sindicatos,
  • organizaciones sociales, de derechos humanos o que promuevan intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.
  • ENCARGADO DEL TRATAMIENTO: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de Datos Personales por cuenta del Responsable del Tratamiento. En los eventos en que el Responsable no ejerza como Encargado de la Base de Datos, se identificará expresamente quién será el Encargado.
  • RESPONSABLE DEL TRATAMIENTO: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la Base de Datos y/o el Tratamiento de los datos.
  • TÉRMINOS Y CONDICIONES: marco general en el cual se establecen las condiciones para los participantes de actividades promocionales o afines.
  • TITULAR: Persona natural cuyos Datos Personales sean objeto de Tratamiento.
  • TRATAMIENTO: Cualquier operación o conjunto de operaciones sobre Datos Personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
  • TRANSFERENCIA: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.
  • TRANSMISIÓN: Tratamiento de Datos Personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.

Central Colombiana de Aseo S.A. E.S.P. Obtiene datos generales de sus clientes, proveedores, y empleados en el ejercicio de su objeto social, de forma no exclusiva tales como:

  • Nombre.
  • Lugar y fecha de nacimiento y nacionalidad.
  • Número de Identificación Personal (Cédula, NIT. Pasaporte.)
  • Género.
  • Dirección, teléfono, correo electrónico.
  • Escolaridad.


Así mismo, se recopila información a través de la transmisión voluntaria de sus clientes, proveedores y empleados en los diferentes procesos administrativos de la organización.

DATOS SENSIBLES:

Central Colombiana de Aseo S.A. E.S.P. prohíbe a sus colaboradores directos o indirectos divulgar datos considerados como sensibles en la presente ley, tales como origen racial o étnico, preferencia política, afiliación sindical, afiliación a organizaciones sociales gubernamentales o no, convicciones religiosas, orientación sexual, datos biométricos o de salud, entre otros, los cuales están sometidos a reserva y confidencialidad, en especial cuando se trata de niños menores de edad y adolescentes. La excepción de casos se realizará explícitamente según lo señalado en el artículo 6 de la Ley 1581 de 2012.

Central Colombiana de Aseo S.A. E.S.P. Actuando en calidad de responsable de tratamiento de datos personales de acuerdo a la actividad económica, recolecta, almacena, usa, circula, y suprime datos personales correspondientes a personas naturales y con quienes ha tenido relación, tales como trabajadores, familiares de estos, accionistas, clientes, proveedores, acreedores y deudores sin que la enumeración signifique limitación alguna.

La finalidad del tratamiento de datos por parte de Central Colombiana de Aseo S.A. E.S.P. tiene como objeto lo siguiente:

CLIENTES Y USUARIOS

  • Venta y prestación de servicio
  • Gestión comercial y operativa
  • Gestión de cobro
  • Gestión administrativa y contractual
  • Envió de comunicaciones en forma física o por cualquier de los medios electrónicos tales como: correo electrónico, página web, FAX o cualquier otro medio que la organización implemente. Dichas comunicaciones relacionan temas de los servicios ofrecidos por Central Colombiana de Aseo S.A. E.S.P.
  • Tramitar solicitudes o cualquier tipo de petición que sea interpuesta por el usuario a través de cualquier de las formas de contacto que se ponen a disposición del mismo para este fin.
  • Elaborar encuestas de satisfacción de usuarios.


PROVEEDORES DE BIENES Y SERVICIOS

  • Evaluar, seleccionar, registrar y contratar.
  • Realizar seguimiento y control al cumplimiento de los requisitos especificados.
  • Gestionar pagos.
  • Gestionar accesos físicos en relación al cumplimiento de las políticas internas en materia de Seguridad y Salud en el Trabajo.


EMPLEADOS

  • Selección y contratación de personal.
  • La formación y la promoción de los empleados.
  • Garantizar la seguridad laboral.
  • Ejecución de evaluaciones de desempeño.
  • Actividades de bienestar y envío de comunicaciones a los empleados y sus familias.
  • Exámenes ocupacionales
  • Jornadas de vacunación
  • Gestiones para afiliación a seguridad social.


Para los empleados sobre los que se maneja datos sensibles se encuentran definidos los siguientes:

  • Datos biométricos (huella dactilar).
  • Aspectos generales de salud, asociados al Sistema de Gestión de seguridad y salud en el trabajo, tales como exámenes de ingreso, periódicos y egreso.
  • Información de los beneficiarios de los trabajadores, para actividades de bienestar y actividades de la Caja de Compensación.


Central Colombiana de Aseo S.A. E.S.P.
 no comparte esta información con ninguna persona ajena o no autorizada de acuerdo con lo establecido en la presente política; sin embargo, podrá compartirse o suministrarse información con las autoridades de vigilancia y control cuando así lo requieran.

Se informa al Titular del dato, los derechos que las leyes sobre protección de datos personales le ofrecen, que a continuación se enlistan y que Central Colombiana de Aseo S.A. E.S.P., los garantiza a través del cumplimiento de los procedimientos definidos:

  • Conocer, actualizar y rectificar sus datos personales frente a los responsables del tratamiento o encargados del tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.
  • Solicitar prueba de la autorización otorgada a Central Colombiana de Aseo S.A. E.S.P. para el tratamiento de sus datos personales.
  • Ser informado por Central Colombiana de Aseo S.A. E.S.P. del tratamiento o el encargado del tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos personales.
  • Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la presente Ley.
  • Solicitar a Central Colombiana de Aseo S.A. E.S.P. la supresión de sus datos personales y/o revocar la autorización otorgada para el tratamiento de los mismos, mediante la presentación de un reclamo, de acuerdo con los procedimientos establecidos en el numeral 9 de esta política. No obstante, la solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el titular de la información tenga un deber legal o contractual de permanecer en la base de datos y/o archivos, ni mientras se encuentre vigente la relación entre el titular y la organización, en virtud de la cual fueron recolectados sus datos.
  • Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento, al menos una vez cada mes calendario, y cada vez que existan modificaciones sustanciales de las Políticas establecidas que motiven nuevas consultas.


Sin perjuicio de las excepciones previstas en la ley, en el tratamiento se requiere la autorización previa e informada del titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior. Sin embargo la autorización del titular no será necesaria cuando se trate de:

  • Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.
  • Datos de naturaleza pública.
  • Casos de urgencia médica o sanitaria.
  • Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.
  • Datos relacionados con el registro civil de las personas.
  • Por el representante y/o apoderado del Titular, previa acreditación de la representación o apoderamiento.

La implementación, desarrollo, capacitación y actualización de observancia de esta política estará a cargo del comité de Gerencia.

En relación a la atención y trámite de peticiones, consultas y reclamos ante la cual el titular de la información (Cliente, Proveedor o Empleado) puede ejercer sus derechos a conocer, actualizar, rectificar y suprimir el dato y revocar la autorización, las áreas responsables de dar respuesta al titular serán respectivamente: Servicio al cliente, Compras y Gestión Humana.

Los titulares de los datos registrados en la base de datos de usuarios y clientes podrán en cualquier momento interponer y seguir alguno de los siguientes procedimientos en pro de la defensa de sus derechos, incluyendo la actualización, cambio o modificación de los datos generados de conformidad con lo dispuesto en la ley 1581 de 2012.

CLIENTES Y USUARIOS:

Para ello están dispuestos los siguientes canales de información que serán atendidos y tramitadas por atención al usuario:


PROVEEDORES:

Los titulares de los datos registrados en la base de datos de proveedores podrán en cualquier momento interponer y seguir alguno de los siguientes procedimientos en pro de la defensa de sus derechos, incluyendo la actualización, cambio o modificación de los datos generados de conformidad con lo dispuesto en la ley 1581 de 2012.

Para ello están dispuestos los siguientes canales de información que serán atendidos por Dirección Administrativa, o quien haga sus veces:


EMPLEADOS:

Los titulares de los datos registrados en la base de datos de proveedores podrán en cualquier momento interponer y seguir alguno de los siguientes procedimientos en pro de la defensa de sus derechos, incluyendo la actualización, cambio o modificación de los datos generados de conformidad con lo dispuesto en la ley 1581 de 2012.

Para ello están dispuestos los siguientes canales de información que serán atendidos y tramitadas por Gestión Humana, o quien haga sus veces:

Razón social: Central Colombiana de Aseo S.A. E.S.P. 

NIT: 900415688-3

La presente Política de privacidad y uso de datos personales entra en vigencia a partir de la fecha de su publicación.

El periodo de vigencia de las bases de datos de información de carácter personal será de acuerdo al término de duración de Central Colombiana de Aseo S.A. E.S.P. , establecido en sus estatutos.

Política de seguridad de la información

En la actualidad la información de la compañía ha crecido considerablemente, llegando a reconocerse como un activo muy valioso y a medida que los sistemas de información apoyan cada vez más los procesos misionales, se requiere contar con estrategias de que permitan el control y administración efectiva de los datos.

Los sistemas y redes de información por más pequeños que sean siempre están expuestos a amenazas de seguridad que incluyen, entre muchas otras: el fraude por computador, espionaje, sabotaje, fuego o robo. Las posibilidades de daño y pérdida de información por causa de virus o mal uso se hacen cada vez más comunes.

Con el establecimiento de la presente Política de Seguridad de la Información Central Colombiana de Aseo S.A. E.S.P.  establece su compromiso con el proceso de gestión responsable de la información, que tiene como objetivo garantizar la integridad, confidencialidad y disponibilidad de este importante activo, teniendo como eje el cumplimiento de los objetivos misionales de la compañía.

ACERCA DE LA SEGURIDAD DE LA INFORMACIÓN

La seguridad de la información se entiende como la preservación, aseguramiento y cumplimiento de las siguientes características de la información:

  • Confidencialidad: los activos de información solo pueden ser accedidos y custodiados por usuarios que tengan permisos para ello.
  • Integridad: El contenido de los activos de información debe permanecer inalterado y completo. Las modificaciones realizadas deben ser registradas asegurando su confiabilidad.
  • Disponibilidad: Los activos de información sólo pueden ser obtenidos a corto plazo por los usuarios que tengan los permisos adecuados.


Para ello es necesario considerar aspectos tales como:

  • Autenticidad: Los activos de información los crean, editan y custodian usuarios reconocidos quienes validan su contenido.
  • Posibilidad de Auditoría: Se mantienen evidencias de todas las actividades y acciones que afectan a los activos de información.
  • Protección a la duplicación: Los activos de información son objeto de clasificación, y se llevan registros de las copias generadas de aquellos catalogados como confidenciales.
  • No repudio: Los autores, propietarios y custodios de los activos de información se pueden identificar plenamente.

La información es un recurso que, como el resto de los activos, tiene valor para la empresa y por consiguiente debe ser debidamente protegida. El establecimiento, seguimiento, mejora continua y aplicación de la Política de Seguridad de la Información garantiza un compromiso obligatorio de protección a la misma, frente a una amplia gama de amenazas. Con esta política se contribuye a minimizar los riesgos asociados de daño y se asegura el eficiente cumplimiento de las funciones sustantivas de la entidad apoyadas en un correcto sistema de información.

Esta política es de aplicación en el conjunto de áreas que componen la organización, a sus recursos, a la totalidad de los procesos internos o externos vinculados está a través de contratos o acuerdos con terceros y a todo el personal cualquiera sea su situación contractual, la dependencia a la cual se encuentre asociado y el nivel de las tareas que desempeñe.

Establecer las medidas organizacionales, técnicas, físicas y legales, necesarias para proteger los activos de información contra acceso no autorizado, divulgación, duplicación, interrupción de sistemas, modificación, destrucción, pérdida, robo, o mal uso, que se pueda producir en forma intencional o accidental.

RESPONSABILIDAD

Es responsabilidad de cada proceso hacer uso de la política de Seguridad de la Información, como parte de sus herramientas de gestión, acoplándolos a sus procedimientos o lineamientos, garantizando su cumplimiento.

CUMPLIMIENTO

El cumplimiento de la política de seguridad de la Información es obligatorio. Si los empleados, consultores o terceras partes violan estas políticas, la organización se reserva el derecho de tomar las medidas correspondientes.

EXCEPCIONES

Las excepciones a cualquier cumplimiento de política de seguridad de la información deben ser aprobadas por la Gerencia general. Todas las excepciones a la política deben ser formalmente documentadas, registradas y revisadas.

ADMINISTRACIÓN DE LAS POLÍTICAS

El área de T.I. mantiene, administra la implementación de esta política dentro de la compañía con el fin de velar por su cumplimiento. Por otro lado las modificaciones o adiciones de la política de seguridad de la información serán propuestas a la gerencia, quien realizará su respectiva verificación y/o aprobación.

Esta política debe ser revisada como mínimo una vez al año o cuando sea necesario.

Todo el personal de la organización, cualquiera sea su situación contractual, la dependencia a la cual se encuentre asignado y el nivel de las tareas que desempeñe debe tener asociado un perfil de uso de los recursos de información, incluyendo el hardware y software asociado. El área de T.I. en coordinación con la Gerencia debe mantener un directorio completo y actualizado de tales perfiles.

  • El área de T.I. determina cuales son los atributos que deben definirse para los diferentes perfiles.


La responsabilidad de custodia de cualquier archivo mantenido, usado o producido por el personal que se retira, o cambia de cargo, recae en el líder de proceso; en todo caso el proceso de cambio en la cadena de custodia de la información debe hacer parte integral del procedimiento de terminación de la relación contractual o de cambio de cargo.

RESPONSABILIDADES PARA LA SEGURIDAD DE LA INFORMACIÓN.

Central Colombiana de Aseo S.A. E.S.P.  es el propietario de la información. Su tenencia y manejo es delegada a los gerentes de la compañía, quienes son responsables de la custodia de la información que se genera y se copia en los servidores y discos externos asociados al backup. Por ello los gerentes deben ser conscientes de los riesgos a la que está expuesta la información a su cargo, de forma que deben estar siempre al frente tratando de disminuir estos riesgos.

RESPONSABILIDADES PARA EL PERSONAL

El T.I. se encargará de crear, actualizar, mantener y ejecutar un plan de capacitación en seguridad de la información que se enfoque en el crecimiento continuo de la conciencia individual y colectiva en temas de seguridad de la información.

Es responsabilidad del personal tener presente estas capacitaciones al igual que asistir a estas. Adicional a esto y para una seguridad efectiva se requiere la cooperación activa del personal, quienes dentro de sus responsabilidades deben realizar de controles de acceso, en particular, aquellos con referencia al uso de contraseñas.

El área de T.I. implementará los procedimientos necesarios que permitan controlar la creación, modificación, desactivación y eliminación de usuarios, administración de contraseñas y permisos de acceso a los recursos tecnológicos y a la información.

El área de apoyo se encargará también de crear y mantener un centro documental de acceso general con información relacionada con temas de seguridad de la información tales como responsabilidad en la administración de archivos, buenas prácticas, amenazas de seguridad, entre otros.

USUARIOS INVITADOS Y SERVICIOS DE ACCESO PÚBLICO

El acceso de usuarios no registrados solo se debe permitir por medio de aplicaciones desarrolladas para clientes o terceros como la página web en lo relacionado con PQR. El acceso y uso a cualquier otro tipo de recurso de información y TI no es permitido a usuarios invitados o no registrados.

El cuarto de servidores y de equipos de TIC, debe de estar en un área protegidas físicamente contra el acceso no autorizado, daño o interferencia.

CONTROLES DE ACCESO FÍSICO

El acceso a áreas TIC restringidas sólo se debe permitir para:

  • Desarrollo de operaciones tecnológicas.
  • Tareas de aseo (monitoreado por personal especializado).
  • Pruebas de equipos.
  • Almacenamiento de equipos.
  • Implementación o mantenimiento de los controles ambientales.


USO DE EQUIPOS PERSONALES

El uso de equipos portátiles personales que no sean de la organización está prohibido por cuanto se pierde el nivel de control y aseguramiento de la información allí contenida.

De la misma forma se debe restringir el ingreso de equipos portátiles, USB, discos duros de uso personal a la compañía.

ESCRITORIO LIMPIO

La implementación de una directriz de escritorio limpio permitirá reducir el riesgo de acceso no autorizado o daño a medios y documentos.

Los computadores deben bloquearse después de diez (10) minutos de inactividad, el usuario tendrá que autenticarse antes de reanudar su actividad. Todos los, consultores o terceras partes, deben bloquear la sesión al alejarse de su computador.

SEGURIDAD EN LOS EQUIPOS

Para prevenir la pérdida de información daño de los activos de información y la interrupción de las actividades de cada proceso, los equipos deben estar conectados a la toma regulada o estabilizador.

Los servidores que contengan información y servicios corporativos deben ser mantenidos en un ambiente seguro y protegido por los menos con:

  • Controles de acceso y seguridad física.
  • Detección de incendio y sistemas de extinción de conflagraciones.
  • Controles de humedad y temperatura
  • Sistemas eléctricos regulados y respaldados por fuentes de potencia ininterrumpida (UPS).


El área de T.I. debe asegurar mediante un programa de mantenimiento la infraestructura de servicios de TI y el soporte adecuado de software.

Las estaciones de trabajo deben estar correctamente aseguradas por personal de la compañía, el cual debe estar capacitado acerca del contenido de esta política y de las responsabilidades personales en el uso y administración de su información.

Cada proceso tiene la responsabilidad de adoptar y cumplir las normas definidas para la creación y el manejo de copias de seguridad.

REPORTE E INVESTIGACIÓN DE INCIDENTES DE SEGURIDAD.

El personal de la compañía debe reportar inmediatamente presuntas violaciones de seguridad a través de su coordinador de proceso, al área de T.I..

PROTECCIÓN CONTRA SOFTWARE MALICIOSO Y HACKING

Todos los sistemas informáticos deben ser protegidos teniendo en cuenta un enfoque multinivel que involucre controles humanos, físicos técnicos y administrativos. El Área de T.I. elaborará y mantendrá un conjunto de políticas, procedimientos y guías que garanticen la mitigación de riesgos asociados a amenazas de software malicioso y técnicas de hacking.

En todo caso y como control mínimo, los equipos de la compañía deben estar protegidos un por software antivirus con capacidad de actualización automática en cuanto a firmas de virus. Los usuarios de estos equipos no están autorizados a deshabilitar este control.

COPIAS DE SEGURIDAD

Toda información corporativa o que sea de interés para un proceso o de misión crítica debe ser respaldada por copias de seguridad tomadas de acuerdo a los procedimientos documentados por área de T.I. Dicho procedimiento debe incluir las actividades de almacenamiento de las copias en sitios seguros.

El área de apoyo debe realizar pruebas controladas para asegurar que las copias de seguridad pueden ser correctamente leídas y restauradas. Las copias de seguridad de información crítica deben ser mantenidas de acuerdo a cronogramas definidos y publicados por el área de T.I.

La creación de copias de seguridad de archivos usados, custodiados o producidos por usuarios individuales es responsabilidad exclusiva de dichos usuarios.

ADMINISTRACIÓN DE CONFIGURACIONES DE RED

La configuración de enrutadores, switches, firewall, y otros dispositivos de seguridad de red; debe ser documentada, respaldada por copia de seguridad y mantenida por el área de T.I.

INTERNET Y CORREO ELECTRÓNICO.

Las normas de uso de Internet y de los servicios de correo electrónico serán elaboradas, mantenidas y actualizadas por el área de T.I. y en todo caso este comité debe velar por el cumplimiento del código de ética institucional y el manejo responsable de los recursos de tecnologías de la información.

INSTALACIÓN DE SOFTWARE

Todas las instalaciones de software que se realicen sobre equipos de la compañía deben ser aprobadas por área de T.I., de acuerdo a los procedimientos elaborados para tal fin.

No se permite la instalación de software que viole las leyes de propiedad intelectual y derechos de autor y relacionadas. El área de T.I. debe desinstalar cualquier software ilegal.

CATEGORÍAS DE ACCESO

El acceso a los recursos de tecnologías de información debe estar restringido según los perfiles de usuario definidos por el área de T.I.

CONTROL DE CLAVES Y NOMBRES DE USUARIO

El acceso interno a software de información y los datos que contienen es responsabilidad exclusiva del personal encargado de tales sistemas.

El control de las contraseñas de red y uso de equipos es responsabilidad del área de T.I., Dichas contraseñas deben ser codificadas y almacenadas de forma segura.

Las claves de administrador de los sistemas deben ser conservadas por área de T.I. y deben ser cambiadas en intervalos regulares de tiempo y en todo caso cuando el personal responsable las cambie.

El área de T.I. debe elaborar, mantener y actualizar el procedimiento y las guías para la correcta definición, uso y complejidad de claves de usuario.

Como requisito para la terminación de relación contractual o laboral del personal se debe realizar el cambio inmediato de contraseñas de cada recurso utilizado por la persona que deja el cargo.

GENERALIDADES

Para apoyar los procesos operativos y estratégicos la compañía se debe hacer uso intensivo de las tecnologías de la información y las comunicaciones. Los sistemas de software utilizados pueden ser adquiridos a través de terceras partes o desarrollados por personal propio.

En caso de un desarrollo propio dentro de la compañía, el área de T.I. elige, elabora, mantener y difunde un método de desarrollo de sistemas software que incluya lineamientos, procesos, buenas prácticas, plantillas y demás artefactos que sirvan para regular los desarrollos de software internos en un ambiente de mitigación del riesgo y aseguramiento de la calidad.

SEGURIDAD DE LAS APLICACIONES DEL SISTEMA.

Se deben desarrollar estándares que indiquen cómo se deben asegurar los diferentes sistemas, aplicaciones y desarrollos, para minimizar la aparición de errores, pérdidas y modificaciones no autorizadas o usos indebidos en la información de las aplicaciones.

Se deben diseñar controles adecuados en las aplicaciones, para garantizar un correcto procesamiento. Se debe incluir la validación de los datos introducidos, el procesamiento interno y los datos resultantes.

Las aplicaciones que se desarrollen deben cumplir unos requerimientos mínimos de seguridad, conforme a las buenas prácticas en seguridad de la información y a esta política de seguridad.

SEGURIDAD DE LOS SISTEMAS DE ARCHIVOS.

Se debe controlar el acceso al sistema de archivos y al código fuente de los programas. La actualización del las aplicaciones y las librerías, sólo debe ser llevada a cabo por el área de T.I.

SEGURIDAD DE LOS PROCESOS DE DESARROLLO Y SOPORTE

Se requiere de un control estricto en la implementación de cambios. Los procedimientos de control de cambios deben validar que los procesos de seguridad y control no estén comprometidos; dichos cambios deben ser aprobados con un procedimiento adecuado y con la documentación correspondiente.

Todo uso y seguimiento de uso a los recursos de TI de la compañía debe estar de acuerdo a las normas y estatutos internos así como a la legislación nacional en la materia, incluido pero no restringido a:

  • Constitución Política de Colombia
  • Ley 5271999 Ley de comercio electrónico.
  • ISO9001
  • NTC 27001:2006. Sistema de Gestión de Seguridad de la Información
  • ISO/IEC 17799:2005 Information technology Security techniques Code of practice for information security management.