Está en la página 1de 13

MANUAL DE POLÍTICAS Y PROCEDIMIENTOS

DEL SISTEMA DE GESTIÓN DE SEGURIDAD
DE LA INFORMACIÓN PERSONAL
CONSTRUIR PARA EL BIENESTAR
PROCESO: DIRECCIONAMIENTO
ESTRATÉGICO

CÓDIGO: PR28
VERSIÓN: 1

PORTADA

RESPONSABLE: Ingeniero de Calidad.

UBICACIÓN: Original en Oficina del Ingeniero de Calidad, copias en la red o en oficinas
según distribución.

CONTROL DE VERSIONES

VERSIÓN

ELABORÓ

APROBÓ

FECHA DE
APROBACIÓN

V1

Coordinador de
Calidad

Gerente
Administrativo y
Financiero

01-11-2016

Página 1 de 13
COPIA NO CONTROLADA

4. OBJETO 3 ALCANCE 4 DEFINICIONES 4 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN PERSONAL 6 POLÍTICA DE CONTROL DE ACCESO A LA INFORMACIÓN PERSONAL 6 POLÍTICA PARA ACCESO A LA INFORMACIÓN PERSONAL SENSIBLE 6 POLÍTICA DE COPIA DE RESPALDO DE LA INFORMACIÓN PERSONAL 6 POLÍTICA DE PROTECCIÓN PARA EL ACCESO REMOTO A LA INFORMACIÓN PERSONAL 6 4.1. Seguridad previa a la contratación del personal.1. 4. CONTROLES DE SEGURIDAD EN LA TERCERIZACIÓN DE SERVICIOS 7 6.1.3.2. CONTROLES DE SEGURIDAD DE LA INFORMACIÓN DURANTE EL MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIÓN PERSONAL (CONTROL DE CAMBIOS) 10 11. RESPONSABILIDAD Y AUTORIDAD EN EL TRATAMIENTO DE LA INFORMACIÓN PERSONAL 7 5. Seguridad durante el contrato. POLÍTICA DE GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN PERSONAL 7 4. SEGURIDAD DE LA INFORMACIÓN EN PROCESO DE GESTIÓN HUMANA 8 7.7.3. Finalización del contrato laboral o cambio de puesto.1.MANUAL DE POLÍTICAS Y PROCEDIMIENTOS DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PERSONAL CONSTRUIR PARA EL BIENESTAR PROCESO: DIRECCIONAMIENTO ESTRATÉGICO CÓDIGO: PR28 VERSIÓN: 1 TABLA DE CONTENIDO 1.2. ACUERDOS DE CONFIDENCIALIDAD 7 5.2. PROCEDIMIENTO DE GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN PERSONAL 10 Página 2 de 13 COPIA NO CONTROLADA . POLÍTICA PARA EL INTERCAMBIO FÍSICO/ELECTRÓNICO DE DATOS 6 4. VALIDACIÓN DE DATOS DE ENTRADA 9 8. VALIDACIÓN DE DATOS PROCESADOS 9 8. RESPONSABILIDAD. 3.3. MONITOREO Y AUDITORÍA DE LA BASE DE DATOS 10 11.2. 4. PROCEDIMIENTO PARA LA DISPOSICIÓN FINAL DE LA INFORMACIÓN PERSONAL 9 10. 4. 4. 9 8. VALIDACIÓN DE DATOS DE SALIDA 9 9.1.6. POLÍTICA DE AUDITORÍAS DE SEGURIDAD DE LA INFORMACIÓN PERSONAL 7 5. PROCESAMIENTO Y SALIDA DE LA INFORMACIÓN PERSONAL 9 8. GESTIÓN DEL RIESGO EN EL TRATAMIENTO DE DATOS PERSONALES 8 7. 8 7. 8 7. PROCEDIMIENTO PARA LA VALIDACIÓN DE DATOS DE ENTRADA. 4.2. AUTORIDAD Y ACUERDOS DE CONFIDENCIALIDAD 7 5.3. 2.8. MONITOREO DE CONSULTA DE LAS BASES DE DATOS 10 12. AUDITORÍA DE LOS SISTEMAS DE INFORMACIÓN QUE CONTIENEN DATOS PERSONALES 10 11.

3. entendida ésta como 2. OBJETO Con la implementación de las políticas de seguridad de la información personal. funcionarios. DEFINICIONES Página 3 de 13 COPIA NO CONTROLADA . proveedores. alteración o eliminación sin la autorización requerida. empleados y en general terceros que registran sus datos en los medios definidos por la compañía. NEMA INGENIERÍA SAS garantiza la implementación de controles a nivel administrativo y técnico para la protección de las bases de datos personales. Un pilar básico y fundamental de un efectivo sistema de protección de datos personales es la garantía de la seguridad de la información.MANUAL DE POLÍTICAS Y PROCEDIMIENTOS DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PERSONAL CONSTRUIR PARA EL BIENESTAR PROCESO: DIRECCIONAMIENTO ESTRATÉGICO 13. confidencialidad y disponibilidad de los datos personales y minimizar los riesgos de acciones en contra de las bases de datos. ALCANCE El presente procedimiento es de aplicación para la gestión de la seguridad de las bases de datos propiedad de NEMA INGENIERÍA SAS contentivas de información personal de clientes. proveedores u otras terceras partes almacenada en bases de datos o cualquier otro repositorio y evitar su divulgación. Esto con el fin de velar por la integridad. 14. CONTROL DE MODIFICACIONES DE ESTE PROCEDIMIENTO REGISTROS CÓDIGO: PR28 VERSIÓN: 1 12 13 1. La Dirección de Tecnología debe implantar los controles necesarios para proteger la información personal de los beneficiarios.

sentencias judiciales ejecutoriadas que no estén sometidas a reserva y los relativos al estado civil de las personas. Son públicos. Base de datos: Conjunto de datos personales. Dato privado. circulación o eliminación. Encargado del tratamiento: Persona natural o jurídica. Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular. almacenamiento. Responsable del tratamiento: Persona natural o jurídica. uso. Dato público: Es aquel dato calificado como tal según los mandatos de la ley o de la Constitución Política. Dato semiprivado: Es semiprivado el dato que no tiene naturaleza íntima. que por sí misma o en asocio con otros. los datos contenidos en documentos públicos. expresa e informada emite el titular de algún dato personal para que la compañía lleve a cabo el tratamiento de sus datos personales. pública o privada. Dato personal: Información que está vinculada a una persona. ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general. realiza algún tratamiento sobre datos personales por cuenta del responsable del tratamiento. Los datos personales pueden ser públicos.MANUAL DE POLÍTICAS Y PROCEDIMIENTOS DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PERSONAL CONSTRUIR PARA EL BIENESTAR PROCESO: DIRECCIONAMIENTO ESTRATÉGICO CÓDIGO: PR28 VERSIÓN: 1 Autorización: Consentimiento que de manera previa. Es cualquier pieza de información vinculada a una o varias personas determinadas o determinables o que puedan asociarse con una persona natural o jurídica. que por sí misma o en asocio con otros. como el dato financiero y crediticio de actividad comercial. Titular: Persona natural cuyos datos son objeto de tratamiento por parte de NEMA INGENIERÍA SAS. semiprivados o privados. Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales dentro de las cuales se puede incluir su recolección. pública o privada. entre otros. reservada. Página 4 de 13 COPIA NO CONTROLADA . decida sobre la base de datos y/o el tratamiento de los datos.

Una vez se apruebe el acceso a la información. cantidad de intentos de acceso.MANUAL DE POLÍTICAS Y PROCEDIMIENTOS DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PERSONAL CONSTRUIR PARA EL BIENESTAR PROCESO: DIRECCIONAMIENTO ESTRATÉGICO CÓDIGO: PR28 VERSIÓN: 1 Dato sensible: Aquellos relacionados con el origen racial o étnico. no vulnerar los controles de seguridad establecidos. la pertenencia a sindicatos. organizaciones sociales o de derechos humanos. Esta información podrá no ser otorgada por el Titular de estos datos. POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN PERSONAL 4. integridad y disponibilidad de los activos de información que sean objeto de acceso o que se encuentren a disposición de los funcionarios o contratistas en razón de su cargo y/o responsabilidades. biométricos o datos de la salud. POLÍTICA DE COPIA DE RESPALDO DE LA INFORMACIÓN PERSONAL Página 5 de 13 COPIA NO CONTROLADA .2. NEMA INGENIERÍA SAS establecerá controles que permitan regular el acceso a los activos de información y la protección de los mismos. identificando. 4. POLÍTICA PARA ACCESO A LA INFORMACIÓN PERSONAL SENSIBLE 4. lugar. Aviso de privacidad: Documento físico. entre otros datos relevantes alusivos a: persona que accede. la Forma de acceder a las mismas y las características del Tratamiento que se pretende dar a los datos personales. 4. electrónico generado por el Responsable del tratamiento que es puesto a disposición del titular con la información relativa a la existencia de las políticas de tratamiento de información que le serán aplicables. accesos denegados. informar las debilidades o eventos de seguridad de la información al Oficial de seguridad o persona delegada. religiosas.1. convicciones políticas. entre otros datos que permitan determinar la trazabilidad de las acciones. los funcionarios y contratistas deben tener en cuenta las siguientes precauciones: no efectuar modificaciones a la información accedida sin la debida autorización. fecha. de la vida sexual. hora. guardar confidencialidad de la información. NEMA INGENIERÍA SAS llevará a cabo un control de acceso a la información que tendrá en cuenta tanto los aspectos lógicos como físicos que garanticen la trazabilidad de las acciones realizadas.3. POLÍTICA DE CONTROL DE ACCESO A LA INFORMACIÓN PERSONAL Para preservar la confidencialidad. actividades ejecutadas.

RESPONSABILIDAD Y AUTORIDAD EN EL TRATAMIENTO DE LA INFORMACIÓN PERSONAL Página 6 de 13 COPIA NO CONTROLADA . POLÍTICA DE PROTECCIÓN PARA EL ACCESO REMOTO A LA INFORMACIÓN PERSONAL 4. 4.8. la recepción de información documentada de origen externo. POLÍTICA DE GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN PERSONAL Con el fin de mejorar la seguridad de la información personal a partir de los incidentes o vulnerabilidades detectados.6. RESPONSABILIDAD. POLÍTICA DE AUDITORÍAS DE SEGURIDAD DE LA INFORMACIÓN PERSONAL Están ligadas al procedimiento de control de documentos y registros del proceso de Gestión HSQ desde la generación de registros. alteración o modificación.. Datos como robo. POLÍTICA PARA EL CORRECTO TRATAMIENTO DE LA INFORMACIÓN PERSONAL EN EL CICLO DE VIDA DEL DATO Recolección. la consulta y conservación o disposición final según el Listado Maestro de Registros. transmisiones indebidas o ilícitas. 4.4.5. entre otras. AUTORIDAD Y ACUERDOS DE CONFIDENCIALIDAD 5.1. Transporte y/o almacenamiento de información personal 4. 5.7. POLÍTICA PARA EL INTERCAMBIO FÍSICO/ELECTRÓNICO DE DATOS Como por ejemplo el comercio electrónico para la compra y venta de productos/servicios. pérdida total o parcial.MANUAL DE POLÍTICAS Y PROCEDIMIENTOS DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PERSONAL CONSTRUIR PARA EL BIENESTAR PROCESO: DIRECCIONAMIENTO ESTRATÉGICO CÓDIGO: PR28 VERSIÓN: 1 4. . accesos no autorizados y robo de identidad.

CONTROLES DE SEGURIDAD EN LA TERCERIZACIÓN DE SERVICIOS En la tercerización de servicios el tratamiento de la información personal se controla por :: 6. Se debe decidir cuándo un riesgo es aceptable. ya sea por motivos de objetivos de negocio o por costes no rentables. las vulnerabilidades y los impactos. es responsable de analizar los riesgos en seguridad de la información. GESTIÓN DEL RIESGO EN EL TRATAMIENTO DE DATOS PERSONALES El responsable del Sistema Integrado de Gestión de NEMA INGENIERÍA SAS.2.MANUAL DE POLÍTICAS Y PROCEDIMIENTOS DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PERSONAL CONSTRUIR PARA EL BIENESTAR PROCESO: DIRECCIONAMIENTO ESTRATÉGICO CÓDIGO: PR28 VERSIÓN: 1 Las personas que tiene acceso a la información personal. las amenazas. ACUERDOS DE CONFIDENCIALIDAD 5.  Disminuir la probabilidad de ocurrencia.3.  Página 7 de 13 COPIA NO CONTROLADA . Los riesgos quedan definidos en el formato Matriz de Riesgos Operacionales.  Transferir los riesgos. tales como cambio en los activos.  Disminuir el impacto. Los posibles tratamientos a los riesgos identificados incluyen:  Evitar el riesgo.  Retener los riesgos. Anualmente se debe realizar una valoración del riesgo para contemplar los cambios en los requisitos de seguridad y la situación de riesgo. 5.

7. La Vicepresidencia de Gestión Humana y Administrativa se asegurará que la salida o movilidad de los colaboradores.3. contratistas o terceros sea gestionada hasta la completa devolución de todos los activos y retirada de los derechos de acceso.1. La Vicepresidencia de Gestión Humana y Administrativa debe asegurar que todos los colaboradores.MANUAL DE POLÍTICAS Y PROCEDIMIENTOS DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PERSONAL CONSTRUIR PARA EL BIENESTAR PROCESO: DIRECCIONAMIENTO ESTRATÉGICO CÓDIGO: PR28 VERSIÓN: 1 Los responsables de manejar la información personal de las bases de datos deben priorizar y realizar el tratamiento de los riesgos en seguridad de la información de acuerdo a los controles definidos en la matriz. consultores. La Vicepresidencia de Gestión Humana y Administrativa debe desarrollar un programa efectivo y continuo de concientización de protección de la información para todo el personal. Esta tarea debe reflejarse en una adecuada descripción del cargo y en los términos y condiciones de la contratación. que salgan de la empresa o cambien de puesto de trabajo. cuyo cumplimiento será vigente hasta que NEMA INGENIERÍA SAS lo considere conveniente. Es responsabilidad y deber de cada colaborador de NEMA INGENIERÍA SAS asistir a los cursos de concientización en seguridad de la información que la empresa programe y aplicar la seguridad según las políticas y los procedimientos establecidos por la empresa. Finalización del contrato laboral o cambio de puesto. hayan firmado un acuerdo de confidencialidad. VALIDACIÓN DE DATOS DE ENTRADA Página 8 de 13 COPIA NO CONTROLADA DE ENTRADA. PROCEDIMIENTO PARA LA VALIDACIÓN DE DATOS PROCESAMIENTO Y SALIDA DE LA INFORMACIÓN PERSONAL 8. SEGURIDAD DE LA INFORMACIÓN EN PROCESO DE GESTIÓN HUMANA 7. 8. 7. terceras partes. Seguridad durante el contrato.1. También se requiere de capacitación específica en administración de riesgos tecnológicos para aquellos individuos que están a cargo de responsabilidades especiales de protección y los conceptos básicos con que debe cumplir todo colaborador. incluso después de la finalización del puesto de trabajo o del contrato.2. la Vicepresidencia de Gestión Humana y Administrativa debe asegurar las responsabilidades sobre seguridad de manera previa a la contratación. . Seguridad previa a la contratación del personal. 7. Para toda persona que ingrese a la compañía. contratistas.

es necesaria para reducir el riesgo no autorizado de acceso a la información y para protegerlo contra pérdida o robo. Página 9 de 13 COPIA NO CONTROLADA . pertinencia. formatos. 11. VALIDACIÓN DE DATOS PROCESADOS 8.3. SEGURIDAD FÍSICA Y DEL ENTORNO  Seguridad de los equipos: Para prevenir la pérdida de información daño o el compromiso de los activos de información y la interrupción de las actividades de la empresa.  Retiro de equipos: Se deben tener en cuenta los procesos de instalación y retirada del equipo. 9. los equipos deben estar conectados a la toma regulada destinada para tal fin. PROCEDIMIENTO PARA LA DISPOSICIÓN FINAL DE LA INFORMACIÓN PERSONAL Supresión. destrucción.  Escritorio limpio: La implementación de una directriz de escritorio limpio permitirá reducir el riesgo de acceso no autorizado o daño a medios y documentos. como confirmación de tipos.2. etc.MANUAL DE POLÍTICAS Y PROCEDIMIENTOS DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PERSONAL CONSTRUIR PARA EL BIENESTAR PROCESO: DIRECCIONAMIENTO ESTRATÉGICO CÓDIGO: PR28 VERSIÓN: 1 Para garantizar que los datos recolectados y procesados sean correctos y apropiados. VALIDACIÓN DE DATOS DE SALIDA …. incluso cuando se utilizan fuera de la oficina. CONTROLES DE SEGURIDAD DE LA INFORMACIÓN DURANTE EL MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIÓN PERSONAL (CONTROL DE CAMBIOS) …. de tal manera que estos se hagan de forma controlada y segura. …. 8. 10. La protección de los equipos. longitudes. cantidad. etc. uso. archivo.

1. el usuario tendrá que autenticarse antes de reanudar su actividad. deben bloquear la sesión al alejarse de su computador. Asimismo. se permite informar que internamente la compañía ha implementado mecanismos para el tratamiento de la información confiable tales como: a) Uso de un Software de Antivirus. acceso no autorizado y/o fraudulento. PROCEDIMIENTO DE GESTIÓN INFORMACIÓN PERSONAL DE INCIDENTES DE SEGURIDAD DE LA Para NEMA INGENIERÍA SAS es fundamental y prioritario adoptar medidas técnicas.2. consultores. MONITOREO DE CONSULTA DE LAS BASES DE DATOS 13. uso o acceso no autorizado o fraudulento. humanas y administrativas que sean necesarias para procurar la seguridad de los datos de carácter personal protegiendo la confidencialidad. b) Restricción de acceso a Bases de Datos. consulta. contratistas. NEMA INGENIERÍA SAS mantiene protocolos de seguridad de obligatorio cumplimiento para el personal con acceso a los datos de carácter personal y a los sistemas de información. jurídicas. pérdida. MONITOREO Y AUDITORÍA DE LA BASE DE DATOS 12. uso. Todos los colaboradores. 12. Estos procedimientos se encuentran documentados dentro del proceso de Gestión de Mantenimiento. en donde se han considerado los siguientes aspectos: Página 10 de 13 COPIA NO CONTROLADA . terceras partes. Se han establecido procedimientos internos de seguridad de obligatorio cumplimiento para el personal con acceso a los datos de carácter personal y a los sistemas de información con el fin de conservar la información del titular para impedir su adulteración.MANUAL DE POLÍTICAS Y PROCEDIMIENTOS DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PERSONAL CONSTRUIR PARA EL BIENESTAR PROCESO: DIRECCIONAMIENTO ESTRATÉGICO  CÓDIGO: PR28 VERSIÓN: 1 Los computadores deben bloquearse después de diez (10) minutos de inactividad. c) Cláusula de confidencialidad en todos los contratos laborales de empleados. AUDITORÍA DE LOS SISTEMAS DE INFORMACIÓN QUE CONTIENEN DATOS PERSONALES 12. integridad. d) Acuerdo de confidencialidad con proveedores y terceros.

2. d) Estructura de las bases de datos de carácter personal y descripción de los sistemas de información que los tratan. actualizar y rectificar de forma gratuita la información que se haya recogido sobre ella en archivos y bancos de datos de naturaleza pública o privada. b) Medidas. j) El contenido del procedimiento deberá adecuarse en todo momento a las disposiciones vigentes en materia de seguridad de los datos personales NEMA INGENIERÍA SAS garantiza que da cumplimiento a la protección de los datos personales suministrados por sus clientes en virtud de lo dispuesto en la normatividad regulatoria del derecho al HABEAS DATA. f) Procedimientos de realización de copias de respaldo y de recuperación de los datos. i) El procedimiento deberá mantenerse actualizado en todo momento y deberá ser revisado siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo. corregirlos . revocar y solicitar prueba de la autorización dada si así lo considera a través de este medio o a través de las oficinas de Servicio al Cliente de los almacenes en todo el país. e) Procedimiento de notificación. para lo cual se permite informar: 1. Que el cliente como titular de la información podrá acceder a sus datos en cualquier momento. reglas y estándares encaminados a garantizar el nivel de seguridad exigido en la Ley 1581 de 2012 c) Funciones y obligaciones del personal. procedimientos. por lo cual podrá modificarlos. normas. actualizarlos. Que el derecho de hábeas data es aquel que tiene toda persona de conocer.MANUAL DE POLÍTICAS Y PROCEDIMIENTOS DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PERSONAL CONSTRUIR PARA EL BIENESTAR PROCESO: DIRECCIONAMIENTO ESTRATÉGICO CÓDIGO: PR28 VERSIÓN: 1 a) Ámbito de aplicación del procedimiento con especificación detallada de los recursos protegidos. desechado o reutilizado. Página 11 de 13 COPIA NO CONTROLADA . gestión y respuesta ante las incidencias. g) Controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el procedimiento de seguridad que se implemente h) Medidas a adoptar cuando un soporte o documento vaya a ser transportado.

MANUAL DE POLÍTICAS Y PROCEDIMIENTOS DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PERSONAL CONSTRUIR PARA EL BIENESTAR PROCESO: DIRECCIONAMIENTO ESTRATÉGICO CÓDIGO: PR28 VERSIÓN: 1 3. (57) 4660487. Móvil (57) 3016564997. 4. Que para el ejercicio pleno y efectivo de este derecho por parte de todos sus clientes. NEMA INGENIERÍA SAS ha dispuesto los siguientes medios a través de los cuales podrán presentar sus solicitudes y/o quejas y/o reclamos: Teléfonos (57) 4660483.com. Que el cliente como titular de la información tiene la facultad o no de informar aquellos datos que libremente disponga y de elevar solicitudes respecto al uso que se la haya dado a sus datos. o mediante comunicado físico a la Calle 135C Nº 9 A 27 en Bogotá. CONTROL DE MODIFICACIONES DE ESTE PROCEDIMIENTO VERSIÓN FECHA 1 01-11-2016 MODIFICACIONES Documento inicial Página 12 de 13 COPIA NO CONTROLADA . 14. correo electrónico reclamosugerenciasupresion@nemaingenieria.

MANUAL DE POLÍTICAS Y PROCEDIMIENTOS DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PERSONAL CONSTRUIR PARA EL BIENESTAR PROCESO: DIRECCIONAMIENTO ESTRATÉGICO 15. REGISTROS No aplica Página 13 de 13 COPIA NO CONTROLADA CÓDIGO: PR28 VERSIÓN: 1 .