PROCESO: AUDITORIA Código FO-AU-13

FORMATO Versión 01

PROGRAMA DE AUDITORÍA Fecha 2/1/2017

Titulo de la Auditoria: PROTECCION DE DATOS Empresa: Fecha de ejecución del trabajo: Apr-17

OBJETIVOS:
Verificar el estado de implementación de la LEY 1581 de 2012, Protección de Datos Personales (en adelante Ley 1581) y la circular externa 002 del 03 de noviembre de 2015, de la Superintendencia de Industria y Comercio sobre el Registro Nacional de Bases de Datos.

1 Revisar el inventario (físico o magnético) de las Bases de Datos de información personal existentes en la compañía.

2 Validar la existencia de políticas y procedimientos vigentes orientados a satisfacer los requerimientos según la Ley 1581.

3 Validar el registro de las bases de datos radicado ante la Superintendencia de Industria y Comercio como parte de la normatividad vigente.

4 Evaluar los controles de seguridad de las Bases de Datos (pudiendo ser físicas o magnéticas), encargados de evitar alteraciones, consultas, pérdidas o accesos no autorizados.

5 Verificar la funcionalidad de los distintos canales de comunicación que posee la empresas para atender las consultas de los titulares de información.

ALCANCE: La auditoría se realizará en las instalaciones de XXXXXXX , ubicada en XXXXX, teniendo como foco de atención las relaciones directas del proceso de implementación de la Ley 1581, comprendiendo los siguientes temas:

- Política y procedimientos de Tratamiento de la Información.

- Política de Seguridad de la Información Existentes alineadas con los requerimientos según la ley 1581 Título II Principios Rectores.
- Inscripción de las Bases de Datos ante la SIC y la respectiva información anexa (políticas y aviso de privacidad)

RECURSOS: Asistente de Auditoría:

Jefe de Auditoría:
TIEMPO DE EJECUCION DE LA AUDITORIA: 40 horas - 5 Días
PASOS A SEGUIR:
1. Verifique que la información suministrada cumple con lo establecido en la Ley 1581
2. Realice una
3. Proceda reunión con
a desarrollar el responsable
la guía deldel
de auditoría Sistema de documento
presente Gestión de conforme
Proteccióna de
losDatos e identifique
siguientes aspectos:las bases de datos reportadas por la compañía ante la SIC

a) Indague sobre el comité de Protección de datos

b) Identifique las políticas y procedimientos vigentes
c) Identifique el Inventario de Bases de Datos existentes(Reportadas ante la SIC)
d) Identifique el registro (correo emitido por la SIC) de información de las BD radicadas
e) Identifique las seguridades existentes de las BD reportadas
f) Identifique y valide la funcionalidad de los distintos canales de comunicación que posee la empresas para atender las consultas de los titulares de información.

socializar los resultados con los auditados y asegure que se genere un plan de acción
4. Proceda a socializar los hallazgos conforme a los aspectos anteriormente evaluados
5. Documente y proceda a emitir el AUD de la presente evaluación
CONCLUSIÓN

Control de revisiones y aprobaciones del trabajo de auditoría

Equipo a cargo Fecha Observaciones
Jefe/Coordinador de
auditoría:
Director:
Gerente:
Nombre Empresa: GUIA DE AUDITORIA PARA LA PROTECCION DE DATOS PERSONALES

Tratamiento de inform
OBJETIVO

Verificar el estado de implementación de la LEY 1581 de 2012, Protección de Datos Personales (en adelante Ley 1581)
Registro Nacional de Bases de Datos.

Comité Protección de Datos

1. Defina la estructura administrativa responsable de protección de datos.

2. Indique los mecanismos definidos por la empresa, para poner en práctica las
definido en la Ley 1581 (implementación, divulgación y programas de capacitación)

3. Existe un presupuesto definido por la empresa para la implementación del

Programa de Protección de datos.

Políticas y Procedimientos

1. Validar la Política de Protección de Datos Personales:

2. Procedimientos para la vinculación, donde se incluya la gestión de datos

personales
3. Procedimiento de quejas, reclamos y solicitudes de los Titulares de
Datos.

INVENTARIO DE BASES DE DATOS

Sobre el Inventario de las Bases de Datos.
Revise que el archivo cuente con los siguientes aspectos:

1. Títulos o nombres de las Bases de Datos.

2. Responsable del tratamiento de datos personales.
3. Encargado(s) del tratamiento de datos personales.
· Solicitar el documento del nombramiento del cargo.
4. Tipo de Bases de Datos (físicas o magnéticas).
5. Se tienen las autorizaciones de los titulares de los datos.
· Validar si se realizó directamente o por medio de terceros
(revisión de contratos y formatos de vinculación).
6. Forma de obtención de los datos
7. Existen casos de Transferencia o Transmisión Internacional de los
datos personales.

8. Existencia de casos de cesión de una o más bases de datos.

9. Confirmación de la fecha de finalización para el registro de la base

datos en RNBD (si aplica).

REGISTRO INFORMÁTICO DE LAS BASES DE DATOS RADICADAS

1. Valide que la empresa haya realizado un registro inicial y una

actualización reciente a dicha información
2. Valide que la política se encuentra registrada
3. Valide que el aviso de privacidad y la política se encuentren publicados en
la página Web.
 4. Validar en las oficinas o puntos de venta donde la empresa tenga cámaras
instaladas y en funcionamiento que se encuentre publicado el aviso.

SEGURIDAD DE LAS BASES DE DATOS

Sobre las bases de datos Físicas que posee la empresa,

Conceptúa los siguientes aspectos:

1. Efectuar check List de controles Físicos y ambientales.

Sobre las Claves Seguras de Usuarios

Conceptúe sobre lo siguiente:
1. Revisar la generación de una clave de usuario inicial
2. Verifique cómo se remite al usuario
3. Verifique como se hace para olvido de claves

Aplique el siguiente cuadro y deje evidencias como soporte:

PRUEBAS, para Usuarios Retirados o en Vacaciones…

Se deben cruzar los listados de Nómina y el listado de usuarios creados en el Aplicativos:

USUARIOS

VACACIONES

1
2
3
4
5

RETIROS

1
2
 Validación inicio sesion equipos

1. Valide que los equipos requieran contraseña para iniciar sesión

2. Valide el acceso a los aplicativos requieran contraseña

Utilización de formatos

1. Valide minimo cinco registros del mes de marzo de 2017 y cinco

registros de octrubre de 2016 de:
a) Personal
b) Proveedores
c) convenios
d) Colocadores
e) Accionistas ( si aplica)
f) Ganadores de premios mayores a $ 500.000

CANALES DE COMUNICACIÓN DE LAS BASES DE DATOS.

Sobre los canales de comunicación de las Bases de Datos:
Valide los siguientes aspectos:
1. Canales o medios previstos para atender requerimientos de los
titulares.
a) En casos de Página Web, la facilidad de acceso a la politica
y formato de atención.
b) En casos de formato físico, que se encuentre en la oficina
principal.

Relación de reuniones realizadas

Nombre1:
Nombre2:
CCION DEFecha:
DATOS PERSONALES

Tratamiento de información Personal

Datos Personales (en adelante Ley 1581) y la circular externa 002 del 03 de noviembre de 2015, de la Superintendencia de Industria

Comentarios de Auditoría
(Describa brevemente y deje evidencia)
1.
Nombre Cargo Función

2.
Aspecto a Observar Si No
¿Existe Cronograma de implementación?
¿Existe Cronograma de capacitación?
¿Existen campañas a través de intranet,
correo electrónico u otros medios?

3.

Comentarios de Auditoría

(Describa brevemente y deje evidencia)

Aspecto a Observar Si No
Existe Política de protección de datos
personales
Existen Procedimientos para la vinculación,
donde se incluya la gestión de datos
personales , de acuerdo con las bases de
datos registradas en la SIC?

a) Base de Datos de Clientes

b) Base de Datos de Proveedores
c) Base de Datos de ______________
d) Base de Datos de ______________
e) Base de Datos de ______________

Existen procedimientos para la atención de

quejas, reclamos y solicitudes de los titulares
de los datos
Valide que la empresa se encuentre
trabajando con los formatos de vinculación
actualizados
Verifique que aquellos formatos donde se pida
huella, incluyan autorización de tratamiento de
datos sensibles

Valide si la información anteriormente

relacionada, se encuentra aprobada y
socializada por la alta dirección de la empresa

COMENTARIOS DE AUDITORIA

(Describa brevemente y Adjunte el soporte y/o evidencia)

COMENTARIOS DE AUDITORIA

(Describa brevemente y deje evidencia)

 (Describa brevemente y deje evidencia)

COMENTARIOS DE AUDITORIA

Check List Controles Físicos

Concepto Comentarios
Ubicación
Protección Física
Sistema Contra Incendios
Detectores de Humo
Conexiones Eléctricas
Temperatura

CRITERIO DEBE SER TIENEN

Obligatorio cambio de clave inicial Si
Mínimo de caracteres 8 o más
Alfanuméricos Si
Caracteres especiales Si
Histórico Mínimo 3
Cambio obligatorio Mínimo 3 meses
Tiempo de inactividad Mínimo un (1) mes
Otros

plicativos:

FECHA FORMATO FECHA APP FECHA DB

 COMENTARIOS DE AUDITORIA

(Describa brevemente y deje evidencia)

COMENTARIOS DE AUDITORIA

(Describa brevemente y deje evidencia)

COMENTARIOS DE AUDITORIA

(Describa brevemente y deje evidencia)

Cargo1:
Cargo2:
uperintendencia de Industria y Comercio sobre el
OBSERVACIONES

LOG
(Último acceso)
Fecha1:
Fecha2: