Política de Tratamiento, Confidencialidad y Protección de datos personales

En el marco de su actividad, UPBIKER como marca registrada de PIENZA MEETING DE COLOMBIA S.A.S. procesa los datos personales de sus usuarios/clientes de conformidad con la Ley 1581 de 2012 y el Decreto 1377 de 2013, del manejo de los archivos y las libertades.

La siguiente es nuestra política de tratamiento de información para los datos personales registrados en todas nuestras bases de datos, aunque para cada Cliente podemos definir políticas individuales para determinadas bases de datos.

La política de confidencialidad de PIENZA MEETING DE COLOMBIA S.A.S se rige por las siguientes condiciones.

 

Objetivo General:

Establecer los criterios para la recolección, almacenamiento, uso, circulación y finalidad de los datos personales tratados por PIENZA MEETING DE COLOMBIA S.A.S.

 

Alcance:

Esta política aplica para toda la información personal registrada en las bases de datos de PIENZA MEETING DE COLOMBIA S.A.S.

 

Obligaciones:

Esta política es de obligatorio y estricto cumplimiento para PIENZA MEETING DE COLOMBIA S.A.S.

Definiciones

 

  • Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de Datos Personales.  
  • Aviso de Privacidad: Comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el Tratamiento de sus Datos Personales, mediante la cual se le informa acerca de la existencia de las Políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales. 
  • Base de Datos: Conjunto organizado de Datos Personales que sea objeto de Tratamiento.  
  • Clientes: Persona natural o jurídica, pública o privada con los cuales LA COMPAÑÍA tiene una relación comercial. Comprende las tiendas, supermercados, mini mercados, entre otros.  
  • Dato Personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables. Son algunos ejemplos de datos personales los siguientes: nombre, cédula de ciudadanía, dirección, correo electrónico, número telefónico, estado civil, datos de salud, huella dactilar, salario, bienes, estados financieros, etc.  
  • Dato sensible: Información que afecta la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos, entre otros, la captura de imagen fija o en movimiento, huellas digitales, fotografías, iris, reconocimiento de voz, facial o de palma de mano, etc.  
  • Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de Datos Personales por cuenta del Responsable del Tratamiento. En los eventos en que el Responsable no ejerza como Encargado de la Base de Datos, se identificará expresamente quién será el Encargado. 
  • Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la Base de Datos y/o el Tratamiento de los datos.  
  • Reclamo: Solicitud del Titular del dato o de las personas autorizadas por éste o por la Ley para corregir, actualizar o suprimir sus datos personales o para revocar la autorización en los casos establecidos en la Ley.  
  • Términos y Condiciones: marco general en el cual se establecen las condiciones para los participantes de actividades promocionales o afines.  
  • Titular: Persona natural cuyos Datos Personales sean objeto de Tratamiento.  
  • Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.  
  • Transmisión: Tratamiento de Datos Personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.  
  • Tratamiento: Cualquier operación o conjunto de operaciones sobre Datos Personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
  • Cookie: una cookie es una información que los servidores visitados por los internautas depositan en el disco duro de estos últimos. Contiene diferentes datos: el nombre del servidor que la depositó, un identificador con un número único y, en algunos casos, una fecha de caducidad. A veces, esta información se almacena en el ordenador, en un archivo de texto al que los servidores acceden para leer y guardar la información.

Objetivos

  • El tratamiento de los datos personales es necesario para el cumplimiento del servicio ofrecido por PIENZA MEETING DE COLOMBIA S.A.S.
  • Cualquier tipo de gestión comercial del usuario/cliente;
  • Gestión de las operaciones de prospección;
  • Elaboración de estadísticas comerciales y el control del cumplimiento de la normativa sobre informática y libertades;
  • En general, cualquier articulo previsto en la Ley 1581 de 2012 y el Decreto 1377 de 2013 sobre Protección de datos Personales.

 

Responsable del tratamiento

El responsable del tratamiento de los datos personales a los que se refiere el presente documento es PIENZA MEETING DE COLOMBIA S.A.S. inscrita en el Registro Mercantil de Colombia con el número de identificación tributaria NIT 900274787-8 con sede en la Calle 127b BIS # 49 – 38.

 

Finalidades generales para el tratamiento de Datos Personales 

  1. Permitir la participación de los Titulares en actividades de mercadeo y promocionales realizados por PIENZA MEETING DE COLOMBIA S.A.S.;  
  2. Evaluar la calidad del servicio, realizar estudios de mercado sobre hábitos de consumo y análisis estadísticos para usos internos;  
  3. Dar respuesta a consultas, peticiones, quejas y reclamos que sean realizadas por los Titulares y organismos de control y transmitir los Datos Personales a las demás autoridades que en virtud de la ley aplicable deban recibir los Datos Personales;  
  4. Para eventualmente contactar, vía correo electrónico, o por cualquier otro medio, a personas naturales con quienes tiene o ha tenido relación, tales como, sin que la enumeración signifique limitación, trabajadores y familiares de éstos, accionistas, consumidores, clientes, distribuidores, proveedores, acreedores y deudores, para las finalidades antes mencionadas.  
  5. Transferir la información recolectada a distintas áreas de PIENZA MEETING DE COLOMBIA S.A.S. y a sus compañías vinculadas en Colombia y en el exterior cuando ello sea necesario para el desarrollo de sus operaciones (recaudo de cartera y cobros administrativo, tesorería, contabilidad, entre otros); 
  6. Para la atención de requerimientos judiciales o administrativos y el cumplimiento de mandatos judiciales o legales;  
  7. Registrar sus datos personales en los sistemas de información de PIENZA MEETING DE COLOMBIA S.A.S. y en sus bases de datos comerciales y operativas;  
  8. Cualquier otra actividad de naturaleza similar a las anteriormente descritas que sean necesarias para desarrollar el objeto social de PIENZA MEETING DE COLOMBIA S.A.S. 
  9. Respecto a los datos personales de nuestros Clientes y Consumidores:  
  10. Para cumplir las obligaciones contraídas por la compañia con sus Clientes y Consumidores al momento de adquirir nuestros productos;  
  11. Enviar información sobre cambios en las condiciones de los productos ofrecidos por PIENZA MEETING DE COLOMBIA S.A.S.;  
  12. Enviar información sobre ofertas relacionadas con nuestros productos que ofrecemos y sus compañías vinculadas;  
  13. Para el fortalecimiento de las relaciones con sus Consumidores y Clientes, mediante el envío de información relevante, la toma de pedidos y evaluación de la calidad del servicio;  
  14. Para la determinación de obligaciones pendientes, la consulta de información financiera e historia crediticia y el reporte a centrales de información de obligaciones incumplidas, respecto de sus deudores;  
  15. Para mejorar, promocionar y desarrollar sus productos y los de sus compañías vinculadas a nivel mundial;  
  16. Permitir que compañías vinculadas a PIENZA MEETING DE COLOMBIA S.A.S., con las cuales ha celebrado contratos que incluyen disposiciones para garantizar la seguridad y el adecuado tratamiento de los datos personales tratados, contacten al Titular con el propósito de ofrecerle bienes o servicios de su interés;  
  17. Controlar el acceso a las oficinas de la compañia y establecer medidas de seguridad, incluyendo el establecimiento de zonas video-vigiladas;  
  18. Utilizar los distintos servicios a través de los sitios web de PIENZA MEETING DE COLOMBIA S.A.S., incluyendo descargas de contenidos y formatos;  
  19. Efectuar encuestas de satisfacción respecto de los bienes y servicios ofrecidos por PIENZA MEETING DE COLOMBIA S.A.S.
  20. Suministrar información de contacto a la fuerza comercial y/o red de distribución, telemercadeo, investigación de mercados y cualquier tercero con el cual PIENZA MEETING DE COLOMBIA S.A.S. tenga un vínculo contractual para el desarrollo de actividades de ese tipo (investigación de mercados y telemercadeo, etc) para la ejecución de las mismas.
  21. Contactar al Titular a través de medios telefónicos para realizar encuestas, estudios y/o confirmación de datos personales necesarios para la ejecución de una relación contractual.
  22. Contactar al Titular a través de medios electrónicos – SMS o chat para el envío de noticias relacionadas con campañas de fidelización o mejora de servicio.
  23. Contactar al Titular a través de correo electrónico para el envío de extractos, estados de cuenta o facturas en relación con las obligaciones deriva- das del contrato celebrado entre las partes.

Respecto a los datos personales de nuestros empleados:  

  1. Administrar y operar, directamente o por conducto de terceros, los procesos de selección y vinculación de personal, incluyendo la evaluación y calificación de los participantes y la verificación de referencias laborales y personales, y la realización de estudios de seguridad;  
  2. Desarrollar las actividades propias de la gestión de Recursos Humanos dentro de la compañia, tales como nómina, afiliaciones a entidades del sistema general de seguridad social, actividades de bienestar y salud ocupacional, ejercicio de la potestad sancionatoria del empleador, entre otras; 
  3. Realizar los pagos necesarios derivados de la ejecución del contrato de trabajo y/o su terminación, y las demás prestaciones sociales a que haya lugar de conformidad con la ley aplicable;  
  4. Contratar beneficios laborales con terceros, tales como seguros de vida, gastos médicos, entre otros;  
  5. Notificar a contactos autorizados en caso de emergencias durante el horario de trabajo o con ocasión del desarrollo del mismo;  
  6. Coordinar el desarrollo profesional de los empleados, el acceso de los empleados a los recursos informáticos del empleador y dar soporte para su utilización;  
  7. Planificar actividades empresariales;  
  8. Respecto a los Datos de Proveedores:  
  9. Para invitarlos a participar en procesos de selección y a eventos organizados o patrocinados por PIENZA MEETING DE COLOMBIA S.A.S.  
  10. Para la evaluación del cumplimiento de sus obligaciones;  
  11. Para hacer el registro en los sistemas de PIENZA MEETING DE COLOMBIA S.A.S.;  
  12. Para procesar sus pagos y verificar saldos pendientes;  

 

 

Datos facilitados por el usuario

 

El usuario/cliente, titular de los derechos de propiedad intelectual del archivo, conserva, plena y exclusivamente, la propiedad del archivo facilitado a PIENZA MEETING DE COLOMBIA S.A.S.

 

PIENZA MEETING DE COLOMBIA S.A.S tiene acceso a los datos facilitados por sus usuarios/clientes y empleados desde los correspondientes portales de registro de información o datos facilitados en comunicaciones personales o vía email.

Estos datos se almacenan en servidores seguros y están sujetos a un tratamiento digital de datos para la prestación de los servicios contratados por el usuario y para mejorar los servicios de PIENZA MEETING DE COLOMBIA S.A.S.

 

Los servidores de alojamiento en los que PIENZA MEETING DE COLOMBIA S.A.S procesa y almacena las bases de datos se encuentran exclusivamente dentro de América.

 

El comportamiento del manejo de la información puede someterse a diferentes análisis de seguimiento y veracidad de la información con el fin de mejorar sus campañas de marketing o comunicación durante el desarrollo del servicio.

 

PIENZA MEETING DE COLOMBIA S.A.S se compromete a no vender ni alquilar los datos proporcionados por los usuarios/clientes y empleados.

 

La divulgación a terceros de los datos personales contenidos en las bases de datos solo puede darse en los siguientes casos:

 

  • Con autorización del usuario/cliente que certifique que el titular de los datos personales ha autorizado dicha divulgación;
  • A petición de las autoridades legalmente competentes, por requerimiento judicial o como parte de un litigio.

 

El usuario/cliente es responsable del tratamiento de los datos personales según la Ley 1581 de 2012 y el Decreto 1377 de 2013, del manejo de los archivos y las libertades.

 

El usuario/cliente garantiza a PIENZA MEETING DE COLOMBIA S.A.S que cumple con las disposiciones de la Ley 1581 de 2012 de Protección de datos personales y el Decreto 1377 de 2013 y en particular:

  • Que los datos personales contenidos en el archivo transmitido se han recogido y tratado de conformidad con las disposiciones de la mencionada ley;
  • En caso contrario, que la recopilación y el tratamiento de los datos han sido objeto de una autorización por parte del titular de los mismos;
  • Que permite a los titulares de los datos tratados ejercer su derecho individual de acceso, modificación, rectificación y eliminación de los datos personales;
  • Que se compromete a garantizar que la información sea correcta, completa, clara, actualizada o que se elimine cuando sea inexacta, incompleta, ambigua, esté desfasada, así como a indicar si los propietarios quieren prohibir la recopilación o el uso, la comunicación o la conservación de sus datos.

 

Derechos de los Titulares de los Datos Personales  

Las personas naturales cuyos Datos Personales sean objeto de Tratamiento por parte de PIENZA MEETING DE COLOMBIA S.A.S., tienen los siguientes derechos, los cuales pueden ejercer en cualquier momento: 

  • Conocer los Datos Personales sobre los cuales PIENZA MEETING DE COLOMBIA S.A.S. está realizando el Tratamiento. De igual manera, el Titular puede solicitar en cualquier momento, que sus datos sean actualizados o rectificados, por ejemplo, si encuentra que sus datos son parciales, inexactos, incompletos, fraccionados, induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado.  
  • Solicitar prueba de la autorización otorgada a la compañia para el Tratamiento de sus Datos Personales.  
  • Ser informado por PIENZA MEETING DE COLOMBIA S.A.S., previa solicitud, respecto del uso que ésta le ha dado a sus Datos Personales.  
  • Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la Ley de Protección de Datos Personales. 
  • Solicitar a la compañia la supresión de sus Datos Personales y/o revocar la autorización otorgada para el Tratamiento de los mismos, mediante la presentación de un reclamo, de acuerdo con los procedimientos establecidos en el numeral 13 de esta Política. No obstante, la solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el Titular de la información tenga un deber legal o contractual de permanecer en la Base de Datos y/o Archivos, ni mientras se encuentre vigente la relación entre el Titular y PIENZA MEETING DE COLOMBIA S.A.S., en virtud de la cual fueron recolectados sus datos.  
  • Acceder de forma gratuita a sus Datos Personales que hayan sido objeto de Tratamiento.  

Los derechos de los Titulares podrán ejercerse por las siguientes personas: Por el Titular;  

Por sus causahabientes, quienes deberán acreditar tal calidad;  Por el representante y/o apoderado del Titular, previa acreditación de la representación o apoderamiento;  

Por estipulación a favor de otro o para otro. 

Deberes de PIENZA MEETING DE COLOMBIA S.A.S. como Responsable del Tratamiento de Datos Personales  

PIENZA MEETING DE COLOMBIA S.A.S. tiene presente que los Datos Personales son de propiedad de las personas a las que se refieren y solamente ellas pueden decidir sobre los mismos. En ese sentido, se hará uso de los Datos Personales recolectados únicamente para las finalidades para las que se encuentra debidamente facultada y respetando, en todo caso, la normatividad vigente sobre la Protección de Datos Personales.  

La organización atenderá los deberes previstos para los Responsables del Tratamiento, contenidos en el artículo 17 de la Ley 1581 de 2012 y las demás normas que la reglamenten, modifiquen o sustituyan.

 

 

Datos personales recopilados directamente por PIENZA MEETING DE COLOMBIA S.A.S

 

PIENZA MEETING DE COLOMBIA S.A.S recopila y procesa los siguientes datos: correo electrónico, nombre, apellidos, país, dirección postal, número de teléfono, dirección IP y nombre del dominio, datos de conexión y navegación si el usuario lo autoriza, datos bancarios si el usuario lo autoriza, historial de los pedidos, reclamaciones, incidencias, información relativa a las suscripciones y a la correspondencia en nuestro sitio.

Se indica mediante un asterisco el carácter obligatorio u opcional de los datos.

Además, algunos datos se recopilan automáticamente a partir del comportamiento del usuario en el sitio (consúltese el párrafo sobre las cookies).

 

Procedimiento para el Ejercicio del Derecho de Habeas Data.

 

Los Titulares de Datos Personales tratados por PIENZA MEETING DE COLOMBIA S.A.S. tienen derecho a acceder a sus Datos Personales y a los detalles de dicho Tratamiento, así como a rectificarlos y actualizarlos en caso de ser inexactos o a solicitar su eliminación cuando considere que resulten ser excesivos o innecesarios para las finalidades que justificaron su obtención u oponerse al Tratamiento de los mismos para fines específicos.  

Las vías que se han implementado para garantizar el ejercicio de dichos derechos a través de la presentación de la solicitud respectiva son: 

Comunicación dirigida a PIENZA MEETING DE COLOMBIA S.A.S. al Oficial protección de datos personales, Calle 127b BIS #49-38 Bogotá D.C. Colombia.  

Solicitud presentada al correo electrónico: soporte@benditaess.com 

Solicitud presentada a través del teléfono +57 (1) 726 5863 / +57 (1) 7454314 al área de Infraestructura

Diligenciando lo siguiente:

  • Nombre completo y apellidos
  • Datos de contacto (Dirección física y/o electrónica y teléfonos de contacto),
  • Medios para recibir respuesta a su solicitud,
  • Motivo(s)/hecho(s) que dan lugar al reclamo con una breve descripción del derecho que desea ejercer (conocer, actualizar, rectificar, solicitar prueba de la autorización otorgada, revocarla, suprimir, acceder a la información)
  • Firma (si aplica) y número de identificación.

 

Él término máximo previsto por la ley para resolver su reclamación es de quince (15) días hábiles, contado a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho termino, PIENZA MEETING DE COLOMBIA S.A.S informará al interesado los motivos de la demora y la fecha en que se atenderá́ su reclamo, la cual en ningún caso podrá́ superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

Una vez cumplidos los términos señalados por la Ley 1581 de 2012 y las demás normas que la reglamenten o complementen, el Titular al que se deniegue, total o parcialmente, el ejercicio de los derechos de acceso, actualización, rectificación, supresión y revocación, podrá́ poner su caso en conocimiento de la Superintendencia de Industria y Comercio Delegatura para la Protección de Datos Personales.

  

 

Así mismo, el usuario puede, por motivos legítimos, oponerse al tratamiento de sus datos personales.

El usuario también podrá modificar sus datos en todo momento usando los enlaces en las comunicaciones que se realizan o escribiéndonos a los canales habilitados anteriormente.

El usuario/cliente puede darse de baja de los newsletter o correos electrónicos de marketing mediante los enlaces de cancelación de la suscripción que aparecen en dichos correos.

Información Obtenida en forma pasiva  

Cuando se utilizan los servicios contenidos dentro de los sitios web de PIENZA MEETING DE COLOMBIA S.A.S., ésta podrá recopilar información en forma pasiva a través de tecnologías para el manejo de la información, tales como “cookies”, a través de los cuales se recolecta información acerca del hardware y el software del equipo, dirección IP, tipo de explorador, sistema operativo, nombre de dominio, tiempo de acceso y las direcciones de los sitios web de procedencia; mediante el uso de éstas herramientas no se recolectan directamente Datos Personales de los usuarios. También se recopilará información acerca de las páginas que la persona visita con mayor frecuencia en estos sitios web a efectos de conocer sus hábitos de navegación. No obstante, el usuario de los sitios web de PIENZA MEETING DE COLOMBIA S.A.S. tiene la posibilidad de configurar el funcionamiento de las “cookies”, de acuerdo con las opciones de su navegador de internet. 

Cookies

Los portales de PIENZA MEETING DE COLOMBIA S.A.S utilizan cookies que tienen como objetivo facilitar la navegación en los sitios, ejecutar el servicio ofrecido por PIENZA MEETING DE COLOMBIA S.A.S, medir el público del sitio o incluso permitir compartir las páginas del sitio web.

Tipos de cookies utilizadas

 

Cookies necesarias para la navegación en el sitio

Estas cookies son necesarias para el funcionamiento de los portales web PIENZA MEETING DE COLOMBIA S.A.S. Permiten el uso de las características principales del sitio

Sin ellas los usuarios no podrán utilizar el sitio con la mejor experiencia.

 

Cookies funcionales

Estas cookies permiten personalizar la experiencia del usuario.

 

Cookies analíticas

Estas cookies permiten conocer el uso y rendimiento del sitio y mejorar su funcionamiento a través del análisis de la frecuencia de las visitas a las páginas de información, realizando un seguimiento de los índices de apertura, los índices de clics y los índices de rebote de manera individualizada.

 

Cookies de los botones para compartir

Estas cookies sociales permiten a los usuarios compartir contenido y páginas en las redes sociales de terceros mediante los botones sociales para compartir.

 

Gestión de las cookies

Los usuarios pueden aceptar o rechazar las cookies una a una o todas a la vez desde la configuración de su navegador.

Si el usuario decide rechazar todas las cookies, el acceso a determinadas páginas del sitio se realizará sin ninguna experiencia de usuario.

Dependiendo del navegador utilizado por el usuario, los procedimientos que deberá seguir para la eliminación de las cookies son los siguientes:

 

En Internet Explorer

  • Haga clic en el botón «Herramientas» y, a continuación, sobre «Opciones de Internet».
  • Desde la pestaña «General», acceda al «Historial de navegación» y haga clic en «Configuración».
  • Haga clic en el botón «Mostrar los archivos».
  • Seleccione las cookies que desea rechazar y haga clic en eliminar.

En Firefox

  • Haga clic en el icono «Herramientas» del navegador, a continuación, seleccione el menú «Opciones».
  • En la ventana que aparece, seleccione «Privacidad» y haga clic en «Ver las cookies».
  • Seleccione las cookies que desea rechazar y haga clic en eliminar.

En Safari

  • Haga clic en el icono «Editar», a continuación, seleccione el menú «Preferencias».
  • Haga clic en «Seguridad» y después en «Ver las cookies».
  • Seleccione las cookies que desea rechazar y haga clic en eliminar.

En Google Chrome

  • Haga clic en el icono «Herramientas», seleccione el menú «Opciones» y, a continuación,
  • haga clic en la ficha «Opciones avanzadas» y acceda a la sección «Confidencialidad».
  • Haga clic en el botón «Ver las cookies».
  • Seleccione las cookies que desea rechazar y haga clic en eliminar.

 

Caducidad de las cookies

Las cookies se depositan en el dispositivo del usuario durante 13 meses como máximo a partir del consentimiento del usuario.

Después de este período, se vuelve a solicitar el consentimiento.

Lugar de conservación de los datos

 

Los servidores de alojamiento en los que PIENZA MEETING DE COLOMBIA S.A.S procesa y almacena las bases de datos se encuentran exclusivamente dentro de América.

 

Seguridad

 

PIENZA MEETING DE COLOMBIA S.A.S ha tomado todas las precauciones necesarias para proteger sus datos personales y, sobre todo, para impedir que se modifiquen o se dañen o que personas no autorizadas puedan acceder a estos.

 

Cabe citar las siguientes medidas:

 

  • Cortafuegos multinivel;
  • Antivirus de demostrada reputación y detección de intentos de intrusión;
  • Transmisión cifrada de datos mediante tecnología SSL/https/VPN.

 

Además, el acceso a su tratamiento por parte de los servicios de PIENZA MEETING DE COLOMBIA S.A.S requiere la autenticación de las personas que accedan a los datos mediante un código de acceso y una contraseña individual, suficientemente fuerte.

Para cualquier duda sobre la seguridad de nuestro sitio web, puede escribir a soporte@benditaess.com.

Atención a peticiones quejas o reclamos referentes al tratamiento de los datos:

El área de Soporte que depende del area de  CRM&MAP es la dependencia que tiene a cargo dar trámite a las solicitudes de los titulares para hacer efectivos sus derechos, a traves de canales telefonico  745 4314 / 726 5864, email  soporte@benditaess.com o a traves de nuestra pagina web www.upbiker.com

 

Modificación de la política de confidencialidad

PIENZA MEETING DE COLOMBIA S.A.S se reserva el derecho a modificar esta Política de confidencialidad con la finalidad de cumplir con las modificaciones de las leyes y normativas vigentes.

Los cambios se notificarán a través de nuestro sitio web o por correo electrónico, en la medida de lo posible, 30 días antes de su entrada en vigor.

Contacto

 

Para cualquier duda sobre la Política de confidencialidad de PIENZA MEETING DE COLOMBIA S.A.S puede escribir por correo electrónico a soporte@benditaess.com o por correo postal a:

PIENZA MEETING DE COLOMBIA S.A.S

Oficial de protección de datos

Calle 127b BIS #49-38

Teléfono: 726 5864

Bogotá, Colombia

 

Esta política de confidencialidad y protección de datos personales entra en vigencia el 05 de marzo de 2012. Con última actualización al 11 de Febrero de 2020.

POLÍTICA DE SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION (SGSI)

MARCO DE GESTIÓN DE SEGURIDAD INFORMÁTICA

Todas las políticas y procedimientos que figuran en este documento están aprobados, apoyados y respaldados por la Alta Dirección de la Agencia. Para la entidad está claro que la información depositada en los sistemas informáticos debe ser protegida de acuerdo con su criticidad, valor y sensibilidad de la misma.

Las medidas de seguridad informática deben ser tomadas, independientemente de los medios de almacenamiento donde se guarda la información, los sistemas utilizados para procesarla o los métodos usados para la transferencia de la misma.

La información que reposa en los sistemas informáticos debe ser protegida de acuerdo a su clasificación de seguridad.

OBJETIVOS DE LA POLÍTICA

El objetivo de la Política de Seguridad Informática consiste en establecer unos criterios, directrices y estrategias que le permitan a Upbiker® como marca de Pienza Meeting de Colombia SAS.  proteger su información, así como la tecnología para el procesamiento y administración de la misma. La Política de Seguridad Informática proporciona la base para la aplicación de controles de seguridad que reduzcan los riesgos y las vulnerabilidades del sistema.

El propósito de estructurar Políticas de Seguridad Informática es, por tanto, garantizar que los riesgos para la Seguridad Informática sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.

La seguridad informática consiste en garantizar la Confidencialidad, Integridad y Disponibilidad de la información, así como de los sistemas implicados en su tratamiento dentro de la Agencia.

Al aclarar las responsabilidades de los usuarios y las medidas que deben adoptar para proteger la información y los sistemas informáticos, la Agencia evita pérdidas graves o divulgación no autorizada. Por otra parte, el buen nombre de la Organización se debe en parte a la forma como protege su información y sus sistemas informáticos.

Este documento formaliza el compromiso de la Alta Dirección frente a la gestión de la seguridad informática y presenta de forma escrita a los usuarios de sistemas de información el compendio de acciones con las cuales la Agencia  establece las normas para proteger de posibles riesgos de daño, pérdida y uso indebido de la información, los equipos y demás recursos informáticos de la Entidad, los cuales están en constante cambio y evolución de acuerdo con el avance de la tecnología y los requerimientos de la Entidad.

Por último, la Política de Seguridad Informática puede ser útil como prueba en los litigios, en las negociaciones del contrato con el cliente, en las ofertas de adquisición y en las relaciones de negocios en general.

ALCANCE

Los Empleados:  La seguridad informática es un esfuerzo grupal. Esto requiere de la participación y el esfuerzo de todos los miembros de la organización que trabajan con los sistemas de información. Así, cada empleado deberá comprometerse en el cumplimiento de los requisitos de la Política de Seguridad Informática y de los documentos asociados a la misma.

Los Sistemas (Hardware y Software): Esta Política aplica para todos los computadores, redes, aplicaciones y sistemas operativos que son propiedad o son operados por la Agencia. La Política cubre únicamente la información manejada por los computadores y las redes corporativas.

Contratistas: Se definen como contratistas a aquellas personas que han suscrito un contrato con la Entidad y que pueden ser:

– Colaboradores en Misión

– Colaboradores por Outsourcing: son aquellas personas que laboran en la Entidad y tienen contrato con empresas de suministro de servicios y que dependen de ellos

– Personas naturales que prestan servicios independientes a la Entidad

– Proveedores de recursos informáticos.

DEFINICIONES

Para efectos del presente documento se entiende por:

Política de Seguridad Informática: Consiste en asegurar que los recursos y la información soportada en la plataforma informática (material informático o programas) de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida, así como su modificación, sólo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización. Toda intención y directriz expresada formalmente por la alta dirección.

Confidencialidad: Es asegurar que la información es acezada sólo por las personas autorizadas para ello.

Integridad: Mantenimiento de la exactitud e integralidad de la información y sus métodos de proceso.

Disponibilidad: Es asegurar que los usuarios autorizados tengan acceso a la información y a los activos asociados cuando éstos sean requeridos.

Irrefutabilidad (No repudio): El uso y/o modificación de la información por parte de un usuario debe ser irrefutable, es decir, que el usuario no puede negar dicha acción.

Impacto: Medición de los efectos que se generan en el Sistema Informático cuando se materializa una amenaza.

Riesgo: Es la probabilidad de ocurrencia de un hecho favorable o desfavorable que pudiera afectar la Seguridad Informática.

Vulnerabilidad: Son aspectos que influyen negativamente en la Seguridad Informática y que posibilitan la materialización de una amenaza.

Amenaza: Es un evento que puede desencadenar un incidente en el sistema informático, produciendo daños materiales o pérdidas inmateriales en sus activos.

Ataque: Evento, exitoso o no que atenta sobre el buen funcionamiento del Sistema Informático.

Plan de Contingencia: Disponibilidad de recursos para atender oportunamente una eventualidad en el Sistema Informático.

Incidente de Seguridad Informática: Es un evento atribuible a una causa de origen humano. Esta distinción es particularmente importante cuando el evento es el producto de una intención dolosa de hacer daño. Es la presencia identificada de un estado del sistema, del servicio o de la red que indica un posible incumplimiento de la política de seguridad, una falla de controles, o una situación previamente desconocida que puede ser pertinente para la seguridad.

Activos de Información: Toda aquella información que la Entidad considera importante o fundamental para sus procesos, puede ser ficheros y bases de datos, contratos y acuerdos, documentación del sistema, manuales de los usuarios, aplicaciones, software del sistema,

Análisis de Riesgos: Uso sistemático de la información para identificar las fuentes y estimar el riesgo.

Evaluación de Riesgos: Todo proceso de análisis y valoración del riesgo.

Valoración del riesgo: Proceso de comparación del riesgo estimado frente a criterios de riesgo establecidos para determinar la importancia del riesgo.

Gestión del riesgo: Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo.

Información confidencial (RESERVADA): Información administrada por La Agencia en cumplimiento de sus deberes y funciones y que en razón de aspectos legales debe permanecer reservada y puede ser únicamente compartida con previa autorización del titular de la misma.

Información confidencial (CONFIDENCIAL): Información generada por La Agencia en cumplimiento de sus deberes y funciones y que debe ser conocida exclusivamente por un grupo autorizado de funcionarios por esta. El acceso a este tipo de información debe ser restringido y basado en el principio del menor privilegio. Su divulgación a terceros requiere permiso del titular de la misma y de acuerdos de confidencialidad. Así mismo, su divulgación no autorizada puede causar daños importantes a la Entidad. Todo material generado durante la creación de copias de este tipo de información (ejemplo, mala calidad de impresión), debe ser destruido.

Información privada (USO INTERNO): Información generada por La Agencia en cumplimiento de sus deberes y funciones, que no debe ser conocida por el público en general. Su divulgación no autorizada no causa grandes daños a la Entidad y es accesible por todos los usuarios.

Información pública: Es la información administrada por La Cámara de Comercio en cumplimiento de sus deberes y funciones que está a disposición del público en general.

Sistema de Información: Es un conjunto de elementos orientados al tratamiento y administración de datos e información, organizados y listos para su posterior uso, generados para cubrir una necesidad (objetivo).

Software: Es el conjunto de los programas de cómputo, procedimientos, reglas, documentación y datos asociados que forman parte de las operaciones de un Sistema Informático.

Software Malicioso: Programa o parte de un programa destinado a perturbar, alterar o destruir la totalidad o parte de los elementos de la lógica esencial para el funcionamiento de un sistema de procesamiento de la información. Estos programas se pueden dividir en cuatro clases: los virus informáticos, gusanos, troyanos y bombas lógicas.

Software de gestión: Son todos aquellos programas utilizados a nivel empresarial, que por su definición genera acción de emprender algo y por su aplicación persigue fines lucrativo y no lucrativo. También es un software que permite gestionar todos los procesos de un negocio o de una empresa en forma integrada. Por lo general está compuesto por modulo cruzado del proceso del negocio.

Sistema Multiusuario: Se refiere a un concepto de sistemas operativos, pero en ocasiones también puede aplicarse a programas de ordenador de otro tipo (e.j. aplicaciones de base de datos). En general se le llama Multiusuario a la característica de un Sistema Operativo o Programa que permite proveer servicio y procesamiento a múltiples usuarios simultáneamente.

Acceso físico: La posibilidad de acceder físicamente a un computador o dispositivos, manipularlo tanto interna como externamente.

Acceso lógico: Ingresar al sistema operativo o aplicaciones de los equipos y operarlos, ya sea directamente, a través de la red de datos interna o de Internet.

FTP: (sigla en inglés de File Transfer Protocol – Protocolo de Transferencia de Archivos): En informática es un protocolo de red para la transferencia de archivos entre sistemas conectados a una red.

Red Privada Virtual o VPN (siglas en inglés de Virtual Private Network): Es una tecnología de red que permite una extensión de la red local sobre una red pública.

Aplicaciones o aplicativos: Son herramientas informáticas que permiten a los usuarios comunicarse, realizar trámites, entretenerse, orientarse, aprender, trabajar, informarse y realizar una serie de tareas de manera práctica y desde distintos tipos de terminales como computadores tabletas o celulares.

Cableado estructurado: Cableado de un edificio o una serie de edificios que permite interconectar equipos activos, de diferentes o igual tecnología permitiendo la integración de los diferentes servicios que dependen del tendido de cables como datos, telefonía, control,

Contraseña o Clave (Password): Es una forma de autenticación o control de acceso que utiliza información secreta para controlar el acceso hacia algún recurso informático. Puede está conformado por números, letras y/o caracteres especiales

Cifrado de datos: Proceso por el que una información legible se transforma mediante un algoritmo (llamado cifra) en información ilegible, llamada criptograma o secreto. Esta información ilegible se puede enviar a un destinatario con muchos menos riesgos de ser leída por terceras partes.

Copia de respaldo o backup: Operación que consiste en duplicar y asegurar datos e información contenida en un sistema informático. Es una copia de seguridad.

Contenido: Todos los tipos de información o datos que se divulguen a través de los diferentes servicios informáticos, entre los que se encuentran: textos, imágenes, video, diseños, software, animaciones, etc.

Correo electrónico institucional: Servicio que permite el intercambio de mensajes a través de sistemas de comunicación electrónicos.

Cuenta de acceso: Colección de información que permite a un usuario identificarse en un sistema informático o servicio, mediante un usuario y una contraseña, para que pueda obtener seguridad, acceso al sistema, administración de recursos, etc.

Dominio: Es un conjunto de computadores, conectados en una red, que confían a uno de los equipos de dicha red la administración de los usuarios y los privilegios que cada uno de los usuarios tiene en la red.

Herramientas ofimáticas: Conjunto de aplicaciones informáticas que se utilizan en funciones de oficina para optimizar, automatizar y mejorar los procedimientos o tareas relacionadas.

Información/Documento electrónico: Es la información generada, enviada, recibida, almacenada o comunicada por medios electrónicos, ópticos o similares. Se pueden clasificar por su forma y formato en documentos ofimáticos, cartográficos, correos electrónicos, imágenes, videos, audio, mensajes de datos de redes sociales, formularios electrónicos, bases de datos, entre

Licencia de uso: Contrato entre el licenciante (autor/titular de los derechos de explotación/distribuidor) y el licenciatario (usuario consumidor/usuario profesional o empresa) del programa informático, para utilizar el software cumpliendo una serie de términos y condiciones establecidas dentro de sus cláusulas, es decir, es un conjunto de permisos que un desarrollador le puede otorgar a un usuario en los que tiene la posibilidad de distribuir, usar y/o modificar el producto bajo una licencia

Medios de almacenamiento extraíble: Son aquellos soportes de almacenamiento diseñados para ser extraídos del computador sin tener que apagarlo. Por ejemplo, memorias USB, discos duros externos, discos ópticos (CD, DVD), tarjetas de memoria (SD, CompactFlash, MemoryStick).

Plataforma web: Sistema que permite la ejecución de diversas aplicaciones bajo un mismo entorno, dando a los usuarios la posibilidad de acceder a ellas a través de Internet.

Propiedad intelectual: Se relaciona con las creaciones de la mente como invenciones, obras literarias y artísticas, así como símbolos, nombres e imágenes utilizados en el comercio. Es el conjunto de derechos que corresponden a los autores y a otros titulares.

Red de datos: Es un conjunto de ordenadores que están conectados entre sí, y comparten recursos, información, y servicios.

Servidor: Se entiende como el software que configura un PC como servidor para facilitar el acceso a la red y sus recursos. Ofrece a los clientes la posibilidad de compartir datos, información y recursos de hardware y software. Los clientes usualmente se conectan al servidor a través de la red pero también pueden acceder a él a través de la computadora donde está

UPS: Sistema de alimentación ininterrumpida (SAI), en inglés uninterruptible power supply (UPS), es un dispositivo que gracias a sus baterías u otros elementos almacenadores de energía, puede proporcionar energía eléctrica por un tiempo limitado y durante un apagón eléctrico a todos los dispositivos que tenga conectados.

ROLES Y RESPONSABILIDADES

Direcciones o Áreas responsables de la Seguridad Informática

El Comité de Seguridad Informática, gestionado, conformado y respaldado por la Alta Dirección de la Agencia, es el responsable de establecer y mantener las Políticas de Seguridad Informática, las normas, directrices y procedimientos de la Organización.

El Comité de Seguridad Informática, el cual está integrado por el Director o “CEO”, los Directores de área, el Especialista en Seguridad de la Información, y el Líder de Gestión Integral de la Agencia, debe asegurar la alineación entre las políticas y las tecnologías de información, procedimientos y la legislación aplicable.

Las siguientes son las principales responsabilidades a cargo del Comité de Seguridad Informática, dentro de la Agencia:

– Revisión y seguimiento al modelo de gobierno de seguridad de la información a implementar en la organización.

– Revisión y valoración de la Política de Seguridad Informática.

– Alineación e integración de la seguridad a los objetivos del negocio.

– Garantizar que la seguridad de la información forma parte integral del proceso de planeación estratégica de la organización.

– Establecer las funciones y responsabilidades específicas de seguridad de la información para la Agencia.

– Establecer, a través de reuniones Trimestrales asuntos de la seguridad y protección de la información en la Agencia y la necesidad de nuevos proyectos en temas de seguridad de la información.

– Establecer y respaldar los programas de concientización de la Agencia en materia de seguridad y protección de la información.

– Evaluar la adecuación, coordinación y la implementación de los controles de seguridad específicos para nuevos servicios o sistemas de información.

– Promover explícitamente el apoyo institucional a la seguridad de la información en toda la organización.

– Supervisar y controlar los cambios significativos en la exposición de los activos de información a las principales amenazas.

– Revisar y dar tratamiento a los incidentes de seguridad de la información.

– La investigación de incidentes de Seguridad Informática es responsabilidad del comité.

– Las medidas disciplinarias en respuesta a las violaciones de las normas de Seguridad Informática se adoptarán de acuerdo con los lineamientos establecidos en el Reglamento Interno de Trabajo de la Agencia.

Responsabilidades del Colaborador

Los empleados deben tomar conciencia de la importancia del establecimiento de la Política de Seguridad Informática, los procedimientos y la normatividad aplicable. Estas normas deben ser completamente entendidas y aplicadas en la cotidianidad de sus tareas y deben cumplir con lo establecido en las políticas (POL-GT-08-Gobierno Seguridad de la Información, POL-GT-07-Manejo de Usuarios y seguridad de la información)

Los empleados responsables de la información deberán almacenarla, de acuerdo a los lineamientos establecidos en la agencia para el correcto almacenamiento de la información y así evitar la pérdida de información crítica (POL-GT-09-Politica de Almacenamiento de Información,).

DECLARACION RESERVA DE DERECHOS.

Upbiker® como marca de Pienza Meeting de Colombia SAS, usa controles de acceso y otras medidas de seguridad para proteger la confidencialidad, integridad y disponibilidad de la información manejada por computadores y sistemas de información.

Para mantener estos objetivos La Agencia se reserva el derecho y la autoridad de:

– Restringir o revocar los privilegios de cualquier usuario.

– Inspeccionar, copiar, remover cualquier dato, programa u otro recurso que vaya en contra de los objetivos antes planteados.

– Tomar cualquier medida necesaria para manejar y proteger los sistemas de información de La Agencia y/o de cualquiera de sus Clientes.

Esta autoridad se puede ejercer con o sin conocimiento de los usuarios, bajo la responsabilidad del comité de seguridad, siempre con la autorización de la dirección de La Agencia o de quién él delegue esta función.

MARCO LEGAL

DOCUMENTOS DE REFERENCIA

Documentos de fundamentación Legal:

Ley 1266 de 2008: La presente ley tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las Informaciones que se hayan recogido sobre ellas en bancos de datos, y los demás derechos, libertades y garantías constitucionales relacionadas con la recolección, tratamiento y circulación de datos personales

Ley 1581 de 2012El objetivo principal es desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos

Decreto 1377 de 2013: El presente Decreto tiene como objeto reglamentar parcialmente la Ley 1581 de 2012, por la cual se dictan disposiciones generales para la protección de datos personales

Decreto 886 de 2014: El presente decreto tiene como objeto reglamentar la información mínima que debe contener el Registro Nacional de Bases de Datos, creado por la Ley 1581 de 2012, así como los términos y condiciones bajo las cuales se deben inscribir en este los Responsables del Tratamiento.

Circular Externa No. 002 de 2015: Impartir instrucciones a los Responsables del Tratamiento de datos personales, personas jurídicas de naturaleza privada inscritas en las Cámaras de Comercio y sociedades de economía mixta, para efectos de realizar la inscripción de sus bases de datos en el Registro Nacional de Bases de Datos (RNBD).

Documentos de operación:

Políticas

– POL-GT-06-Tratamiento De Datos Personales.

– POL-GT-07-Manejo de Usuarios y seguridad de la información.

– POL-GT-05 Políticas de Seguridad de la Información.

– POL-GT-08 Gobierno seguridad de la información.

– POL-GT-09 Política de Almacenamiento de Información

POLÍTICAS GENERALES DE SEGURIDAD FÍSICA

 Protección y ubicación de los equipos

– Se destinará un área en la Agencia que servirá como centro de telecomunicaciones en el cual se ubicarán los sistemas de telecomunicaciones y servidores, debidamente protegidos con la infraestructura apropiada, de manera que se restrinja el acceso directo a usuarios no.

– El centro de Telecomunicaciones deberá contar con sistema eléctrico de respaldo (UPS).

– Contar por lo menos con uno (1) extintores de incendio adecuado y cercano al centro de

– Los equipos que hacen parte de la infraestructura tecnológica de la Agencia, tales como servidores, estaciones de trabajo, centro de cableado, UPS, dispositivos de almacenamiento, entre otros, deben estar protegidos y ubicados en sitios libres de amenazas como robo, incendio, inundaciones, humedad, agentes biológicos, explosiones, vandalismo.

– Los funcionarios y terceros, incluyendo sus empleados o subcontratistas, que tengan acceso a los equipos que componen la infraestructura tecnológica de PIENZA MEETING DE COLOMBIA no pueden fumar, beber o consumir algún tipo de alimento cerca de los equipos.

– Cualquier traslado de equipos de cómputo se realizará con la coordinación del área de Tecnología previa verificación de las condiciones técnicas y de seguridad.

– Toda persona que note algún problema de funcionamiento o ataque de virus en una estación de trabajo debe reportarlo de inmediato al personal de soporte técnico del Departamento de Sistemas mediante el uso de los canales de comunicación definidos para ello.

– La Agencia mediante mecanismos adecuados monitoreará las condiciones ambientales de las zonas donde se encuentren los equipos.

– Ningún empelado, contratista o tercero podrá́ desarmar o destapar equipos sin la autorización previa del Departamento de Sistemas.

Seguridad de los equipos y medios de información fuera de las instalaciones

– Independientemente del propietario, todos los funcionarios son responsables de velar por la seguridad de los equipos de Bendita que se encuentren fuera de las instalaciones de la organización.

– Bajo ninguna circunstancia los equipos de cómputo pueden ser dejados desatendidos en lugares públicos o a la vista, en el caso que esté siendo transportado en un vehículo.

– Los equipos de infraestructura de la Agencia deben ser transportados con las medidas de seguridad apropiadas, que garanticen la integridad física de los dispositivos.

– Los equipos portátiles siempre deben ser llevados como equipaje de mano y se debe tener especial cuidado de no exponerlos a fuertes campos electromagnéticos.

– Los equipos de la Agencia deberán contar con un seguro que los proteja de robo.

– En caso de pérdida o robo de un equipo de PIENZA MEETING DE COLOMBIA S.A.S. se deberá́ informar inmediatamente al Líder del Proceso para que se inicie el tramite interno y se deberá́ poner la denuncia ante la autoridad competente.

– El retiro de equipos de cómputo, periféricos, dispositivos de almacenamientos, software e información considerada critica propiedad de la Agencia, fuera de las instalaciones de la organización debe seguir los procedimientos establecidos por Dirección Administrativa y todas las Políticas con relación a la Seguridad de la Información.

POLÍTICAS ORIENTADAS A LOS USUARIOS INTERNOS

Gestión de la Información:

Todo funcionario de planta o contratista que inicie labores en la Agencia, relacionadas con el uso de equipos de cómputo, software de gestión, aplicativos, plataformas web y servicios informáticos, debe aceptar las condiciones de confidencialidad y de uso adecuado de los recursos informáticos, así como cumplir y respetar las directrices impartidas en el documento “POL-GT-05 Políticas de Seguridad de la Información”, Adicionalmente  deben cumplir con las siguientes premisas

– Los funcionarios que se desvinculen y los contratistas que culminen su vínculo contractual con la Agencia, deberán hacer entrega formal de los equipos asignados, así como de la totalidad de la información electrónica que se produjo y se recibió con motivo de sus funciones y actividades, como requisito para expedición de paz y salvo y/o liquidación de contrato.

– Toda la información recibida y producida en el ejercicio de las funciones y cumplimiento de obligaciones contractuales, que se encuentre almacenada en los equipos de cómputo, pertenece a la Agencia, por lo tanto, no se hará divulgación ni extracción de la misma sin previa autorización de las directivas.

– No se realizará por parte de los funcionarios o contratistas copia no autorizada de información electrónica confidencial y software de propiedad de la Agencia y/o sus respectivos Clientes y proveedores. El retiro de información electrónica perteneciente a Upbiker® como marca de Pienza Meeting de Colombia SAS y/o de sus clientes o proveedores y clasificada como confidencial, se hará única y exclusivamente con la autorización del Directivo.

– Ningún funcionario o contratista podrá visualizar, copiar, alterar o destruir información que no se encuentre bajo su

– Todo contrato o convenio relacionado con servicios de tecnología y/o acceso a información, debe contener una obligación o cláusula donde el contratista o tercero acepte el conocimiento de las políticas de seguridad y acuerde mantener confidencialidad de la información con la suscripción de un acuerdo o compromiso de confidencialidad de la información, el cual se hará extensivo a todos sus

Hardware y Software:

– La instalación y desinstalación de software, la configuración lógica, conexión a red, instalación y desinstalación de dispositivos, la manipulación interna y reubicación de equipos de cómputo y periféricos, será realizada únicamente por personal del área de Tecnología.

– El espacio en disco duro de los equipos de cómputo pertenecientes a la Agencia será ocupado únicamente con información institucional, no se hará uso de ellos para almacenar información de tipo personal (documentos, imágenes, música, video).

– Ningún colaborador o contratista podrá acceder a equipos de cómputo diferentes al suyo sin el consentimiento explícito de la persona.

– Ningún colaborador o contratista podrá interceptar datos informáticos en su origen, destino o en el interior de un sistema informático protegido o no con una medida de seguridad, sin autorización.

– Ningún colaborador o contratista podrá impedir u obstaculizar el funcionamiento o el acceso normal a un sistema informático, a los datos informáticos allí contenidos, o a una red de telecomunicaciones, salvo el personal autorizado del área de Tecnología en aplicación de las políticas o medidas de

– No se permite el uso de la plataforma y servicios informáticos (equipos de cómputo, periféricos, dispositivos, internet, red de datos, correo electrónico institucional) de la Agencia, para actividades que no estén relacionadas con las labores propias de La

– Los colaboradores y contratistas serán responsables de contar con conocimientos actualizados en informática básica y el uso de herramientas ofimáticas.

Correo Electrónico:

– El correo electrónico institucional es exclusivo para envío y recepción de mensajes de datos relacionados con las actividades de la Agencia, no se hará uso de él para fines personales como registros en redes sociales, registros en sitios web con actividades particulares o comerciales o en general entablar comunicaciones en asuntos no relacionados con las funciones y actividades en la Entidad.

– La información transmitida a través de las cuentas de correo electrónico corporativo no se considera correspondencia privada, ya que estas tienen como fin primordial la transmisión de información relacionada con las actividades ordinarias de la Agencia.

– Es prohibido utilizar el correo electrónico corporativo para divulgar información confidencial, reenviar mensajes que falten al respeto o atenten contra la dignidad e intimidad de las personas, difundir propaganda política, comercial, religiosa, racista, sexista o similares, reenviar contenido y anexos que atenten contra la propiedad intelectual.

– Es responsabilidad del colaborador o contratista depurar su cuenta de correo periódicamente, en todo caso se debe hacer copia de seguridad completa de los correos tanto recibidos como enviados.

Internet:

– No se harán descargas de archivos por internet que no provengan de páginas conocidas o relacionadas con las funciones y actividades de la Entidad.

– El Servicio de internet de la Agencia no podrá ser usado para fines diferentes a los requeridos en el desarrollo de las actividades propias de la Entidad. Esta restricción incluye el acceso a páginas con contenido pornográfico, terrorismo, juegos en línea, redes sociales y demás cuyo contenido no sean obligatorios para desarrollar las labores encomendadas al

– No es permitido el uso de Internet para actividades ilegales o que atenten contra la ética y el buen nombre de la Agencia o de las

– La Agencia se reserva el derecho a registrar los accesos y monitorear el contenido al que el usuario puede acceder a través de Internet, desde los recursos y servicios de Internet de la Entidad.

 Cuentas de Acceso:

– Todas las cuentas de acceso a los sistemas y recursos de las tecnologías de información son personales e intransferibles, cada colaborador y contratista es responsable por las cuentas de acceso asignadas y las transacciones que con ellas se realicen. Se permite su uso única y exclusivamente durante el tiempo que tenga vínculo laboral o contractual con la Agencia.

– Las contraseñas de acceso deben poseer un mínimo de ocho (8) caracteres y debe contener al menos una letra mayúscula, una letra minúscula, un número y un carácter especial (+-*/@#$%&). No debe contener vocales tildadas, ni eñes, ni

– La contraseña inicial de acceso a la red que le sea asignada debe ser cambiada la primera vez que acceda al sistema, además, debe ser cambiada mínimo cada 4 meses, o cuando se considere necesario debido a alguna vulnerabilidad en los criterios de

– Solamente puede solicitar cambio o restablecimiento de contraseña desde el servidor el funcionario o contratista al cual pertenece dicho usuario, o el jefe inmediato mediante solicitud motivada al correo electrónico del área de TIC´S.

– Todo funcionario o contratista que se retire de la Entidad de forma definitiva o temporal (superior a 1 semana), deberá hacer entrega formal a quien lo reemplace en sus funciones o a su superior inmediato de la clave de acceso de las cuentas asignadas, con el fin de garantizar la continuidad de las operaciones a su cargo.

Seguridad Física:

– Es responsabilidad de los colaboradores y contratistas velar por la conservación física de los equipos a ellos asignados, haciendo uso adecuado de ellos y en el caso de los equipos portátiles, estos podrán ser retirados de las instalaciones de la Entidad única y exclusivamente por el usuario a cargo y estrictamente para ejercer labores que estén relacionadas con la Agencia. En caso de daño, pérdida o robo, se establecerá su responsabilidad a través de los procedimientos definidos por para tal.

– Los colaboradores y contratistas deberán reportar de forma inmediata a los directivos la detección de riesgos reales o potenciales sobre equipos de cómputo o de comunicaciones, tales como caídas de agua, choques eléctricos, caídas o golpes, peligro de incendio, peligro de robo, entre otros. Así como reportar de algún problema o violación de la seguridad de la información, del cual fueren.

– Mientras se operan equipos de cómputo, no se deberá consumir alimentos ni ingerir

– Se debe evitar colocar objetos encima de los equipos de cómputo que obstruyan las salidas de ventilación del monitor o de la

 Derechos de Autor:

– Ningún usuario, debe descargar y/o utilizar información, archivos, imagen, sonido, software u otros que estén protegidos por derechos de autor de terceros sin la previa autorización de los

Uso de Unidades de Almacenamiento Extraíbles:

– El uso de dispositivos de almacenamiento USB está restringido y únicamente puede utilizarse con autorización Escrita de la dirección de la agencia. Los funcionarios y contratistas que tengan información de propiedad de la Agencia en medios de almacenamiento removibles, deben protegerlos del acceso lógico y físico, asegurándose además que el contenido se encuentre libre de virus y software malicioso, a fin de garantizar la integridad, confidencialidad y disponibilidad de la información.

– Toda información que provenga de un archivo externo de la Entidad o que deba ser restaurado tiene que ser analizado con el antivirus corporativo vigente.

Clasificación de la información:

– Los documentos electrónicos resultantes de los procesos misionales y de apoyo de la Agencia, se tratarán conforme a los lineamientos y parámetros establecidos en POL-GT-05 Política de Almacenamiento de Información.

– Los activos de información asociados a cada sistema de información, serán identificados y clasificados por su tipo y uso siguiendo lo establecido en las tablas de retención documental

Personal de Tecnología:

– El control de los equipos tecnológicos deberá estar bajo la responsabilidad del área de Infraestructura y Seguridad de la Información, así como la asignación de usuarios y la ubicación física.

– En el área de Infraestructura y Seguridad de la Información se deberá llevar un control total y sistematizado de los recursos tecnológicos tanto de hardware como de

– El área de Infraestructura y Seguridad de la Información será la encargada de velar por que se cumpla con la normatividad vigente sobre propiedad intelectual de soporte lógico (software).

– Las licencias de uso de software estarán bajo custodia del área de Infraestructura y Seguridad de la Información. Así mismo, los manuales y los medios de almacenamiento (CD, cintas magnéticas u otros medios) que acompañen a las versiones originales de software.

– El área de Infraestructura y Seguridad de la Información es la única dependencia autorizada para realizar copia de seguridad del software original, aplicando los respectivos controles. Cualquier otra copia del programa original será considerada como una copia no autorizada y su utilización con lleva a las sanciones administrativas y legales

– Todas las publicaciones que se realicen en el sitio WEB de la entidad, deberán atender el cumplimiento de las normas en materia de propiedad intelectual.

– El acceso a los sistemas de información y red de datos será controlado por medio de nombres de usuario personales y contraseña. El área de Infraestructura y Seguridad de la Información será la encargada de crear y asignar las cuentas de acceso y sus permisos a dominio de red, sistemas de información y correo electrónico, previo cumplimiento del procedimiento establecido para tal

– Se deben asignar usuarios unificados para todos y cada uno de los sistemas, servicios y aplicaciones, garantizando la estandarización por cada usuario; es decir, que cada usuario debe tener el mismo nombre de usuario para todos los sistemas y aplicaciones de la Entidad. La estandarización de los nombres de usuario estará compuesto de la siguiente forma: (Primer  nombre + guion bajo (_) + primer apellido, en caso de existir duplicidad,         segundo nombre + guion bajo (_) + primer apellido o segundo apellido).

– Las cuentas de acceso a sistemas, servicios y aplicaciones no podrán ser eliminadas al retiro de los colaboradores o contratistas, debe aplicarse la inactivación del

– Se realizará backup a la información institucional y bases de datos, conforme a lo establecido en la política de backup y cronograma, así como en los casos extraordinarios: desvinculación de funcionario o contratista, envío de equipo para garantía, mantenimiento correctivo de

– Las contraseñas de los usuarios administradores de las plataformas tecnológicas y sistemas de información de la Entidad, deberán ser salvaguardadas por el área de TIC´S en un archivo protegido a través de técnicas de cifrado de datos u otro mecanismo

– La red interna de la Agencia deberá estar protegida de amenazas externas, a través de sistemas que permitan implementar reglas de control de tráfico desde y hacia la

– Todos los equipos de la entidad deben tener instalado un antivirus, en funcionamiento, actualizado y debidamente

– Se realizará mantenimiento lógico preventivo a los equipos de cómputo mínimo cada 6 meses y mantenimiento físico preventivo mínimo una vez por año, que incluya el cableado estructurado. El área de TIC´S deberá elaborar el plan y cronograma de mantenimientos, el cual será notificado a los usuarios, adicionalmente, deberá informarse el nombre e identificación del personal autorizado para realizar las actividades de mantenimiento con el fin de evitar el riesgo de hurto y/o pérdida de equipos e información.

Directivos:

– La Entidad debe garantizar capacitación a los funcionarios en el manejo del software de gestión, plataformas y aplicativos implementados en la Agencia.

– Deberá notificarse al área de Infraestructura y Seguridad de la Información las novedades de vinculación y desvinculación de personal de la Agencia, con el fin de crear o cancelar, según sea el caso, los accesos a los sistemas de información, correo electrónico y red de

POLÍTICAS ORIENTADAS A LOS USUARIOS EXTERNOS

– El acceso de terceras personas a la Entidad debe ser controlado y su ingreso a las diferentes dependencias debe ser autorizado por los funcionarios a

Duración y terminación

CUMPLIMIENTO DE LAS POLÍTICAS DE SEGURIDAD INFORMÁTICA

La Dirección de la Agencia, los lideres de Área, el área de Infraestructura y Seguridad de la Información y los supervisores de contrato, son responsables de conocer y asegurar la implementación de las políticas de seguridad informática, dentro de sus áreas de responsabilidad, así como del cumplimiento de las políticas por parte de su equipo de trabajo.

POLÍTICA DE SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION (SGSI)

MARCO DE GESTIÓN DE SEGURIDAD INFORMÁTICA

Todas las políticas y procedimientos que figuran en este documento están aprobados, apoyados y respaldados por la Alta Dirección de la Agencia. Para la entidad está claro que la información depositada en los sistemas informáticos debe ser protegida de acuerdo con su criticidad, valor y sensibilidad de la misma.

Las medidas de seguridad informática deben ser tomadas, independientemente de los medios de almacenamiento donde se guarda la información, los sistemas utilizados para procesarla o los métodos usados para la transferencia de la misma.

La información que reposa en los sistemas informáticos debe ser protegida de acuerdo a su clasificación de seguridad.

OBJETIVOS DE LA POLÍTICA

El objetivo de la Política de Seguridad Informática consiste en establecer unos criterios, directrices y estrategias que le permitan a Upbiker® como marca de Pienza Meeting de Colombia SAS.  proteger su información, así como la tecnología para el procesamiento y administración de la misma. La Política de Seguridad Informática proporciona la base para la aplicación de controles de seguridad que reduzcan los riesgos y las vulnerabilidades del sistema.

El propósito de estructurar Políticas de Seguridad Informática es, por tanto, garantizar que los riesgos para la Seguridad Informática sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.

La seguridad informática consiste en garantizar la Confidencialidad, Integridad y Disponibilidad de la información, así como de los sistemas implicados en su tratamiento dentro de la Agencia.

Al aclarar las responsabilidades de los usuarios y las medidas que deben adoptar para proteger la información y los sistemas informáticos, la Agencia evita pérdidas graves o divulgación no autorizada. Por otra parte, el buen nombre de la Organización se debe en parte a la forma como protege su información y sus sistemas informáticos.

Este documento formaliza el compromiso de la Alta Dirección frente a la gestión de la seguridad informática y presenta de forma escrita a los usuarios de sistemas de información el compendio de acciones con las cuales la Agencia  establece las normas para proteger de posibles riesgos de daño, pérdida y uso indebido de la información, los equipos y demás recursos informáticos de la Entidad, los cuales están en constante cambio y evolución de acuerdo con el avance de la tecnología y los requerimientos de la Entidad.

Por último, la Política de Seguridad Informática puede ser útil como prueba en los litigios, en las negociaciones del contrato con el cliente, en las ofertas de adquisición y en las relaciones de negocios en general.

ALCANCE

Los Empleados:  La seguridad informática es un esfuerzo grupal. Esto requiere de la participación y el esfuerzo de todos los miembros de la organización que trabajan con los sistemas de información. Así, cada empleado deberá comprometerse en el cumplimiento de los requisitos de la Política de Seguridad Informática y de los documentos asociados a la misma.

Los Sistemas (Hardware y Software): Esta Política aplica para todos los computadores, redes, aplicaciones y sistemas operativos que son propiedad o son operados por la Agencia. La Política cubre únicamente la información manejada por los computadores y las redes corporativas.

Contratistas: Se definen como contratistas a aquellas personas que han suscrito un contrato con la Entidad y que pueden ser:

– Colaboradores en Misión

– Colaboradores por Outsourcing: son aquellas personas que laboran en la Entidad y tienen contrato con empresas de suministro de servicios y que dependen de ellos

– Personas naturales que prestan servicios independientes a la Entidad

– Proveedores de recursos informáticos.

DEFINICIONES

Para efectos del presente documento se entiende por:

Política de Seguridad Informática: Consiste en asegurar que los recursos y la información soportada en la plataforma informática (material informático o programas) de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida, así como su modificación, sólo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización. Toda intención y directriz expresada formalmente por la alta dirección.

Confidencialidad: Es asegurar que la información es acezada sólo por las personas autorizadas para ello.

Integridad: Mantenimiento de la exactitud e integralidad de la información y sus métodos de proceso.

Disponibilidad: Es asegurar que los usuarios autorizados tengan acceso a la información y a los activos asociados cuando éstos sean requeridos.

Irrefutabilidad (No repudio): El uso y/o modificación de la información por parte de un usuario debe ser irrefutable, es decir, que el usuario no puede negar dicha acción.

Impacto: Medición de los efectos que se generan en el Sistema Informático cuando se materializa una amenaza.

Riesgo: Es la probabilidad de ocurrencia de un hecho favorable o desfavorable que pudiera afectar la Seguridad Informática.

Vulnerabilidad: Son aspectos que influyen negativamente en la Seguridad Informática y que posibilitan la materialización de una amenaza.

Amenaza: Es un evento que puede desencadenar un incidente en el sistema informático, produciendo daños materiales o pérdidas inmateriales en sus activos.

Ataque: Evento, exitoso o no que atenta sobre el buen funcionamiento del Sistema Informático.

Plan de Contingencia: Disponibilidad de recursos para atender oportunamente una eventualidad en el Sistema Informático.

Incidente de Seguridad Informática: Es un evento atribuible a una causa de origen humano. Esta distinción es particularmente importante cuando el evento es el producto de una intención dolosa de hacer daño. Es la presencia identificada de un estado del sistema, del servicio o de la red que indica un posible incumplimiento de la política de seguridad, una falla de controles, o una situación previamente desconocida que puede ser pertinente para la seguridad.

Activos de Información: Toda aquella información que la Entidad considera importante o fundamental para sus procesos, puede ser ficheros y bases de datos, contratos y acuerdos, documentación del sistema, manuales de los usuarios, aplicaciones, software del sistema,

Análisis de Riesgos: Uso sistemático de la información para identificar las fuentes y estimar el riesgo.

Evaluación de Riesgos: Todo proceso de análisis y valoración del riesgo.

Valoración del riesgo: Proceso de comparación del riesgo estimado frente a criterios de riesgo establecidos para determinar la importancia del riesgo.

Gestión del riesgo: Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo.

Información confidencial (RESERVADA): Información administrada por La Agencia en cumplimiento de sus deberes y funciones y que en razón de aspectos legales debe permanecer reservada y puede ser únicamente compartida con previa autorización del titular de la misma.

Información confidencial (CONFIDENCIAL): Información generada por La Agencia en cumplimiento de sus deberes y funciones y que debe ser conocida exclusivamente por un grupo autorizado de funcionarios por esta. El acceso a este tipo de información debe ser restringido y basado en el principio del menor privilegio. Su divulgación a terceros requiere permiso del titular de la misma y de acuerdos de confidencialidad. Así mismo, su divulgación no autorizada puede causar daños importantes a la Entidad. Todo material generado durante la creación de copias de este tipo de información (ejemplo, mala calidad de impresión), debe ser destruido.

Información privada (USO INTERNO): Información generada por La Agencia en cumplimiento de sus deberes y funciones, que no debe ser conocida por el público en general. Su divulgación no autorizada no causa grandes daños a la Entidad y es accesible por todos los usuarios.

Información pública: Es la información administrada por La Cámara de Comercio en cumplimiento de sus deberes y funciones que está a disposición del público en general.

Sistema de Información: Es un conjunto de elementos orientados al tratamiento y administración de datos e información, organizados y listos para su posterior uso, generados para cubrir una necesidad (objetivo).

Software: Es el conjunto de los programas de cómputo, procedimientos, reglas, documentación y datos asociados que forman parte de las operaciones de un Sistema Informático.

Software Malicioso: Programa o parte de un programa destinado a perturbar, alterar o destruir la totalidad o parte de los elementos de la lógica esencial para el funcionamiento de un sistema de procesamiento de la información. Estos programas se pueden dividir en cuatro clases: los virus informáticos, gusanos, troyanos y bombas lógicas.

Software de gestión: Son todos aquellos programas utilizados a nivel empresarial, que por su definición genera acción de emprender algo y por su aplicación persigue fines lucrativo y no lucrativo. También es un software que permite gestionar todos los procesos de un negocio o de una empresa en forma integrada. Por lo general está compuesto por modulo cruzado del proceso del negocio.

Sistema Multiusuario: Se refiere a un concepto de sistemas operativos, pero en ocasiones también puede aplicarse a programas de ordenador de otro tipo (e.j. aplicaciones de base de datos). En general se le llama Multiusuario a la característica de un Sistema Operativo o Programa que permite proveer servicio y procesamiento a múltiples usuarios simultáneamente.

Acceso físico: La posibilidad de acceder físicamente a un computador o dispositivos, manipularlo tanto interna como externamente.

Acceso lógico: Ingresar al sistema operativo o aplicaciones de los equipos y operarlos, ya sea directamente, a través de la red de datos interna o de Internet.

FTP: (sigla en inglés de File Transfer Protocol – Protocolo de Transferencia de Archivos): En informática es un protocolo de red para la transferencia de archivos entre sistemas conectados a una red.

Red Privada Virtual o VPN (siglas en inglés de Virtual Private Network): Es una tecnología de red que permite una extensión de la red local sobre una red pública.

Aplicaciones o aplicativos: Son herramientas informáticas que permiten a los usuarios comunicarse, realizar trámites, entretenerse, orientarse, aprender, trabajar, informarse y realizar una serie de tareas de manera práctica y desde distintos tipos de terminales como computadores tabletas o celulares.

Cableado estructurado: Cableado de un edificio o una serie de edificios que permite interconectar equipos activos, de diferentes o igual tecnología permitiendo la integración de los diferentes servicios que dependen del tendido de cables como datos, telefonía, control,

Contraseña o Clave (Password): Es una forma de autenticación o control de acceso que utiliza información secreta para controlar el acceso hacia algún recurso informático. Puede está conformado por números, letras y/o caracteres especiales

Cifrado de datos: Proceso por el que una información legible se transforma mediante un algoritmo (llamado cifra) en información ilegible, llamada criptograma o secreto. Esta información ilegible se puede enviar a un destinatario con muchos menos riesgos de ser leída por terceras partes.

Copia de respaldo o backup: Operación que consiste en duplicar y asegurar datos e información contenida en un sistema informático. Es una copia de seguridad.

Contenido: Todos los tipos de información o datos que se divulguen a través de los diferentes servicios informáticos, entre los que se encuentran: textos, imágenes, video, diseños, software, animaciones, etc.

Correo electrónico institucional: Servicio que permite el intercambio de mensajes a través de sistemas de comunicación electrónicos.

Cuenta de acceso: Colección de información que permite a un usuario identificarse en un sistema informático o servicio, mediante un usuario y una contraseña, para que pueda obtener seguridad, acceso al sistema, administración de recursos, etc.

Dominio: Es un conjunto de computadores, conectados en una red, que confían a uno de los equipos de dicha red la administración de los usuarios y los privilegios que cada uno de los usuarios tiene en la red.

Herramientas ofimáticas: Conjunto de aplicaciones informáticas que se utilizan en funciones de oficina para optimizar, automatizar y mejorar los procedimientos o tareas relacionadas.

Información/Documento electrónico: Es la información generada, enviada, recibida, almacenada o comunicada por medios electrónicos, ópticos o similares. Se pueden clasificar por su forma y formato en documentos ofimáticos, cartográficos, correos electrónicos, imágenes, videos, audio, mensajes de datos de redes sociales, formularios electrónicos, bases de datos, entre

Licencia de uso: Contrato entre el licenciante (autor/titular de los derechos de explotación/distribuidor) y el licenciatario (usuario consumidor/usuario profesional o empresa) del programa informático, para utilizar el software cumpliendo una serie de términos y condiciones establecidas dentro de sus cláusulas, es decir, es un conjunto de permisos que un desarrollador le puede otorgar a un usuario en los que tiene la posibilidad de distribuir, usar y/o modificar el producto bajo una licencia

Medios de almacenamiento extraíble: Son aquellos soportes de almacenamiento diseñados para ser extraídos del computador sin tener que apagarlo. Por ejemplo, memorias USB, discos duros externos, discos ópticos (CD, DVD), tarjetas de memoria (SD, CompactFlash, MemoryStick).

Plataforma web: Sistema que permite la ejecución de diversas aplicaciones bajo un mismo entorno, dando a los usuarios la posibilidad de acceder a ellas a través de Internet.

Propiedad intelectual: Se relaciona con las creaciones de la mente como invenciones, obras literarias y artísticas, así como símbolos, nombres e imágenes utilizados en el comercio. Es el conjunto de derechos que corresponden a los autores y a otros titulares.

Red de datos: Es un conjunto de ordenadores que están conectados entre sí, y comparten recursos, información, y servicios.

Servidor: Se entiende como el software que configura un PC como servidor para facilitar el acceso a la red y sus recursos. Ofrece a los clientes la posibilidad de compartir datos, información y recursos de hardware y software. Los clientes usualmente se conectan al servidor a través de la red pero también pueden acceder a él a través de la computadora donde está

UPS: Sistema de alimentación ininterrumpida (SAI), en inglés uninterruptible power supply (UPS), es un dispositivo que gracias a sus baterías u otros elementos almacenadores de energía, puede proporcionar energía eléctrica por un tiempo limitado y durante un apagón eléctrico a todos los dispositivos que tenga conectados.

ROLES Y RESPONSABILIDADES

Direcciones o Áreas responsables de la Seguridad Informática

El Comité de Seguridad Informática, gestionado, conformado y respaldado por la Alta Dirección de la Agencia, es el responsable de establecer y mantener las Políticas de Seguridad Informática, las normas, directrices y procedimientos de la Organización.

El Comité de Seguridad Informática, el cual está integrado por el Director o “CEO”, los Directores de área, el Especialista en Seguridad de la Información, y el Líder de Gestión Integral de la Agencia, debe asegurar la alineación entre las políticas y las tecnologías de información, procedimientos y la legislación aplicable.

Las siguientes son las principales responsabilidades a cargo del Comité de Seguridad Informática, dentro de la Agencia:

– Revisión y seguimiento al modelo de gobierno de seguridad de la información a implementar en la organización.

– Revisión y valoración de la Política de Seguridad Informática.

– Alineación e integración de la seguridad a los objetivos del negocio.

– Garantizar que la seguridad de la información forma parte integral del proceso de planeación estratégica de la organización.

– Establecer las funciones y responsabilidades específicas de seguridad de la información para la Agencia.

– Establecer, a través de reuniones Trimestrales asuntos de la seguridad y protección de la información en la Agencia y la necesidad de nuevos proyectos en temas de seguridad de la información.

– Establecer y respaldar los programas de concientización de la Agencia en materia de seguridad y protección de la información.

– Evaluar la adecuación, coordinación y la implementación de los controles de seguridad específicos para nuevos servicios o sistemas de información.

– Promover explícitamente el apoyo institucional a la seguridad de la información en toda la organización.

– Supervisar y controlar los cambios significativos en la exposición de los activos de información a las principales amenazas.

– Revisar y dar tratamiento a los incidentes de seguridad de la información.

– La investigación de incidentes de Seguridad Informática es responsabilidad del comité.

– Las medidas disciplinarias en respuesta a las violaciones de las normas de Seguridad Informática se adoptarán de acuerdo con los lineamientos establecidos en el Reglamento Interno de Trabajo de la Agencia.

Responsabilidades del Colaborador

Los empleados deben tomar conciencia de la importancia del establecimiento de la Política de Seguridad Informática, los procedimientos y la normatividad aplicable. Estas normas deben ser completamente entendidas y aplicadas en la cotidianidad de sus tareas y deben cumplir con lo establecido en las políticas (POL-GT-08-Gobierno Seguridad de la Información, POL-GT-07-Manejo de Usuarios y seguridad de la información)

Los empleados responsables de la información deberán almacenarla, de acuerdo a los lineamientos establecidos en la agencia para el correcto almacenamiento de la información y así evitar la pérdida de información crítica (POL-GT-09-Politica de Almacenamiento de Información,).

DECLARACION RESERVA DE DERECHOS.

Upbiker® como marca de Pienza Meeting de Colombia SAS, usa controles de acceso y otras medidas de seguridad para proteger la confidencialidad, integridad y disponibilidad de la información manejada por computadores y sistemas de información.

Para mantener estos objetivos La Agencia se reserva el derecho y la autoridad de:

– Restringir o revocar los privilegios de cualquier usuario.

– Inspeccionar, copiar, remover cualquier dato, programa u otro recurso que vaya en contra de los objetivos antes planteados.

– Tomar cualquier medida necesaria para manejar y proteger los sistemas de información de La Agencia y/o de cualquiera de sus Clientes.

Esta autoridad se puede ejercer con o sin conocimiento de los usuarios, bajo la responsabilidad del comité de seguridad, siempre con la autorización de la dirección de La Agencia o de quién él delegue esta función.

MARCO LEGAL

DOCUMENTOS DE REFERENCIA

Documentos de fundamentación Legal:

Ley 1266 de 2008: La presente ley tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las Informaciones que se hayan recogido sobre ellas en bancos de datos, y los demás derechos, libertades y garantías constitucionales relacionadas con la recolección, tratamiento y circulación de datos personales

Ley 1581 de 2012El objetivo principal es desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos

Decreto 1377 de 2013: El presente Decreto tiene como objeto reglamentar parcialmente la Ley 1581 de 2012, por la cual se dictan disposiciones generales para la protección de datos personales

Decreto 886 de 2014: El presente decreto tiene como objeto reglamentar la información mínima que debe contener el Registro Nacional de Bases de Datos, creado por la Ley 1581 de 2012, así como los términos y condiciones bajo las cuales se deben inscribir en este los Responsables del Tratamiento.

Circular Externa No. 002 de 2015: Impartir instrucciones a los Responsables del Tratamiento de datos personales, personas jurídicas de naturaleza privada inscritas en las Cámaras de Comercio y sociedades de economía mixta, para efectos de realizar la inscripción de sus bases de datos en el Registro Nacional de Bases de Datos (RNBD).

Documentos de operación:

Políticas

– POL-GT-06-Tratamiento De Datos Personales.

– POL-GT-07-Manejo de Usuarios y seguridad de la información.

– POL-GT-05 Políticas de Seguridad de la Información.

– POL-GT-08 Gobierno seguridad de la información.

– POL-GT-09 Política de Almacenamiento de Información

POLÍTICAS GENERALES DE SEGURIDAD FÍSICA

 Protección y ubicación de los equipos

– Se destinará un área en la Agencia que servirá como centro de telecomunicaciones en el cual se ubicarán los sistemas de telecomunicaciones y servidores, debidamente protegidos con la infraestructura apropiada, de manera que se restrinja el acceso directo a usuarios no.

– El centro de Telecomunicaciones deberá contar con sistema eléctrico de respaldo (UPS).

– Contar por lo menos con uno (1) extintores de incendio adecuado y cercano al centro de

– Los equipos que hacen parte de la infraestructura tecnológica de la Agencia, tales como servidores, estaciones de trabajo, centro de cableado, UPS, dispositivos de almacenamiento, entre otros, deben estar protegidos y ubicados en sitios libres de amenazas como robo, incendio, inundaciones, humedad, agentes biológicos, explosiones, vandalismo.

– Los funcionarios y terceros, incluyendo sus empleados o subcontratistas, que tengan acceso a los equipos que componen la infraestructura tecnológica de PIENZA MEETING DE COLOMBIA no pueden fumar, beber o consumir algún tipo de alimento cerca de los equipos.

– Cualquier traslado de equipos de cómputo se realizará con la coordinación del área de Tecnología previa verificación de las condiciones técnicas y de seguridad.

– Toda persona que note algún problema de funcionamiento o ataque de virus en una estación de trabajo debe reportarlo de inmediato al personal de soporte técnico del Departamento de Sistemas mediante el uso de los canales de comunicación definidos para ello.

– La Agencia mediante mecanismos adecuados monitoreará las condiciones ambientales de las zonas donde se encuentren los equipos.

– Ningún empelado, contratista o tercero podrá́ desarmar o destapar equipos sin la autorización previa del Departamento de Sistemas.

Seguridad de los equipos y medios de información fuera de las instalaciones

– Independientemente del propietario, todos los funcionarios son responsables de velar por la seguridad de los equipos de Bendita que se encuentren fuera de las instalaciones de la organización.

– Bajo ninguna circunstancia los equipos de cómputo pueden ser dejados desatendidos en lugares públicos o a la vista, en el caso que esté siendo transportado en un vehículo.

– Los equipos de infraestructura de la Agencia deben ser transportados con las medidas de seguridad apropiadas, que garanticen la integridad física de los dispositivos.

– Los equipos portátiles siempre deben ser llevados como equipaje de mano y se debe tener especial cuidado de no exponerlos a fuertes campos electromagnéticos.

– Los equipos de la Agencia deberán contar con un seguro que los proteja de robo.

– En caso de pérdida o robo de un equipo de PIENZA MEETING DE COLOMBIA S.A.S. se deberá́ informar inmediatamente al Líder del Proceso para que se inicie el tramite interno y se deberá́ poner la denuncia ante la autoridad competente.

– El retiro de equipos de cómputo, periféricos, dispositivos de almacenamientos, software e información considerada critica propiedad de la Agencia, fuera de las instalaciones de la organización debe seguir los procedimientos establecidos por Dirección Administrativa y todas las Políticas con relación a la Seguridad de la Información.

POLÍTICAS ORIENTADAS A LOS USUARIOS INTERNOS

Gestión de la Información:

Todo funcionario de planta o contratista que inicie labores en la Agencia, relacionadas con el uso de equipos de cómputo, software de gestión, aplicativos, plataformas web y servicios informáticos, debe aceptar las condiciones de confidencialidad y de uso adecuado de los recursos informáticos, así como cumplir y respetar las directrices impartidas en el documento “POL-GT-05 Políticas de Seguridad de la Información”, Adicionalmente  deben cumplir con las siguientes premisas

– Los funcionarios que se desvinculen y los contratistas que culminen su vínculo contractual con la Agencia, deberán hacer entrega formal de los equipos asignados, así como de la totalidad de la información electrónica que se produjo y se recibió con motivo de sus funciones y actividades, como requisito para expedición de paz y salvo y/o liquidación de contrato.

– Toda la información recibida y producida en el ejercicio de las funciones y cumplimiento de obligaciones contractuales, que se encuentre almacenada en los equipos de cómputo, pertenece a la Agencia, por lo tanto, no se hará divulgación ni extracción de la misma sin previa autorización de las directivas.

– No se realizará por parte de los funcionarios o contratistas copia no autorizada de información electrónica confidencial y software de propiedad de la Agencia y/o sus respectivos Clientes y proveedores. El retiro de información electrónica perteneciente a Upbiker® como marca de Pienza Meeting de Colombia SAS y/o de sus clientes o proveedores y clasificada como confidencial, se hará única y exclusivamente con la autorización del Directivo.

– Ningún funcionario o contratista podrá visualizar, copiar, alterar o destruir información que no se encuentre bajo su

– Todo contrato o convenio relacionado con servicios de tecnología y/o acceso a información, debe contener una obligación o cláusula donde el contratista o tercero acepte el conocimiento de las políticas de seguridad y acuerde mantener confidencialidad de la información con la suscripción de un acuerdo o compromiso de confidencialidad de la información, el cual se hará extensivo a todos sus

Hardware y Software:

– La instalación y desinstalación de software, la configuración lógica, conexión a red, instalación y desinstalación de dispositivos, la manipulación interna y reubicación de equipos de cómputo y periféricos, será realizada únicamente por personal del área de Tecnología.

– El espacio en disco duro de los equipos de cómputo pertenecientes a la Agencia será ocupado únicamente con información institucional, no se hará uso de ellos para almacenar información de tipo personal (documentos, imágenes, música, video).

– Ningún colaborador o contratista podrá acceder a equipos de cómputo diferentes al suyo sin el consentimiento explícito de la persona.

– Ningún colaborador o contratista podrá interceptar datos informáticos en su origen, destino o en el interior de un sistema informático protegido o no con una medida de seguridad, sin autorización.

– Ningún colaborador o contratista podrá impedir u obstaculizar el funcionamiento o el acceso normal a un sistema informático, a los datos informáticos allí contenidos, o a una red de telecomunicaciones, salvo el personal autorizado del área de Tecnología en aplicación de las políticas o medidas de

– No se permite el uso de la plataforma y servicios informáticos (equipos de cómputo, periféricos, dispositivos, internet, red de datos, correo electrónico institucional) de la Agencia, para actividades que no estén relacionadas con las labores propias de La

– Los colaboradores y contratistas serán responsables de contar con conocimientos actualizados en informática básica y el uso de herramientas ofimáticas.

Correo Electrónico:

– El correo electrónico institucional es exclusivo para envío y recepción de mensajes de datos relacionados con las actividades de la Agencia, no se hará uso de él para fines personales como registros en redes sociales, registros en sitios web con actividades particulares o comerciales o en general entablar comunicaciones en asuntos no relacionados con las funciones y actividades en la Entidad.

– La información transmitida a través de las cuentas de correo electrónico corporativo no se considera correspondencia privada, ya que estas tienen como fin primordial la transmisión de información relacionada con las actividades ordinarias de la Agencia.

– Es prohibido utilizar el correo electrónico corporativo para divulgar información confidencial, reenviar mensajes que falten al respeto o atenten contra la dignidad e intimidad de las personas, difundir propaganda política, comercial, religiosa, racista, sexista o similares, reenviar contenido y anexos que atenten contra la propiedad intelectual.

– Es responsabilidad del colaborador o contratista depurar su cuenta de correo periódicamente, en todo caso se debe hacer copia de seguridad completa de los correos tanto recibidos como enviados.

Internet:

– No se harán descargas de archivos por internet que no provengan de páginas conocidas o relacionadas con las funciones y actividades de la Entidad.

– El Servicio de internet de la Agencia no podrá ser usado para fines diferentes a los requeridos en el desarrollo de las actividades propias de la Entidad. Esta restricción incluye el acceso a páginas con contenido pornográfico, terrorismo, juegos en línea, redes sociales y demás cuyo contenido no sean obligatorios para desarrollar las labores encomendadas al

– No es permitido el uso de Internet para actividades ilegales o que atenten contra la ética y el buen nombre de la Agencia o de las

– La Agencia se reserva el derecho a registrar los accesos y monitorear el contenido al que el usuario puede acceder a través de Internet, desde los recursos y servicios de Internet de la Entidad.

 Cuentas de Acceso:

– Todas las cuentas de acceso a los sistemas y recursos de las tecnologías de información son personales e intransferibles, cada colaborador y contratista es responsable por las cuentas de acceso asignadas y las transacciones que con ellas se realicen. Se permite su uso única y exclusivamente durante el tiempo que tenga vínculo laboral o contractual con la Agencia.

– Las contraseñas de acceso deben poseer un mínimo de ocho (8) caracteres y debe contener al menos una letra mayúscula, una letra minúscula, un número y un carácter especial (+-*/@#$%&). No debe contener vocales tildadas, ni eñes, ni

– La contraseña inicial de acceso a la red que le sea asignada debe ser cambiada la primera vez que acceda al sistema, además, debe ser cambiada mínimo cada 4 meses, o cuando se considere necesario debido a alguna vulnerabilidad en los criterios de

– Solamente puede solicitar cambio o restablecimiento de contraseña desde el servidor el funcionario o contratista al cual pertenece dicho usuario, o el jefe inmediato mediante solicitud motivada al correo electrónico del área de TIC´S.

– Todo funcionario o contratista que se retire de la Entidad de forma definitiva o temporal (superior a 1 semana), deberá hacer entrega formal a quien lo reemplace en sus funciones o a su superior inmediato de la clave de acceso de las cuentas asignadas, con el fin de garantizar la continuidad de las operaciones a su cargo.

Seguridad Física:

– Es responsabilidad de los colaboradores y contratistas velar por la conservación física de los equipos a ellos asignados, haciendo uso adecuado de ellos y en el caso de los equipos portátiles, estos podrán ser retirados de las instalaciones de la Entidad única y exclusivamente por el usuario a cargo y estrictamente para ejercer labores que estén relacionadas con la Agencia. En caso de daño, pérdida o robo, se establecerá su responsabilidad a través de los procedimientos definidos por para tal.

– Los colaboradores y contratistas deberán reportar de forma inmediata a los directivos la detección de riesgos reales o potenciales sobre equipos de cómputo o de comunicaciones, tales como caídas de agua, choques eléctricos, caídas o golpes, peligro de incendio, peligro de robo, entre otros. Así como reportar de algún problema o violación de la seguridad de la información, del cual fueren.

– Mientras se operan equipos de cómputo, no se deberá consumir alimentos ni ingerir

– Se debe evitar colocar objetos encima de los equipos de cómputo que obstruyan las salidas de ventilación del monitor o de la

 Derechos de Autor:

– Ningún usuario, debe descargar y/o utilizar información, archivos, imagen, sonido, software u otros que estén protegidos por derechos de autor de terceros sin la previa autorización de los

Uso de Unidades de Almacenamiento Extraíbles:

– El uso de dispositivos de almacenamiento USB está restringido y únicamente puede utilizarse con autorización Escrita de la dirección de la agencia. Los funcionarios y contratistas que tengan información de propiedad de la Agencia en medios de almacenamiento removibles, deben protegerlos del acceso lógico y físico, asegurándose además que el contenido se encuentre libre de virus y software malicioso, a fin de garantizar la integridad, confidencialidad y disponibilidad de la información.

– Toda información que provenga de un archivo externo de la Entidad o que deba ser restaurado tiene que ser analizado con el antivirus corporativo vigente.

Clasificación de la información:

– Los documentos electrónicos resultantes de los procesos misionales y de apoyo de la Agencia, se tratarán conforme a los lineamientos y parámetros establecidos en POL-GT-05 Política de Almacenamiento de Información.

– Los activos de información asociados a cada sistema de información, serán identificados y clasificados por su tipo y uso siguiendo lo establecido en las tablas de retención documental

Personal de Tecnología:

– El control de los equipos tecnológicos deberá estar bajo la responsabilidad del área de Infraestructura y Seguridad de la Información, así como la asignación de usuarios y la ubicación física.

– En el área de Infraestructura y Seguridad de la Información se deberá llevar un control total y sistematizado de los recursos tecnológicos tanto de hardware como de

– El área de Infraestructura y Seguridad de la Información será la encargada de velar por que se cumpla con la normatividad vigente sobre propiedad intelectual de soporte lógico (software).

– Las licencias de uso de software estarán bajo custodia del área de Infraestructura y Seguridad de la Información. Así mismo, los manuales y los medios de almacenamiento (CD, cintas magnéticas u otros medios) que acompañen a las versiones originales de software.

– El área de Infraestructura y Seguridad de la Información es la única dependencia autorizada para realizar copia de seguridad del software original, aplicando los respectivos controles. Cualquier otra copia del programa original será considerada como una copia no autorizada y su utilización con lleva a las sanciones administrativas y legales

– Todas las publicaciones que se realicen en el sitio WEB de la entidad, deberán atender el cumplimiento de las normas en materia de propiedad intelectual.

– El acceso a los sistemas de información y red de datos será controlado por medio de nombres de usuario personales y contraseña. El área de Infraestructura y Seguridad de la Información será la encargada de crear y asignar las cuentas de acceso y sus permisos a dominio de red, sistemas de información y correo electrónico, previo cumplimiento del procedimiento establecido para tal

– Se deben asignar usuarios unificados para todos y cada uno de los sistemas, servicios y aplicaciones, garantizando la estandarización por cada usuario; es decir, que cada usuario debe tener el mismo nombre de usuario para todos los sistemas y aplicaciones de la Entidad. La estandarización de los nombres de usuario estará compuesto de la siguiente forma: (Primer  nombre + guion bajo (_) + primer apellido, en caso de existir duplicidad,         segundo nombre + guion bajo (_) + primer apellido o segundo apellido).

– Las cuentas de acceso a sistemas, servicios y aplicaciones no podrán ser eliminadas al retiro de los colaboradores o contratistas, debe aplicarse la inactivación del

– Se realizará backup a la información institucional y bases de datos, conforme a lo establecido en la política de backup y cronograma, así como en los casos extraordinarios: desvinculación de funcionario o contratista, envío de equipo para garantía, mantenimiento correctivo de

– Las contraseñas de los usuarios administradores de las plataformas tecnológicas y sistemas de información de la Entidad, deberán ser salvaguardadas por el área de TIC´S en un archivo protegido a través de técnicas de cifrado de datos u otro mecanismo

– La red interna de la Agencia deberá estar protegida de amenazas externas, a través de sistemas que permitan implementar reglas de control de tráfico desde y hacia la

– Todos los equipos de la entidad deben tener instalado un antivirus, en funcionamiento, actualizado y debidamente

– Se realizará mantenimiento lógico preventivo a los equipos de cómputo mínimo cada 6 meses y mantenimiento físico preventivo mínimo una vez por año, que incluya el cableado estructurado. El área de TIC´S deberá elaborar el plan y cronograma de mantenimientos, el cual será notificado a los usuarios, adicionalmente, deberá informarse el nombre e identificación del personal autorizado para realizar las actividades de mantenimiento con el fin de evitar el riesgo de hurto y/o pérdida de equipos e información.

Directivos:

– La Entidad debe garantizar capacitación a los funcionarios en el manejo del software de gestión, plataformas y aplicativos implementados en la Agencia.

– Deberá notificarse al área de Infraestructura y Seguridad de la Información las novedades de vinculación y desvinculación de personal de la Agencia, con el fin de crear o cancelar, según sea el caso, los accesos a los sistemas de información, correo electrónico y red de

POLÍTICAS ORIENTADAS A LOS USUARIOS EXTERNOS

– El acceso de terceras personas a la Entidad debe ser controlado y su ingreso a las diferentes dependencias debe ser autorizado por los funcionarios a

Duración y terminación

CUMPLIMIENTO DE LAS POLÍTICAS DE SEGURIDAD INFORMÁTICA

La Dirección de la Agencia, los lideres de Área, el área de Infraestructura y Seguridad de la Información y los supervisores de contrato, son responsables de conocer y asegurar la implementación de las políticas de seguridad informática, dentro de sus áreas de responsabilidad, así como del cumplimiento de las políticas por parte de su equipo de trabajo.