Términos y condiciones del portal y políticas de manejo de datos

  1. Términos y Condiciones de uso del Portal Web


Lea cuidadosamente estos Términos y Condiciones de Uso (en adelante «Términos y Condiciones») antes de utilizar el sitio web de Sanandresito del Eje y de suministrar su datos personales en cualquiera de nuestras bases de datos..
Al acceder y utilizar el sitio web de Sanandresito del Eje usted expresamente reconoce y acepta los siguientes Términos y Condiciones. Si no acepta estos Términos y Condiciones, por favor no utilice el sitio web de Sanandresito del Eje ni descargue material alguno.


La información y el contenido que se encuentran en este sitio web son de propiedad de Sanandresito del Eje, o en los casos aplicables, cuenta con los derechos de uso, por lo que salvo que se indique lo contrario en estos Términos y Condiciones, no se podrá modificar, copiar, distribuir, transmitir, mostrar, ejecutar, reproducir, publicar, conceder licencias, crear trabajos derivados, transferir o vender información, software, productos o servicios obtenidos en los materiales y/o en el sitio web.

Alcance de los Términos y Condiciones


Estos Términos y Condiciones se aplican a todos los sitios web de Sanandresito del Eje. Asimismo, se aplican a los recursos y las herramientas que se proporcionan a través del Sitio web de Sanandresito del Eje, como por ejemplo áreas de descarga, zonas de búsqueda, foros de discusión, sitios de uso compartido e información sobre productos y servicios.

Cambios y actualizaciones

Sanandresito del Eje se reserva el derecho de modificar o suspender, temporal o permanentemente, en cualquier momento y sin previo aviso, el Sitio web y/o los materiales y contenidos publicados en los mismos (todo o parte de ellos) así como los productos y servicios allí incluidos y descritos, sin que ello genere derecho a reclamo o indemnización alguna a favor del usuario. Del mismo modo, Sanandresito del Eje se reserva el derecho de modificar estos Términos y Condiciones, así como el diseño, la presentación o configuración, los requisitos de registro o uso en el Sitio web, en cualquier momento y sin previo aviso ni comunicación alguna. Sin que ello genere derecho a reclamo o indemnización alguna a favor del usuario.


Exactitud, Precisión y Actualidad de la Información de este Sitio


El contenido y la información a la que pueda acceder el usuario a través de la web, es de propiedad de
Sanandresito del Eje. Se autoriza el uso de la anterior información para visualizarla para usos personales,
informativos y no comerciales. En consecuencia está expresamente prohibido copiar, poner a disposición,
distribuir, ejecutar, reproducir, licenciar, transferir o vender cualquier tipo de información que se extraiga de la web de Sanandresito del Eje.


Sanandresito del Eje realiza cambios puntuales en la información, a través de distintas tecnologías que no
alteran el contenido ni significado de la misma en grado alguno, pero que permiten la detección de
comercializaciones ilícitas de su información y la procedencia de dichas comercializaciones, así como la
fecha e IP de extracción.


Propiedad Intelectual

Sanandresito del Eje es el titular y/o licenciatario autorizado de todos los derechos que han sido legítimamente adquiridos sobre el Sitio web, los contenidos y los materiales que en ellos se encuentren.

Se prohíbe cualquier copia, reproducción, puesta a disposición, modificación, publicación, carga, envío,
transmisión o distribución en modo alguno, salvo indicación expresa en contrario.

Sanandresito del Eje no concede derecho expreso alguno ni implícito sobre las patentes, obras protegidas por el derecho de autor, marcas comerciales y/o cualquier otro derecho de propiedad intelectual o información.

2. POLITICAS DE TRATAMIENTOS DE DATOS


Cualquier tipo de información que se envíe a Sanandresito del Eje a través de herramientas que se pongan a disposición del público a través de este sitio, como formularios por ejemplo, se regirá de acuerdo con lo que se establece a continuación:


En ese sentido, como usuario de este sitio web, le informamos sobre el uso que le damos a los datos que
registre en el mismo, a fin que pueda decidir si quiere ingresar sus datos o no. Los datos recogidos a través de este sitio web serán automatizados e incorporados a las bases de datos o ficheros de los que Sanandresito del Eje es titular y responsable.

Nombre, dirección, teléfono, correo electrónico, entre otros, son datos que nos permiten contactar a los
usuarios para resolver inquietudes, atender comentarios, quejas, enviar información y publicidad que puedan interesar a nuestros usuarios. Los datos también son utilizados para elaborar estadísticas y así implementar mejoras al sitio, conocer preferencias y necesidades de los usuarios y poder adaptarlos.

Al facilitar sus datos en el Sitio web, usted nos está manifestando y comunicando que está voluntariamente suministrando la información y que está de acuerdo con que esos datos se utilicen para los fines arriba señalados. Sanandresito del Eje se compromete a no divulgar estos datos, salvo para los casos arriba señalados.


Este sitio web utiliza la tecnología de cookie, la cual puede indicarnos si usted es un visitante nuevo o no y qué tipo de contenidos y materiales ha visto. Las cookies que se usan en nuestra página web no recolectan información sobre la identidad personal ni proporciona forma alguna de contactarlo, tampoco pueden extraer información de la computadora del usuario. Igualmente le informamos que a través de esta tecnología se pueda reunir información sobre el uso de nuestro sitio, número de visitantes, frecuencia de las visitas, etc. Estos datos sólo son utilizados en conjunto y no incluyen ninguna información sobre la identidad personal.

Sanandresito del Eje podrá variar las presentes condiciones en cualquier momento, aunque no es intención que sea frecuente, publicando en esta misma página las fechas de las modificaciones y entrando en vigor de forma inmediata. Si por cambio legislativo o resolución judicial deja de ser aplicable una parte de las presentes condiciones, dichas cláusulas serán anuladas, pero las demás serán perfectamente válidas y permanecerán en vigor. El hecho de continuar usando nuestro Web implica que Usted acepta estas condiciones y se compromete a aceptar las modificaciones realizadas en las mismas, obligándose a revisar esta página con frecuencia. En caso de no aceptar estas condiciones, no debe seguir visitando el Web de Sanandresito del Eje


USTED RECONOCE Y ACEPTA QUE:
• Ha leído y aceptado los términos y condiciones de uso arriba descritos.
• El uso de los Sitios web y de los materiales y contenidos publicados en los mismos corren por la cuenta y riesgo del usuario.
• Todo material descargado u obtenido de otro modo a través del sitio web corre por la cuenta y riesgo del usuario, quien será el único responsable de los daños que pueda sufrir su sistema informático u otro
dispositivo o la pérdida de datos que derive de la descarga de ese material.
• En ningún caso ni Sanandresito del Eje, ni sus empleados, ni funcionarios serán responsable de daño alguno derivado del uso de los Sitios web o de los materiales, o de la imposibilidad de uso de los mismos.
• En ningún caso ni Sanandresito del Eje, ni sus empleados, ni funcionarios, responderá por daños especiales, indirectos, incidentales o de cualquier otra naturaleza que deriven de lucro cesante, pérdida de uso o pérdida de datos, emergente del o en relación con el uso o desempeño del software, documentos, la prestación o no de servicios o información disponible en el sitio web.

    3. POLITICA PARA EL ENCARGADO DE TRATAMIENTO DE DATOS

    OBJETIVO

    Conocer las políticas que el encargado del tratamiento de datos debe aplicar a todas las bases de datos que maneje el responsable de tratamiento de datos.

    DEFINICIÓN

    Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del responsable del tratamiento.

    Cargos de los encargados del Tratamiento de datos:

    + Proveedores, Clientes y empleados: Administrador del CENTRO COMERCIAL SANANDRESITO P.H.

    Contenido              

    El Administrador del CENTRO COMERCIAL SANANDRESITO P.H. cumplirá los siguientes deberes en calidad de encargado del Tratamiento de datos:

    1. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de habeas data;
    2. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
    3. Realizar oportunamente la actualización, rectificación o supresión de los datos;
    4. Actualizar la información reportada por los Responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo;
    5. Tramitar las consultas y los reclamos formulados por los Titulares;
    6. Contar, con un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento la Ley de Protección de Datos y, en especial, para la atención de consultas y reclamos por parte de los Titulares;
    7. Registrar en la base de datos la leyenda «reclamo en trámite», cuando ello corresponda;
    8. Insertar en la base de datos la leyenda «información en discusión judicial» una vez sea notificada por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal;
    9. Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio;
    10. Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella;
    11. Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares;
    12. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

    Elaboro Implementa S.A.S.

    Aprobó CENTRO COMERCIAL SANANDRESITO P.H.

    4. POLITICAS DE SEGURIDAD DE LA INFORMACION

    SEGURIDAD DE LA INFORMACIÓN PERSONAL

    La empresa CENTRO COMERCIAL SANANDRESITO P.H. actuará como responsable del tratamiento de sus datos personales y hará uso de los mismos únicamente para las finalidades para las que se encuentra facultado, especialmente las señaladas en AVISO DE PRIVACIDAD de la presente política y sobre la base de la ley y la normatividad vigente.

    Datos de identificación del responsable del tratamiento:

    • Nombre: CENTRO COMERCIAL SANANDRESITO P.H

    • Dirección: Carrera 8a entres calles 30 y 31 Pereira

    • Teléfono: (57+6) 326 1524

    • Correo: gerente@sanandresitopereira.com

    • Portal Web: http://www.sanandresitodeleje.co

    CANALES DE SERVICIO:

    • Escrito

    Entrega de información en la Carrera 8a entres calles 30 y 31 Pereira

    • Presencial

    Entrega de información en la Carrera 8a entres calles 30 y 31 Pereira

    • Telefónico

    (57+6) 326 1524

    • Virtual

    gerente@sanandresitopereira.com o financiera@sanandresitopereira.com

    La empresa CENTRO COMERCIAL SANANDRESITO P.H recolecta información y datos personales en el momento en que son ingresados en el sistema de peticiones, quejas, reclamos, sugerencias, felicitaciones, sorteos, consultas y denuncias, en las cuales el titular informa libremente sus datos personales, principalmente los relacionados con su nombre, tipo y número de documento de identidad, dirección de domicilio, dirección de correo electrónico, número telefónico de contacto, entre otros.

    Adicionalmente, la empresa CENTRO COMERCIAL SANANDRESITO P.H administra los datos registrados a través del Sistema de Información WEB, los cuales contiene información de carácter institucional, siendo como las hojas de vida, la declaración de bienes de propietarios, contratistas e información de clientes que se registren.

    Finalmente se recolecta y administran los datos personales de las personas que hacen parte de los procesos de medición de satisfacción que adelante la entidad y cualquier otro que requiera tabulación; también se podrá solicitar información adicional (sensible), la cual podrá ser suministrada por parte del titular de manera libre y voluntaria y almacenada de la mejor manera posible, estipulada en los protocolos establecidos por la organización.

    Modo en que se Utiliza la Información

    Previa autorización del titular de los datos personales, le permitirá a la empresa CENTRO COMERCIAL SANANDRESITO P.H darle el siguiente tratamiento:

    a) Para los fines administrativos propios de la entidad.

    b) Caracterizar ciudadanos y grupos de interés y adelantar estrategias de mejoramiento en la prestación del servicio.

    c) Dar tratamiento y respuesta a las peticiones, quejas, reclamos, denuncias, sugerencias y/o felicitaciones presentados a la entidad.

    d) Alimentar el Sistema de Información

    e) Conocer y consultar la información del titular del dato que reposen en bases de datos de entidades públicas o privadas.

    f) Adelantar encuestas de satisfacción de usuarios.

    g) Envío de información de interés general.

    h) Recopilar información de ciudadanos asistentes a capacitación desarrolladas por la entidad.

    La información y datos personales suministrados por el titular de los mismos, podrán ser utilizados por la empresa CENTRO COMERCIAL SANANDRESITO P.H como responsable del tratamiento de los datos, para el desarrollo de las funciones propias de la entidad. Cualquier otro tipo de finalidad que se pretenda dar a los datos personales, deberá ser informado previamente, en el aviso de privacidad y en la respectiva autorización otorgada por el titular del dato, según sea el caso, y siempre teniendo en cuenta los principios rectores para el tratamiento de los datos personales, establecidos por la Ley, el presente documento y las demás normas que desarrollen la materia.

    Después de recolectar la información personal, la empresa CENTRO COMERCIAL SANANDRESITO P.H ha definido que se acogerá a sus protocolos para el almacenamiento y copia de la información, y la salvaguardará acorde a su control de registros en el tiempo estipulado y eliminación destinada.

    PROCESOS EN TORNO A LA SEGURIDAD DE LA INFORMACIÓN PERSONAL

    La empresa CENTRO COMERCIAL SANANDRESITO P.H garantiza el derecho de acceso a los datos personales, una vez se haya verificado la identidad del titular, su causahabiente y/o representante, poniendo a disposición de éste, los respectivos datos personales.

    Para tal efecto se garantiza el establecimiento de medios y mecanismos electrónicos y/o presenciales sencillos y con disponibilidad permanente, los cuales permitan el acceso directo del titular a los datos personales, los cuales serán informados en el Aviso de Privacidad o en el Formato de Autorización para el tratamiento de datos personales.

    La empresa CENTRO COMERCIAL SANANDRESITO P.H, como responsable del tratamiento de los datos, deberá rectificar y actualizar a solicitud del titular toda información que de éste resulte ser incompleta o inexacta. Para estos efectos, el titular o su causahabiente y/o representante, señalará las actualizaciones y rectificaciones a que dieran lugar, junto a la documentación que soporte su solicitud.

    La empresa CENTRO COMERCIAL SANANDRESITO P.H habilitará los medios electrónicos existentes en la organización encaminados a garantizar este derecho, que serán los mismos utilizados para la recepción y atención de peticiones, quejas, reclamos, sugerencias, denuncias y/o felicitaciones.

    Los Titulares podrán en todo momento y cuando consideren que los datos no están recibiendo un tratamiento adecuado o los mismos no son pertinentes o necesarios para la finalidad para la cual fueron recolectados, solicitar a la empresa la supresión de sus datos personales mediante la presentación de un reclamo.

    No obstante, la solicitud de supresión de datos no procederá cuando el titular tenga un deber legal o contractual de permanecer en la(s) base(s) de datos o la supresión de los datos represente un impedimento en actuaciones administrativas o judiciales relacionadas a obligaciones fiscales, investigación de delitos o actualización de sanciones administrativas.

    Si vencido el término legal respectivo, establecido en los controles de registros de la organización, no se han eliminado los datos personales, el titular tendrá derecho a solicitar a la Superintendencia de Industria y Comercio que ordene la supresión de los datos personales.

    Después de ejecutar el debido proceso en cualquier actuación, la empresa CENTRO COMERCIAL SANANDRESITO P.H garantiza el uso de medidas técnicas, humanas y administrativas necesarias para otorgar seguridad a los datos personales y demás información sujeta a tratamiento, evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento, dentro de esas medidas se encuentran actividades de copias de seguridad de la información, contar con inventarios de los documentos existentes en la empresa, almacenar la información física bajo llave y la magnética con controles de acceso restringido y con cambio periódico, además se realiza auditoria anual al manejo del sistema de información de la organización con el fin de validar el correspondiente control existente.

    ASIGNACIÓN DE RESPONSABILIDADES

    CENTRO COMERCIAL SANANDRESITO P.H, identificará las responsabilidades y autorizaciones para los cargos involucrados en el manejo de información personal de sus clientes finales, proveedores, contratistas, visitante, empleados, ex-empleados y demás titulares de información, luego de esta identificación se asignará a los cargos involucrados mediante la adición de estas funciones a su manual de funciones y su correspondiente difusión.

    Las responsabilidades necesarias para que se ejecuten dentro de la organización son:

    Aunque los usuarios de la plataforma tecnológica, los servicios de red y los sistemas de información de CENTRO COMERCIAL SANANDRESITO P.H deben hacerse responsables de las acciones realizadas en los mismos, así como del usuario y contraseña asignados para el acceso a estos, el responsable debe recordar continuamente a los actores de estas actividades la correspondiente y adecuada ejecución.

    Recordar constantemente a los funcionarios que no deben compartir sus cuentas de usuario y contraseñas con otros funcionarios o con personal provisto por terceras partes.

    Recordar frecuentemente a los funcionarios y personal provisto por terceras partes que posean acceso a la plataforma tecnológica, los servicios de red y los sistemas de información de la empresa que deben acogerse a lineamientos para la configuración de contraseñas implantados por la organización.

    Se tiene como prioridad y la responsabilidad de incluir dentro del plan anual de auditorías la verificación aleatoria a los equipos de cómputo de todas las dependencias y puntos de atención de la entidad, incluyendo el archivo el físico.

    La empresa debe efectuar, a través del responsable y de sus funcionarios, la documentación y actualización de los procedimientos relacionados con la operación y administración de la plataforma tecnológica de la organización.

    La empresa debe proporcionar a sus funcionarios manuales de configuración y operación de los sistemas operativos, firmware, servicios de red, bases de datos y sistemas de información que conforman la plataforma tecnológica del Centro Comercial CENTRO COMERCIAL SANANDRESITO P.H

    El responsable (tercero) al final del año deberá presentar un informe de la correspondiente gestión en cuanto a la seguridad de la información ejecutada por la organización, junto con las adecuadas medidas para mantener el sistema de la información.

    ACUERDOS DE CONFIDENCIALIDAD

    La secretaria debe certificar que los funcionarios de la organización firmen un Acuerdo y/o Cláusula de Confidencialidad y un documento de Aceptación de Políticas de Seguridad de la Información; estos documentos deben ser anexados a los demás documentos relacionados con la ocupación del cargo.

    Cada jefe debe verificar la existencia de Acuerdos y/o Cláusulas de Confidencialidad y de la documentación de Aceptación de Políticas para el personal, antes de otorgar acceso a la información de CENTRO COMERCIAL SANANDRESITO P.H.

    CONTROLES DE SEGURIDAD EN LA TERCERIZACIÓN DE SERVICIOS

    El personal provisto por terceras partes, deben garantizar el cumplimiento de los Acuerdos y/o Cláusulas de Confidencialidad y aceptación de las Políticas de Seguridad de la Información de CENTRO COMERCIAL SANANDRESITO P.H y esto debe generarse antes de que se les otorgue acceso a las instalaciones y a la plataforma tecnológica. 

    GESTIÓN DE RIESGOS EN EL TRATAMIENTO DE DATOS PERSONALES

    Según la metodología escogida por el CENTRO COMERCIAL SANANDRESITO P.H es la ISO 31000, teniendo en cuenta que el riesgo es: «La posibilidad de sufrir daños o pérdidas». La amenaza es un componente del riesgo, y se puede considerar como: Un agente de amenazas, ya sea humano o no humano, donde se debe tomar alguna acción, como identificar y explotar una vulnerabilidad, que da lugar a algún resultado inesperado y no deseado, es decir, pérdida, modificación o divulgación de información, o pérdida de acceso a la información. Estos resultados tienen impactos negativos en la organización. Estos impactos pueden incluir: Pérdida de ingresos o clientes, pérdida de diferenciación de mercado, los costos de respuesta y recuperación por el incidente, y el costo de pagar multas y sanciones regulatorias.

    El riesgo de seguridad de la información tiene varios componentes importantes:

    Agente de amenaza: Entidad humana o no humana que explota una vulnerabilidad;

    Vulnerabilidad: Lo que explota el actor de la amenaza;

    Resultados: El resultado de la explotación de una vulnerabilidad; e

    Impacto: Consecuencias de los resultados no deseados. No confunda los resultados con los impactos.

    El último y más importante componente del riesgo de seguridad de la información es el activo –información, proceso, tecnología– que fue afectado por el riesgo. Suponiendo que el activo en riesgo no puede ser eliminado, el único componente del riesgo de seguridad de la información que puede ser controlado es la vulnerabilidad. Solo hay algunas cosas que se pueden hacer para controlar una vulnerabilidad.

    Eliminar la vulnerabilidad. Si no existe, entonces no puede ser explotada; O, si la vulnerabilidad no puede ser eliminada: Reducir la probabilidad de explotación de la vulnerabilidad; Reducir la gravedad del impacto resultante de la explotación de la vulnerabilidad; o No hacer nada, aceptar el riesgo.

    Un caso problemático es el de la vulnerabilidad de día cero, pues, por definición, una organización no puede protegerse contra los resultados e impactos específicos de esa vulnerabilidad desconocida, y no tiene la oportunidad de crear estrategias para reducir la probabilidad y el impacto.

    Por lo tanto, la gestión de riesgos de seguridad de la información es el proceso de identificar, comprender, evaluar y mitigar los riesgos –y sus vulnerabilidades subyacentes– y el impacto en la información, los sistemas de información y las organizaciones que dependen de la información para sus operaciones. Además de identificar los riesgos y las medidas de mitigación del riesgo, un método y proceso de gestión del riesgo ayudará a: Identificar los activos críticos de información. Un programa de gestión de riesgos puede ampliarse para identificar también a personas críticas, procesos de negocio y tecnología.

    Comprender por qué los activos críticos escogidos son necesarios para las operaciones, la realización de la misión y la continuidad de las operaciones.

    Para cumplir con la gestión de riesgos como componente de preparación para la ciberseguridad, una organización debe crear un sólido programa de evaluación y gestión del riesgo de la seguridad de la información.

    Otros elementos que apoyan un programa de gestión de riesgos de seguridad de la información incluyen: Un programa de gestión de activos, Un programa de gestión de la configuración, y un programa de gestión del cambio.

    Frente a la gestión de riesgos la organización tomara sus matrices y les incluirán los componentes de seguridad de la información.

    CONTROLES DE SEGURIDAD DE LA INFORMACIÓN EN LA VINCULACIÓN

    VINCULACIÓN DE FUNCIONARIOS

    CENTRO COMERCIAL SANANDRESITO P.H reconoce la importancia que tiene el factor humano para el cumplimiento de sus objetivos misionales y, con el interés de contar con el personal, garantizará que la vinculación de nuevos empleados se realizará siguiendo un proceso formal de selección, acorde con la legislación vigente, el cual estará orientado a los empleados y roles que deben desempeñar los empleados en sus cargos.

    La secretaria debe realizar las verificaciones necesarias para confirmar la veracidad de la información suministrada por el personal candidato a ocupar un cargo en CENTRO COMERCIAL SANANDRESITO P.H antes de su vinculación definitiva.

    La secretaria debe certificar que los empleados de la empresa firmen un Acuerdo y/o Cláusula de Confidencialidad y un documento de Aceptación de Políticas de Seguridad de la Información; estos documentos deben ser anexados a los demás documentos relacionados con la ocupación del cargo.

    Gerencia debe verificar la existencia de Acuerdos y/o Cláusulas de Confidencialidad y de la documentación de Aceptación de Políticas para el personal provisto por terceras partes, antes de otorgar acceso a la información de CENTRO COMERCIAL SANANDRESITO P.H.

    CENTRO COMERCIAL SANANDRESITO P.H, en su interés por proteger su información y los recursos de procesamiento de la misma demostrará el compromiso de la Alta Dirección en este esfuerzo, promoviendo que el personal cuente con el nivel deseado de conciencia en seguridad de la información para la correcta gestión de los activos de información y ejecutando el proceso disciplinario necesario cuando se incumplan las Políticas de seguridad de la información de la empresa.

    Todos los empleados de CENTRO COMERCIAL SANANDRESITO P.H deben ser cuidadosos de no divulgar información confidencial en lugares públicos, en conversaciones o situaciones que pongan en riesgos la seguridad y el buen nombre de la empresa.

    RETIRO DE FUNCIONARIOS

    La empresa CENTRO COMERCIAL SANANDRESITO P.H debe tener un inventario con las llaves, códigos, contraseñas y controles de acceso con el cual los empleados se les asigna al momento de ingreso, basados en este inventario al momento de retirarse la empresa les realiza la verificación de entrega y desactivación de los correspondientes accesos y se deja registrado en un formato de paz y salvo.

    CONTROL DE ACCESO FISICO A LA INFORMACIÓN PERSONAL

    Se establece procedimientos para la asignación de acceso a los sistemas, bases de datos y servicios de información multiusuario; la solicitud y aprobación de acceso a Internet o redes externas; el uso de computación móvil, trabajo remoto.

    Analizar y sugerir medidas a ser implementadas para hacer efectivo el control de acceso de los usuarios a diferentes servicios como Internet o digitalización  entre otros, verificar el cumplimiento de las pautas establecidas, relacionadas con control de acceso, creación de usuarios, administración de privilegios, administración de contraseñas, utilización de servicios de red, autenticación de usuarios, uso controlado de utilitarios del sistema, concientizar a los usuarios sobre el uso apropiado de contraseñas y de equipos de trabajo.

    Control de Acceso

    Los controles de acceso deberán contemplar:

    a)         Requerimientos de seguridad de cada una de las aplicaciones.

    b)         Definir los perfiles o privilegios de acceso de los usuarios a las aplicaciones de acuerdo a su perfil de cargo.

    Administración de Accesos de Usuarios

    La Gerencia establece procedimientos para controlar la asignación de derechos de acceso a los sistemas, datos y servicios de información.

    Creación de Usuarios

    La secretaria deberá mantener los registros donde cada uno de los líderes responsables de los procesos haya autorizado a los servidores públicos o terceros el acceso a los diferentes sistemas de información.

    Los datos de acceso a los sistemas de información deberán estar compuestos por un ID o nombre de usuario y contraseña que debe ser único por cada servidor público o tercero, cuando se retire o cambie de contrato cualquier servidor público o tercero, se deberá aplicar la eliminación o cambios de privilegios en los sistemas de información a los que el usuario estaba autorizado.

    El proceso de gestión de información y comunicaciones deberá realizar revisiones de privilegios de acceso a los diferentes sistemas de información por parte de los servidores públicos y terceros, manteniendo los registros de las revisiones y hallazgos.

    Administración de Contraseñas de Usuario

    Las contraseñas de acceso deberán cumplir con un mínimo de 8 caracteres y la combinación de números, letras mayúsculas y minúsculas, en lo posible utilizar caracteres especiales.

    GESTIÓN DE USUARIOS CON ACCESO A LA INFORMACIÓN

    Todos los usuarios (incluido el personal de soporte técnico, como los operadores, administradores de red, programadores de sistemas y administradores de bases de datos) tendrán un identificador único (ID de Usuario) solamente para su uso personal exclusivo, de manera que las actividades tengan trazabilidad.

    Sistema de Administración de Contraseñas

    El sistema de administración de contraseñas debe:

    a)         Obligar el uso de User ID´s y contraseñas individuales para determinar   responsabilidades.

    b)         Permitir que los usuarios seleccionen y cambien sus propias contraseñas luego de cumplido el plazo mínimo de mantenimiento de las mismas o cuando consideren que la misma ha sido comprometida e incluir un procedimiento de confirmación para contemplar los errores de ingreso.

    c)         Obligar a los usuarios a cambiar las contraseñas provisionales o que han sido asignadas por el administrador del sistema de información.

    d)         No permitir mostrar las contraseñas en texto claro cuando son ingresadas.

    e)         Almacenar las contraseñas en forma cifrada.

    Sesiones Inactivas

    Si el usuario debe abandonar la estación de trabajo momentáneamente, activará protectores de pantalla con contraseñas, con el fin de evitar que Terceros puedan ver su trabajo o continuar con la sesión de usuario habilitada.

    Si los sistemas de información detectan inactividad por un periodo igual o superior a diez minutos, deben automáticamente aplicar, “timeout” es decir, finalizar la sesión de usuario

    Limitación del Tiempo de Conexión

    Las restricciones al horario de conexión deben suministrar seguridad adicional a las aplicaciones de alto riesgo:

    a)         Limitar los tiempos de conexión al horario normal de oficina, de no existir un requerimiento operativo de horas extras o extensión horaria.

    b)         Documentar los funcionarios o contratistas que no tienen restricciones horarias y los motivos y evidencia de la autorización expedida por el líder del proceso de Gestión de Tecnologías de Comunicación e Información.

    COPIA DE RESPALDO DE LA INFORMACIÓN PERSONAL

    Toda la información permanece almacenada en los servidores de la compañía, en los cuales se tienen pre-establecidos copias de seguridad diarias en la nube y cifradas para control de seguridad de la misma. Esta información es validada cada quince días para garantizar que si se esté realizando y almacenando de manera adecuada.

    CONTROLES DE SEGURIDAD DE LA INFORMACIÓN DURANTE EL MANTENIMIENTO

    Cuando la organización planifica los controles o mantenimientos preventivos de sus servidores se inicia con la validación previa de la copia de seguridad, verificando que ésta se encuentre a un 100% en la nube para que en el momento de realizar el mantenimiento preventivo ocurra un evento que se salga de los parámetros se tenga la correspondiente copia, cuando exista la necesidad de realizar un mantenimiento correctivo a los equipos se debe garantizar la correspondiente copia de seguridad antes de intervenir el equipo.

    AUDITORIA A LOS SISTEMAS DE INFORMACIÓN

    La empresa CENTRO COMERCIAL SANANDRESITO P.H.  ha definido según su procedimiento interno realizar la auditoria cada año a los sistemas de información que contengan datos personales, esta auditoria la debería realizar personal con conocimiento en almacenamiento de datos con su debida protección.

    Existen algunas metodologías de Auditorías de Sistemas de información y todas dependen de lo que se pretenda revisar o analizar: Estudio preliminar, revisión y evaluación de controles y seguridades, examen detallado de áreas críticas y comunicación de resultados.

    CICLO DE VIDA DEL DATO (RECOLECCIÓN, CIRCULACIÓN Y DISPOSICION FINAL)

    La gestión del ciclo de vida del dato se enfoca en asegurar el cubrimiento del enmascaramiento, reducción, archivado, y generación (para prueba) de los datos en la empresa, soportando el nivel de autoservicio comprometido. Esta gestión es una práctica basada en políticas que se encarga del flujo de los datos de los sistemas de información a través de su ciclo de vida: desde la creación y el almacenamiento inicial, hasta el momento cuando se convierte en obsoleto y es eliminado.

    A continuación, se describen los factores de éxito en el manejo del dato:

    Modelo de relación y gestión de la demanda: El establecimiento establecer modelos de gestión de la demanda de los datos, que optimice esfuerzos, y esté orientado a las necesidades reales y los objetivos estratégicos de las instituciones.

    Definición procesos y servicios: establecer formalmente los procesos y servicios que generan y modifican datos, y que dan soporte a las diferentes áreas de la institución, prestando especial atención a las relaciones entre dichas áreas, e incluyendo los procesos y servicios propios de la Dirección de Tecnologías y Sistemas de la Información o quien haga sus veces.

    Reutilización de procesos: estandarizar los procesos que generan y modifican los datos con el fin de formalizarlos y hacer posible su reutilización.

    DATOS DE ENTRADA Y PROCESAMIENTO DE LA INFORMACIÓN

    Los datos de entrada consisten en el proceso mediante el cual el Sistema de Información toma los datos que requiere para procesar la información. Las entradas pueden ser manuales o automáticas. Las unidades típicas de entrada de datos a las computadoras son las terminales, las cintas magnéticas, las unidades de diskette, los códigos de barras, los escáners, la voz, los monitores sensibles al tacto, el teclado y el mouse, entre otras. Las manuales son aquellas que se proporcionan en forma directa por el usuario, mientras que las automáticas son datos o información que provienen o son tomados de otros sistemas o módulos, esta información de entrada es almacenada por la organización bajo los parámetros establecidos de seguridad y con las copias de seguridad correspondiente.

    Frente al procesamiento de la Información efectúa cálculos de acuerdo con una secuencia de operaciones preestablecida. Estos cálculos pueden efectuarse con datos introducidos recientemente en el sistema o bien con datos que están almacenados. Esta característica de los sistemas permite la transformación de datos fuente en información que puede ser utilizada para la toma de decisiones, por lo anterior la empresa CENTRO COMERCIAL SANANDRESITO P.H.  ha decidido almacenar de forma adecuada la información, con el fin de poder acceder a ella de la mejor manera y poder realizar la transformación de la información.

    VALIDACIÓN DE LOS DATOS DE SEGURIDAD

    La salida de Información de un Sistema de Información para sacar la información procesada o bien datos de entrada al exterior. Las unidades típicas de salida son las impresoras, terminales, diskettes, cintas magnéticas, la voz, los graficadores y los plotters, entre otros. Es importante aclarar que la salida de un Sistema de Información puede constituir la entrada a otro Sistema de Información o módulo. En este caso, también existe una interface automática de salida. Por ejemplo, el Sistema de Control de Clientes tiene una interface automática de salida con el Sistema de Contabilidad, ya que genera las pólizas contables de los movimientos procesales de los clientes, la validación de los datos se verificará en la auditoria previa de la información.

    INTERCAMBIO DE DATOS FISICO O ELECTRONICO

    CENTRO COMERCIAL SANANDRESITO P.H.  asegurará la protección de la información en el momento de ser transferida o intercambiada con otras entidades y establecerá los procedimientos y controles necesarios para el intercambio de información; así mismo, se establecerán Acuerdos de Confidencialidad y/o de Intercambio de Información con las terceras partes con quienes se realice dicho intercambio. CENTRO COMERCIAL SANANDRESITO P.H propenderá por el uso de tecnologías informáticas y de telecomunicaciones para llevar a cabo el intercambio de información; sin embargo, establecerá directrices para el intercambio de información en medio físico. 

    La Secretaria debe definir los modelos de Acuerdos de Confidencialidad y/o de Intercambio de Información entre CENTRO COMERCIAL SANANDRESITO P.H y tercera partes incluyendo los compromisos adquiridos y las penalidades civiles o penales por el incumplimiento de dichos acuerdos. Entre los aspectos a considerar se debe incluir la prohibición de divulgar la información entregada por CENTRO COMERCIAL SANANDRESITO P.H a los terceros con quienes se establecen estos acuerdos y la destrucción de dicha información una vez cumpla su cometido.   

    Los propietarios de los activos de información deben velar porque la información de CENTRO COMERCIAL SANANDRESITO P.H o de sus beneficiarios sea protegida de divulgación no autorizada por parte de los terceros a quienes se entrega esta información, verificando el cumplimiento de las cláusulas relacionadas en los contratos, Acuerdos de confidencialidad o Acuerdos de intercambio establecidos.

    Los propietarios de los activos de información deben asegurar que los datos requeridos de los beneficiarios sólo puedan ser entregada a terceros, previo consentimiento de los titulares de los mismos, salvo en los casos que lo disponga una ley o sea una solicitud de los entes de control. Los propietarios de los activos de información, o a quien ellos deleguen, deben verificar que el intercambio de información con terceros deje registro del tipo de información intercambiada, el emisor y receptor de la misma y la fecha de entrega/recepción.

    Los propietarios de los activos de información deben autorizar los requerimientos de solicitud/envío de información de CENTRO COMERCIAL SANANDRESITO P.H por/a terceras partes, salvo que se trate de solicitudes de entes de control o de cumplimiento de la legislación vigente.

    Los propietarios de los activos de información deben asegurarse que el Intercambio de información (digital) solamente se realice si se encuentra autorizada y dando cumplimiento a las Políticas de administración de redes, de acceso lógico y de protección de datos personales de CENTRO COMERCIAL SANANDRESITO P.H así como del procedimiento de intercambio de información.

    DISPOSICIÓN FINAL DE LA INFORMACIÓN PERSONAL

    La organización ha determinado un orden para el almacenamiento físico y magnético de su información y lo ha documentado en el control de registros, allí ha establecido el lugar de almacenamiento, tiempo de retención y disposición final para cada uno de ellos.

    Para el almacenamiento físico se ha dispuesto una bodega a las afueras de la ciudad, donde se almacenará la información por el tiempo establecido por la ley, cuando ésta cumpla con su tiempo de retención, se microfilmará y se destruirá la correspondiente información, esta microfilmación se almacenará en las oficinas por un periodo adicional de diez (10) años y después se desechará acorde a los requisitos establecidos por la ley.

    Para el almacenamiento magnético se establece el servidor principal de la compañía, allí todos los cargos de la organización tienen creados carpetas donde se establece el nombre del proceso al que pertenecen y tienen organizadas sus carpetas y subcarpetas, en ese servidor se tiene establecido realizar copias de seguridad en la nube todos los días de forma automática, este información se almacenará de forma indefinida, si por algún caso se llena la capacidad de almacenamiento la organización deberá aumentar la capacidad de almacenamiento.

    GESTIÓN DE INCIDENTES

    CENTRO COMERCIAL SANANDRESITO P.H promoverá junto a sus empleados el reporte de incidentes relacionados con la seguridad de la información y sus medios de procesamiento, incluyendo cualquier tipo de medio de almacenamiento de información, como la plataforma tecnológica, los sistemas de información, los medios físicos de almacenamiento y las personas.

    De igual manera, asignará responsables para el tratamiento de los incidentes de seguridad de la información, quienes tendrán la responsabilidad de investigar y solucionar los incidentes reportados, tomando las medidas necesarias para evitar su reincidencia y escalando los incidentes de acuerdo con su criticidad.

    La Alta Dirección o a quien delegue, son los únicos autorizados para reportar incidentes de seguridad ante las autoridades; así mismo, son los únicos canales de comunicación autorizados para hacer pronunciamientos oficiales ante entidades externas.

    Los incidentes que se detecten deben quedar registrados para su análisis y posterior toma de decisiones para mejorar la seguridad de la información de la organización.

    ACCIONES DE MEJORA A PARTIR DE LOS INCIDENTES O VULNERABILIDADES

    La empresa CENTRO COMERCIAL SANANDRESITO P.H llevara estadísticas de accesos no autorizados, vulneraciones presentadas en servidores y computadores, virus detectados y eliminados, virus que no se han podido detectar, virus que se han materializado, ingreso a páginas no deseadas en las cuales han llevado al ingreso de virus e instalación de programas piratas y que han daños al sistema, revisiones periódicas.

    Con las estadísticas anteriores se ha determinado la necesidad de implementar acciones encaminadas a la protección de los sistemas de información y dejar a un lado la vulnerabilidad que se haya presentado en el pasado, por ello se ha determinado que una vez al año se contratara una persona que realizará la respectiva vulneración a los sistemas de información de la compañía para medir los avances realizados en cuanto a la seguridad de la información.  

    Reviso: Implementa S.A.S.

    Aprobó: CENTRO COMERCIAL SANANDRESITO P.H