Академический Документы
Профессиональный Документы
Культура Документы
CDIGO: PR28
VERSIN: 1
PORTADA
CONTROL DE VERSIONES
VERSIN
ELABOR
APROB
FECHA DE
APROBACIN
V1
Coordinador de
Calidad
Gerente
Administrativo y
Financiero
01-11-2016
Pgina 1 de 13
COPIA NO CONTROLADA
CDIGO: PR28
VERSIN: 1
TABLA DE CONTENIDO
1.
2.
3.
4.
4.1.
4.2.
4.3.
4.4.
OBJETO
3
ALCANCE
4
DEFINICIONES
4
POLTICAS DE SEGURIDAD DE LA INFORMACIN PERSONAL
6
POLTICA DE CONTROL DE ACCESO A LA INFORMACIN PERSONAL
6
POLTICA PARA ACCESO A LA INFORMACIN PERSONAL SENSIBLE
6
POLTICA DE COPIA DE RESPALDO DE LA INFORMACIN PERSONAL
6
POLTICA DE PROTECCIN PARA EL ACCESO REMOTO A LA INFORMACIN PERSONAL
6
4.6.
POLTICA PARA EL INTERCAMBIO FSICO/ELECTRNICO DE DATOS
6
4.7.
POLTICA DE GESTIN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIN
PERSONAL
7
4.8.
POLTICA DE AUDITORAS DE SEGURIDAD DE LA INFORMACIN PERSONAL
7
5.
RESPONSABILIDAD, AUTORIDAD Y ACUERDOS DE CONFIDENCIALIDAD
7
5.1.
RESPONSABILIDAD Y AUTORIDAD EN EL TRATAMIENTO DE LA INFORMACIN
PERSONAL
7
5.2.
ACUERDOS DE CONFIDENCIALIDAD
7
5.3.
CONTROLES DE SEGURIDAD EN LA TERCERIZACIN DE SERVICIOS
7
6.
GESTIN DEL RIESGO EN EL TRATAMIENTO DE DATOS PERSONALES
8
7.
SEGURIDAD DE LA INFORMACIN EN PROCESO DE GESTIN HUMANA
8
7.1.
Seguridad previa a la contratacin del personal.
8
7.2.
Seguridad durante el contrato.
8
7.3.
Finalizacin del contrato laboral o cambio de puesto.
9
8.
PROCEDIMIENTO PARA LA VALIDACIN DE DATOS DE ENTRADA, PROCESAMIENTO Y
SALIDA DE LA INFORMACIN PERSONAL
9
8.1.
VALIDACIN DE DATOS DE ENTRADA
9
8.2.
VALIDACIN DE DATOS PROCESADOS
9
8.3.
VALIDACIN DE DATOS DE SALIDA
9
9.
PROCEDIMIENTO PARA LA DISPOSICIN FINAL DE LA INFORMACIN PERSONAL
9
10. CONTROLES DE SEGURIDAD DE LA INFORMACIN DURANTE EL MANTENIMIENTO DE
LOS SISTEMAS DE INFORMACIN PERSONAL (CONTROL DE CAMBIOS)
10
11. MONITOREO Y AUDITORA DE LA BASE DE DATOS
10
11.1. AUDITORA DE LOS SISTEMAS DE INFORMACIN QUE CONTIENEN DATOS
PERSONALES
10
11.2. MONITOREO DE CONSULTA DE LAS BASES DE DATOS
10
12. PROCEDIMIENTO DE GESTIN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIN
PERSONAL
10
Pgina 2 de 13
COPIA NO CONTROLADA
CDIGO: PR28
VERSIN: 1
12
13
1. OBJETO
Con la implementacin de las polticas de seguridad de la informacin personal, NEMA
INGENIERA SAS garantiza la implementacin de controles a nivel administrativo y tcnico
para la proteccin de las bases de datos personales. Esto con el fin de velar por la integridad,
confidencialidad y disponibilidad de los datos personales y minimizar los riesgos de acciones
en contra de las bases de datos.
La Direccin de Tecnologa debe implantar los controles necesarios para proteger la
informacin personal de los beneficiarios, funcionarios, proveedores u otras terceras partes
almacenada en bases de datos o cualquier otro repositorio y evitar su divulgacin, alteracin
o eliminacin sin la autorizacin requerida.
2. ALCANCE
El presente procedimiento es de aplicacin para la gestin de la seguridad de las bases de
datos propiedad de NEMA INGENIERA SAS contentivas de informacin personal de clientes,
proveedores, empleados y en general terceros que registran sus datos en los medios
definidos por la compaa.
3. DEFINICIONES
Pgina 3 de 13
COPIA NO CONTROLADA
CDIGO: PR28
VERSIN: 1
CDIGO: PR28
VERSIN: 1
CDIGO: PR28
VERSIN: 1
Pgina 6 de 13
COPIA NO CONTROLADA
CDIGO: PR28
VERSIN: 1
Evitar el riesgo.
Disminuir el impacto.
Pgina 7 de 13
COPIA NO CONTROLADA
CDIGO: PR28
VERSIN: 1
Los responsables de manejar la informacin personal de las bases de datos deben priorizar y
realizar el tratamiento de los riesgos en seguridad de la informacin de acuerdo a los
controles definidos en la matriz.
7. SEGURIDAD DE LA INFORMACIN EN PROCESO DE GESTIN HUMANA
7.1. Seguridad previa a la contratacin del personal.
Para toda persona que ingrese a la compaa, la Vicepresidencia de Gestin Humana y
Administrativa debe asegurar las responsabilidades sobre seguridad de manera previa a la
contratacin. Esta tarea debe reflejarse en una adecuada descripcin del cargo y en los
trminos y condiciones de la contratacin.
7.2. Seguridad durante el contrato.
La Vicepresidencia de Gestin Humana y Administrativa debe desarrollar un programa
efectivo y continuo de concientizacin de proteccin de la informacin para todo el personal.
Tambin se requiere de capacitacin especfica en administracin de riesgos tecnolgicos
para aquellos individuos que estn a cargo de responsabilidades especiales de proteccin y
los conceptos bsicos con que debe cumplir todo colaborador.
Es responsabilidad y deber de cada colaborador de NEMA INGENIERA SAS asistir a los
cursos de concientizacin en seguridad de la informacin que la empresa programe y aplicar
la seguridad segn las polticas y los procedimientos establecidos por la empresa.
7.3. Finalizacin del contrato laboral o cambio de puesto.
La Vicepresidencia de Gestin Humana y Administrativa debe asegurar que todos los
colaboradores, consultores, contratistas, terceras partes, que salgan de la empresa o
cambien de puesto de trabajo, hayan firmado un acuerdo de confidencialidad, cuyo
cumplimiento ser vigente hasta que NEMA INGENIERA SAS lo considere conveniente,
incluso despus de la finalizacin del puesto de trabajo o del contrato.
La Vicepresidencia de Gestin Humana y Administrativa se asegurar que la salida o
movilidad de los colaboradores, contratistas o terceros sea gestionada hasta la completa
devolucin de todos los activos y retirada de los derechos de acceso.
Pgina 8 de 13
COPIA NO CONTROLADA
DE
ENTRADA,
CDIGO: PR28
VERSIN: 1
Para garantizar que los datos recolectados y procesados sean correctos y apropiados, como
confirmacin de tipos, formatos, longitudes, pertinencia, cantidad, uso, etc.
8.2. VALIDACIN DE DATOS PROCESADOS
8.3. VALIDACIN DE DATOS DE SALIDA
.
.
11. SEGURIDAD FSICA Y DEL ENTORNO
CDIGO: PR28
VERSIN: 1
DE
INCIDENTES
DE
SEGURIDAD
DE
LA
b)
c)
d)
Pgina 10 de 13
COPIA NO CONTROLADA
CDIGO: PR28
VERSIN: 1
a)
mbito de aplicacin del procedimiento con especificacin detallada de los recursos
protegidos.
b)
Medidas, normas, procedimientos, reglas y estndares encaminados a garantizar el
nivel de seguridad exigido en la Ley 1581 de 2012
c)
d)
Estructura de las bases de datos de carcter personal y descripcin de los sistemas
de informacin que los tratan.
e)
f)
g)
Controles peridicos que se deban realizar para verificar el cumplimiento de lo
dispuesto en el procedimiento de seguridad que se implemente
h)
Medidas a adoptar cuando un soporte o documento vaya a ser transportado,
desechado o reutilizado.
i)
El procedimiento deber mantenerse actualizado en todo momento y deber ser
revisado siempre que se produzcan cambios relevantes en el sistema de informacin o en la
organizacin del mismo.
j)
El contenido del
procedimiento deber adecuarse en todo momento a las
disposiciones vigentes en materia de seguridad de los datos personales
1.
Que el derecho de hbeas data es aquel que tiene toda persona de conocer,
actualizar y rectificar de forma gratuita la informacin que se haya recogido sobre ella en
archivos y bancos de datos de naturaleza pblica o privada.
2.
Que el cliente como titular de la informacin podr acceder a sus datos en cualquier
momento, por lo cual podr modificarlos, corregirlos , actualizarlos, revocar y solicitar prueba
de la autorizacin dada si as lo considera a travs de este medio o a travs de las oficinas
de Servicio al Cliente de los almacenes en todo el pas.
Pgina 11 de 13
COPIA NO CONTROLADA
CDIGO: PR28
VERSIN: 1
3.
Que el cliente como titular de la informacin tiene la facultad o no de informar
aquellos datos que libremente disponga y de elevar solicitudes respecto al uso que se la
haya dado a sus datos.
4.
Que para el ejercicio pleno y efectivo de este derecho por parte de todos sus
clientes, NEMA INGENIERA SAS ha dispuesto los siguientes medios a travs de los
cuales podrn presentar sus solicitudes y/o quejas y/o reclamos:
Telfonos (57) 4660483, (57) 4660487, Mvil (57) 3016564997, correo electrnico
reclamosugerenciasupresion@nemaingenieria.com; o mediante comunicado fsico a la
Calle 135C N 9 A 27 en Bogot.
VERSIN
FECHA
01-11-2016
MODIFICACIONES
Documento inicial
Pgina 12 de 13
COPIA NO CONTROLADA
15. REGISTROS
No aplica
Pgina 13 de 13
COPIA NO CONTROLADA
CDIGO: PR28
VERSIN: 1