1. ALCANCE.
El presente documento contiene la Política de Seguridad de la Información adoptada por DIVERSIONES DEL ORIENTE S.A.S., en estricto cumplimiento a lo establecido por la Ley Estatutaria 1581 de 2012, el Decreto Reglamentario 1377 de 2013 y demás disposiciones legales vigentes, con el objeto de gestionar adecuadamente la seguridad de la información, y los datos personales, evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
La presenta política es de aplicación obligatoria para toda todo el personal de la empresa, vinculado mediante contrato de trabajo, prestación de servicios, y cualquier otra modalidad de contratación, incluyendo los accionistas y toda otra persona que de alguna manera esté relacionada con DIVERSIONES DEL ORIENTE S.A.S. En particular, debe ser conocida y cumplida por toda la planta de personal de DIVERSIONES DEL ORIENTE S.A.S., sea cual fuere su nivel jerárquico, como marco de trabajo en lo referente al uso adecuado de los recursos, buscando niveles adecuados de protección y resguardo de la información, para garantizar el debido control y minimizar los riesgos asociados
A los efectos de este documento se aplican las siguientes definiciones:
2.1. SEGURIDAD DE LA INFORMACIÓN.
La seguridad de la información se entiende como la preservación de las siguientes características:
Confidencialidad: Se garantiza que la información sea accesible sólo a aquellas personas autorizadas a tener acceso a la misma.
Integridad: Se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento.
Disponibilidad: Se garantiza que únicamente los usuarios autorizados tengan acceso a la información y a los recursos relacionados con la misma, toda vez que lo requieran.
Autenticidad: Se asegura la validez de la información en tiempo, forma y distribución. Asimismo, se garantiza el origen de la información, validando el emisor para evitar suplantación de identidades.
Protección a la duplicación: Consiste en asegurar que una transacción sólo se realiza una vez, a menos que se especifique lo contrario. Impedir que se grabe una transacción para luego reproducirla, con el objeto de simular múltiples peticiones del mismo remitente original.
No repudio: Se refiere a evitar que quien haya enviado o recibido información alegue ante terceros que no la envió o recibió.
Legalidad: Referido al cumplimiento de las leyes, normas, reglamentaciones o disposiciones a las que está sujeta DIVERSIONES DEL ORIENTE S.A.S.
Información: Se refiere a toda comunicación o representación de conocimiento como datos, en cualquier forma, con inclusión de formas textuales, numéricas, gráficas, verbales o audiovisuales, y en cualquier medio, ya sea magnético, en papel, en pantallas de computadoras, audiovisual u otro.
Sistema de Información: Se refiere a un conjunto independiente de recursos de información organizados para la recopilación, procesamiento, mantenimiento, transmisión y difusión de información según determinados procedimientos, tanto automatizados como manuales.
Tecnología de la Información: Se refiere al hardware y software operados por DIVERSIONES DEL ORIENTE S.A.S., o por un tercero que procese información en su nombre, para llevar a cabo una función propia de DIVERSIONES DEL ORIENTE S.A.S., sin tener en cuenta la tecnología utilizada, ya se trate de computación de datos, telecomunicaciones u otro tipo.
Se entiende por evaluación de riesgos a la evaluación de las amenazas y posibles vulneraciones a la información, datos y demás, la probabilidad de que ocurran y su potencial impacto en la operación de DIVERSIONES DEL ORIENTE S.A.S.
2.3. ADMINISTRACIÓN DE RIESGOS.
Se entiende por administración de riesgos al proceso de identificación, control y minimización o eliminación, de los riesgos de seguridad que podrían afectar a la información. Dicho proceso es cíclico y debe llevarse a cabo en forma periódica.
2.4. COMITÉ DE SEGURIDAD DE LA INFORMACIÓN.
El Comité de Seguridad de la Información, es un cuerpo destinado a garantizar la seguridad de la información, y los datos personales. El comité estará integrado por un representante del departamento contable, uno del departamento jurídico, y El Oficial de Seguridad de la Información.
El Comité de Seguridad de la Información revisará anualmente la presente política, a efectos de mantenerla actualizada. Asimismo efectuará toda modificación que sea necesaria en función a posibles cambios que puedan afectar su definición, tales como cambios tecnológicos, impacto de los incidentes de seguridad, etc.
Son los bienes relacionados a un sistema de información en cualquiera de sus etapas. Ejemplos de activos son:
Información: Bases de datos y archivos, documentación de sistemas, manuales de usuario, material de capacitación, procedimientos operativos o de soporte, planes de continuidad, información archivada, resultados de proyectos de investigación, etc.
Software: Software de aplicaciones, software de sistemas, herramientas de desarrollo, etc.
Activos físicos: Computadoras, equipamiento de redes y comunicaciones, medios de almacenamiento, mobiliario, lugares de emplazamiento.
2.6. COMPROMISO DE LA GERENCIA.
La Gerencia General de DIVERSIONES DEL ORIENTE S.A.S. debe brindar evidencia de su compromiso con el establecimiento, implementación, operación, seguimiento, revisión, mantenimiento y mejora de los mecanismos para asegurar información:
· Mediante el cumplimiento de la presente política de seguridad de la información;
· Estableciendo funciones y responsabilidades de la seguridad de la información;
· Comunicando a la sociedad la importancia de cumplir los parámetros de seguridad de la información, las responsabilidades legales, y la necesidades de la mejora continua;
· Asegurando que se realizan auditorías internas.
2.7. GESTIÓN DE LOS RECURSOS.
Asegurar que la política de seguridad de la información brinde apoyo al cumplimiento de la misión y visión de DIVERSIONES DEL ORIENTE S.A.S.
Identificar y atender los requisitos legales y reglamentarios, así como las obligaciones de seguridad contractuales; mantener la seguridad suficiente mediante la aplicación correcta de todos los controles implementados; y asegurar que todo el personal tome conciencia de la importancia de la seguridad de la información.
2.8. PROCEDIMIENTO.
2.8.1. COMUNICACIÓN DE LAS POLÍTICAS DE SEGURIDAD.
El Oficial de Seguridad de la Información, consciente que los recursos de información son utilizados de manera permanente por los usuarios que acceden a diferentes servicios, definidos en este documento, ha considerado oportuno transmitir a los mismos las normas de comportamiento básicas en la utilización de los archivos físicos, equipos de cómputo y demás recursos tecnológicos y de información.
2.8.2. APLICACIÓN DE LAS POLÍTICAS DE SEGURIDAD.
Las políticas de seguridad de la información de DIVERSIONES DEL ORIENTE S.A.S. se orientan a reducir el riesgo de incidentes de seguridad y minimizar su efecto. Establecen las reglas básicas con las cuales toda la organización debe operar sus recursos tanto automatizados como manuales o físicos. El diseño de las políticas de seguridad de la información está encaminado a disminuir y eliminar factores de riesgo, principalmente la ocurrencia.
3. POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN.
DIVERSIONES DEL ORIENTE S.A.S. reconoce abiertamente la importancia de la seguridad de la información así como la necesidad de su protección para constituir un activo estratégico de la organización y todas las partes interesadas, el no uso adecuado de los activos de información puede poner en peligro la continuidad de la prestación de los servicios relacionados con el objeto social, o suponer daños significativos que afecten el normal funcionamiento de los procesos.
Los funcionarios, terceros y clientes en general deberán conocer el presente documento, normas, reglas, estándares y procedimientos que apliquen según las funciones que realicen para la sociedad, el desconocimiento que conlleve a la violación de lo anteriormente mencionado representará para la persona involucrada las sanciones disciplinarias y legales que apliquen según el incidente presentado.
Igualmente se implementarán controles de seguridad encaminados a garantizar la confidencialidad, integridad y disponibilidad de los activos de información de DIVERSIONES DEL ORIENTE S.A.S. con el objetivo de lograr un nivel de riesgo aceptable de acuerdo con la visión, misión, planeación y estrategia de la compañía, dando cumplimiento al marco jurídico aplicable.
4. MEDIDAS DE SEGURIDAD.
DIVERSIONES DEL ORIENTE S.A.S., cuenta con las medidas de protección humanas, administrativas y técnicas para otorgar seguridad a los registros, en aras de impedir su adulteración, perdida, consulta, uso o acceso no autorizado. Dichas medidas responderán a los requerimientos mínimos hechos por la legislación vigente.
4.1. DE CUMPLIMIENTO Y DISCIPLINARIAS.
Todos los colaboradores de la organización, así como los contratistas, deben cumplir y acatar las políticas y los procedimientos definidos por DIVERSIONES DEL ORIENTE S.A.S. en materia de protección y seguridad de la información. Corresponde velar por su estricto cumplimiento a la Gerencia General de DIVERSIONES DEL ORIENTE S.A.S. y al Oficial de Seguridad de la Información.
Todo incumplimiento de una política de seguridad de la información por parte de un funcionario o contratista, así como de cualquier procedimiento es causa para iniciar acciones disciplinarias y legales correspondientes, las cuales de acuerdo a su gravedad pueden suponer la terminación de la vinculación laboral del empleado o finalización del contrato con el contratista.
4.2. DE USO DE RECURSOS INFORMÁTICOS.
El uso de cualquier sistema de información y demás recursos informáticos de DIVERSIONES DEL ORIENTE S.A.S. por parte del empleado, trabajadores o contratistas, debe someterse a todas las instrucciones técnicas, que imparta la entidad.
Los recursos informáticos de DIVERSIONES DEL ORIENTE S.A.S., dispuestos para la operación de la sociedad, solo deben ser usados para fines laborales. El producto del uso de dichos recursos tecnológicos será de propiedad de DIVERSIONES DEL ORIENTE S.A.S. y estará catalogado como lo consagran las políticas de la entidad.
4.3. CONTROL DE REPRODUCIÓN.
El contenido de los documentos que contengan información con datos Personales, no podrán ser reproducidos física, ni electrónicamente, sin previa autorización de la gerencia general.
4.4. COMPROMISO DE CONFIDENCIALIDAD.
Para el uso de los recursos físicos y tecnológicos de DIVERSIONES DEL ORIENTE S.A.S., todo empleado, trabajador y contratista deberá firmar un acuerdo de confidencialidad y no divulgación, y un acuerdo de seguridad de la información en lo que respecta al tratamiento de la información de la empresa. Este compromiso será archivado en forma segura.
4.5. BASE DE DATOS.
Los datos recolectados, se encuentran en fuentes electrónicas protegidos por códigos de acceso y contraseñas; solamente la persona encargada y autorizada tiene acceso.
4.6. CONTROLES IMPLEMENTADOS EN LOS RECURSOS INFORMÁTICOS.
DIVERSIONES DEL ORIENTE S.A.S. usa controles de acceso y medidas de seguridad para proteger la confidencialidad, integridad y disponibilidad de la información manejada por computadores y sistemas de información. Para mantener estos objetivos DIVERSIONES DEL ORIENTE S.A.S. se reserva el derecho y la autoridad de: 1. Restringir o revocar los privilegios de cualquier usuario; 2. Inspeccionar, copiar, remover cualquier dato, programa u otro recurso que vaya en contra de los objetivos antes planteados; y, 3. Tomar cualquier medida necesaria para manejar y proteger los sistemas de información.
4.7. ACCESO NO AUTORIZADO A LOS SISTEMAS DE INFORMACIÓN.
Está totalmente prohibido obtener acceso a sistemas de información no autorizados, y de alguna forma dañar o alterar la operación de dichos sistemas. Esto implica la prohibición de capturar contraseñas, llaves de encripción y otros mecanismos de control de acceso que le puedan permitir obtener ingreso a sistemas no autorizados.
4.8. AUTORIZACIÓN PARA EL TRASLADO DE EQUIPOS.
Ningún equipo de cómputo debe ser reubicado o trasladado dentro o fuera de las instalaciones de DIVERSIONES DEL ORIENTE S.A.S. sin previa autorización. Así mismo, ningún equipo de cómputo debe ser reubicado o trasladado de las instalaciones a la cual fue asignado. El traslado de los equipos se debe hacer con las medidas de seguridad necesarias, por el personal de sistemas autorizado.
4.9. CONTROL DE RECURSOS INFORMÁTICOS.
Cuando un trabajador inicie su relación laboral con DIVERSIONES DEL ORIENTE S.A.S. se debe diligenciar el documento de entrega de inventario, y el respectivo acuerdo de confidencialidad.
De igual manera, cuando un empleado termine su vinculación laboral con DIVERSIONES DEL ORIENTE S.A.S., sea trasladado a otra dependencia o por alguna otra circunstancia deje de utilizar el computador personal o el recurso tecnológico suministrado con carácter permanente, deberá hacerse una validación de lo entregado contra lo registrado en el formato de descargue de inventario. El empleado será responsable de los deterioros o daños que por su negligencia haya ocasionado a los equipos de hardware.
4.10. PROTECCIÓN POR DEFECTO DE COPYRIGHT.
Todos los colaboradores de DIVERSIONES DEL ORIENTE S.A.S. deben revisar, e investigar los derechos de propiedad intelectual para todo material como libros, artículos, informes, imágenes, software y/o sitio Web encontrado en Internet antes de ser usado para cualquier propósito con el fin de asegurar el cumplimiento de las leyes que aplican para este tipo de información.
4.11. CUSTODIA DE LICENCIAS DE SOFTWARE.
Las licencias de software adquiridas por DIVERSIONES DEL ORIENTE S.A.S. deben ser custodiadas y controladas por el área de sistemas de la sociedad. Esta área debe realizar auditorías de licencia de software como mínimo una vez al año, generando las evidencias respectivas, lo anterior para garantizar que los funcionarios solo tengan instalado software legal y autorizado por DIVERSIONES DEL ORIENTE S.A.S.
El Coordinador de Sistemas de DIVERSIONES DEL ORIENTE S.A.S. debe realizar actividades de monitoreo sobre el software instalado en cada uno de los equipos de la organización, lo anterior para asegurar que los programas instalados correspondan correctamente con las licencias adquiridas por la empresa.
5. POLÍTICAS DE USO DE LA INFORMACIÓN.
DIVERSIONES DEL ORIENTE S.A.S. podrá divulgar la información de una persona almacenada en los sistemas físicos o automatizados dispuestos, de acuerdo con la autorización suscrita por él mismo, por disposición legal, por solicitud de autoridad judicial o administrativa salvo las excepciones indicadas en este documento y las disposiciones legales de protección de datos personales. Se deja claridad que la información proveniente de las actividades desarrolladas por DIVERSIONES DEL ORIENTE S.A.S. en ejercicio y cumplimiento de su objeto social, es administrada y conservada, observando las disposiciones propias del régimen de protección de datos personales, garantizando la privacidad de la información, previamente clasificada, salvo autorización del titular de la misma para su divulgación.
5.1. TRANSPORTE DE DATOS SENSIBLES EN MEDIOS LEGIBLES.
Si se transporta información sensible en medios legibles magnéticos (disquetes, cintas magnéticas, CD´s, memorias USB), la información deberá ser encriptada, siempre y cuando el receptor acepte el intercambio de datos cifrados. Para equipos portátiles este tipo de información es asegurada mediante una aplicación de cifrado.
5.2. DATOS SENSIBLES ENVIADOS A TRAVÉS DE REDES EXTERNAS DEBEN ESTAR ENCRIPTADOS.
Si se ha de transmitir datos sensibles a través de cualquier canal de comunicación externo, dichos datos deben ser enviados en forma encriptada, siempre y cuando el receptor tenga los recursos necesarios y acepte el intercambio de datos cifrados.
5.3. DESTRUCCIÓN SEGURA DE DOCUMENTOS.
Cualquier documento físico y electrónico que haya sido considerado y clasificado de carácter confidencial y que necesite ser destruido, debe realizarse en la respectiva máquina destruye papel o cualquier otro método seguro de destrucción, en forma segura.
6. POLÍTICAS DEL USO DE INTERNET Y CORREO ELECTRÓNICO.
6.1. PROHIBICIÓN DE USO DE INTERNET PARA PROPÓSITOS PERSONALES.
Para los funcionarios directos de DIVERSIONES DEL ORIENTE S.A.S. vinculados mediante contrato de trabajo que atienden funciones de oficina, el uso de Internet está ceñido a las páginas requeridas para realizar los trámites a su cargo, propios del cargo desempeñado, es de anotar que cualquier otro tipo de consulta está prohibida.
6.2. FORMALIDAD DEL CORREO ELECTRÓNICO.
Toda comunicación a través del correo electrónico interno se considera una comunicación de tipo laboral y formal, por tanto podrá ser supervisada por el superior inmediato del empleado.
6.3. PREFERENCIA POR EL USO DEL CORREO ELECTRÓNICO.
Debe preferirse el uso del correo electrónico al envío de documentos físicos siempre que las circunstancias lo permitan.
6.4. USO DE CORREO ELECTRÓNICO.
La cuenta de correo asignada es de carácter individual por lo cual ningún empleado de DIVERSIONES DEL ORIENTE S.A.S. bajo ninguna circunstancia debe usar la cuenta de otro empleado.
6.5. REVISIÓN DEL CORREO ELECTRÓNICO.
Todos los empleados de DIVERSIONES DEL ORIENTE S.A.S. que dispongan de correo electrónico están en la obligación de revisarlo al menos tres veces diarias. Así mismo, es su responsabilidad mantener espacio libre en el buzón.
6.6. MENSAJES PROHIBIDOS.
Se prohíbe el uso del correo electrónico con fines religiosos, políticos, lúdicos o personales o en beneficio de terceros, o que vulnere los derechos fundamentales de las personas. Por tanto, está prohibido el envío, reenvío o en general cualquier otra conducta tendiente a la transmisión de mensajes humorísticos, pornográficos, en cadena, publicitarios y en general cualquier otro mensaje ajeno a los fines laborales sin importar si son de solo texto, audio, video o una combinación de los tres.
6.7. ACCIONES PARA FRENAR EL SPAM.
En el caso de recibir un correo no deseado y no solicitado (también conocido como SPAM), el funcionario debe abstenerse de abrirlo y avisar inmediatamente al área de sistemas.
6.8. ENVÍO DE SOFTWARE E INFORMACIÓN SENSIBLE A TRAVÉS DE INTERNET.
Todo Software e información sensible de DIVERSIONES DEL ORIENTE S.A.S. que requiera ser enviado por Internet debe transmitirse con la mayor seguridad posible acordada entre las partes.
6.9. INTERCAMBIO DE INFORMACIÓN A TRAVÉS DE INTERNET.
La información interna puede ser intercambiada a través de Internet pero exclusivamente para propósitos laborales, con la debida aprobación y usando los mecanismos de seguridad apropiados.
7. POLÍTICAS DE SITIOS WEB DE DIVERSIONES DEL ORIENTE S.A.S.
7.1. PROHIBICIÓN DE PUBLICITAR LA MARCA, LOGO O IMAGEN DE DIVERSIONES DEL ORIENTE S.A.S. EN SITIOS DIFERENTES A LOS INSTITUCIONALES.
La publicación de logos, marcas o cualquier tipo de información de DIVERSIONES DEL ORIENTE S.A.S. o sus actividades en Internet, solo podrá ser realizada a través de las páginas institucionales de la misma. En consecuencia, se encuentra terminantemente prohibido el manejo de esta información en páginas personales de los empleados.
7.2. PROHIBICIÓN ESTABLECER CONEXIONES A LOS SITIOS WEB DE DIVERSIONES DEL ORIENTE S.A.S.
Está prohibido establecer enlaces o cualquier otro tipo de conexión a cualquiera de los sitios Web de DIVERSIONES DEL ORIENTE S.A.S. por parte de los empleados y de sus sitios Web o páginas particulares, salvo previa autorización de la Gerencia General, dependiendo del caso. Particularmente se encuentra prohibido el establecimiento de links o marcos electrónicos, y la utilización de nombres comerciales o marcas de propiedad de DIVERSIONES DEL ORIENTE S.A.S. en sitios diferentes a los institucionales o como meta-etiquetas.
7.3. PROHIBICIÓN DE ANUNCIOS EN SITIOS WEB PARTICULARES.
Está terminantemente prohibido anunciarse en los sitios Web particulares como empleados de DIVERSIONES DEL ORIENTE S.A.S. o como sus representantes, o incluir dibujos o crear diseños en los mismos que lleven al visitante del sitio Web a pensar que existe algún vínculo con DIVERSIONES DEL ORIENTE S.A.S.
8. POLÍTICAS DE LA GERENCIA GENERAL.
8.1. EVALUACIÓN Y TRATAMIENTO DEL RIESGO.
La evaluación de riesgos debe identificar, cuantificar y priorizar los riesgos frente a los criterios de aceptación del riesgo y los objetivos pertinentes para la organización. Los resultados deben guiar y determinar la acción de gestión adecuada y las prioridades tanto para la gestión de los riesgos de seguridad de la información como para implementar los controles seleccionados para la protección contra estos riesgos.
Se deberá realizar una evaluación de los riesgos asociados a DIVERSIONES DEL ORIENTE S.A.S. una vez al mes.
8.2. LOS COMPUTADORES MULTIUSUARIO Y SISTEMAS DE COMUNICACIÓN DEBEN TENER CONTROLES DE ACCESO FÍSICO APROPIADOS.
Todos los computadores multiusuario, equipos de comunicaciones, otros equipos que contengan información sensible y el software licenciado de DIVERSIONES DEL ORIENTE S.A.S. deben ubicarse en centros de cómputo con puertas cerradas y controles de acceso físico apropiados.
8.3. PERSONAL COMPETENTE EN EL CENTRO DE CÓMPUTO PARA DAR PRONTA SOLUCIÓN A PROBLEMAS.
Con el fin de garantizar la continuidad de los sistemas de información, DIVERSIONES DEL ORIENTE S.A.S. debe contar con personal técnico competente que pueda detectar problemas y buscar la solución de una forma eficiente.
8.4. CHEQUEO DE VIRUS EN ARCHIVOS RECIBIDOS.
DIVERSIONES DEL ORIENTE S.A.S. debe procurar y disponer de los medios para que todos los archivos descargados de Internet sean chequeados por un software de detección de virus informático, antes de ser transferidos a los computadores de los usuarios.
8.5. REGISTROS DE AUDITORÍA EN SISTEMAS QUE MANEJAN INFORMACIÓN SENSIBLE.
Todo sistema que maneje información sensible para DIVERSIONES DEL ORIENTE S.A.S. debe generar registros de auditoría que guarden toda modificación, adición y eliminación de dicha información.
8.6. LOS REGISTROS DEL SISTEMA DEBEN INCLUIR EVENTOS RELEVANTES PARA LA SEGURIDAD.
Los sistemas de computación que manejan información sensible deben registrar todos los eventos de seguridad relevantes. Ejemplos de eventos de seguridad relevantes son: intentos de adivinación de contraseñas, intentos de uso de privilegios no otorgados, modificaciones a la aplicación y modificaciones al sistema.
8.7. RESISTENCIA DE LOS REGISTROS CONTRA DESACTIVACIÓN, MODIFICACIÓN Y ELIMINACIÓN.
Los mecanismos para detectar y registrar eventos de seguridad informática significativos deben ser resistentes a ataques, en los sistemas que permitan dicha configuración. Estos ataques incluyen intentos por desactivar, modificar o eliminar el software de registro y/o los registros mismos.
8.8. ACCESO A TERCEROS A LOS SISTEMAS DE LA ENTIDAD.
Antes de otorgarle acceso a un tercero a los recursos tecnológicos de DIVERSIONES DEL ORIENTE S.A.S. se requiere la firma del acuerdo de confidencialidad, y de un acuerdo de autorización de la Gerencia General.
8.9. CONFIDENCIALIDAD EN LA INFORMACIÓN RELACIONADA CON INVESTIGACIONES INTERNAS.
Hasta que no se hayan presentado cargos o se haya tomado alguna acción disciplinaria, toda investigación relacionada con abusos de los recursos tecnológicos o actividad ilícita debe ser confidencial para mantener la reputación del empleado.
8.10. MANTENIMIENTO DE LOS SISTEMAS.
Se debe realizar periódicamente el mantenimiento en las bases de datos, antivirus, servidores de correo y servicios de DIVERSIONES DEL ORIENTE S.A.S.
8.11. VERIFICACIÓN FÍSICA DE EQUIPOS CRÍTICOS.
Se debe verificar periódicamente el estado físico de los quipos de cómputo críticos.
8.12. SERVICIOS DE RED.
Se debe garantizar que el servicio de red utilizado por DIVERSIONES DEL ORIENTE S.A.S. se encuentre disponible y operando adecuadamente, el administrador del sistema o una persona autorizada por el comité de seguridad puede efectuar escaneos de la red con la finalidad de: resolver problemas de servicio, como parte de las operaciones normales del sistema y del mantenimiento, para mejorar la seguridad de los sistemas o para investigar incidentes de seguridad.
9. POLÍTICAS PARA FUNCIONARIOS O CLIENTES EXTERNOS.
DIVERSIONES DEL ORIENTE S.A.S. asume que todos los clientes que usan Internet para establecer relación con DIVERSIONES DEL ORIENTE S.A.S. aceptan los términos y condiciones impuestos por DIVERSIONES DEL ORIENTE S.A.S. en el uso del portal de internet, antes de realizarse cualquier trámite.
9.1. ACUERDOS CON TERCEROS QUE MANEJAN INFORMACIÓN O CUALQUIER RECURSO INFORMÁTICO.
Todos los acuerdos relacionados con el manejo de información o de recursos de informática de DIVERSIONES DEL ORIENTE S.A.S. por parte de terceros, deben incluir una cláusula especial que involucre confidencialidad y derechos reservados. Esta cláusula debe permitirle a DIVERSIONES DEL ORIENTE S.A.S. ejercer auditoría sobre los controles usados para el manejo de la información y específicamente de cómo será protegida la información de DIVERSIONES DEL ORIENTE S.A.S.
9.2. DEFINICIÓN CLARA DE LAS RESPONSABILIDADES DE SEGURIDAD INFORMÁTICA DE TERCEROS.
Socios, proveedores, clientes y otros asociados a los negocios de DIVERSIONES DEL ORIENTE S.A.S. deben tener conocimiento de sus responsabilidades relacionadas con la seguridad de la información y esta responsabilidad se debe ver reflejada en los contratos con DIVERSIONES DEL ORIENTE S.A.S. y verificada por la Gerencia General.
10. ACTUALIZACIÓN, MANTENIMIENTO Y DIVULGACIÓN DE LAS POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN.
El presente documento se debe revisar a intervalos de seis meses o cuando se produzcan cambios significativos, para garantizar que sigue siendo adecuada, suficiente y eficaz.
El Oficial de Seguridad de la Información será responsable de la efectiva comunicación a todos los empleados y partes externas pertinentes. El mecanismo de notificación y divulgación de los cambios realizados a la política de seguridad de la información será mediante correo electrónico.
10.1. OFICIAL DE SEGURIDAD DE LA INFORMACIÓN
El Oficial de Seguridad de la Información tendrá las siguientes funciones:
· Identificar y satisfacer las necesidades de capacitación en temas de seguridad de la información a los funcionarios de DIVERSIONES DEL ORIENTE S.A.S.
· Actualización y seguimiento periódico al mapa de riesgos de DIVERSIONES DEL ORIENTE S.A.S., validando con cada proyecto que se implemente como afecta el mapa de riesgos y tomando siempre como base este mapa para cualquier proyecto nuevo que se implemente.
· Crear y establecer una metodología de clasificación de la información según su importancia e impacto dentro de DIVERSIONES DEL ORIENTE S.A.S.
· Crear y mantener un Programa de Concienciación en seguridad de la información.
· Evaluar en forma continua la efectividad de la seguridad de la información de la organización con el propósito de identificar oportunidades de mejoramiento y necesidades de capacitación.
· Revisión y valoración de la Política de Seguridad de la Información.
· Reportar a la Gerencia General el estado de la seguridad y protección de la información en la compañía y la necesidad de nuevos proyectos en temas de seguridad de la información.
· Establecer y respaldar los programas de concientización de DIVERSIONES DEL ORIENTE S.A.S. en materia de seguridad y protección de la información
· Promover explícitamente el apoyo institucional a la seguridad de la información en toda la organización.
· Supervisar y controlar los cambios significativos en la exposición de los activos de información a las principales amenazas.
· Revisar y seguir los incidentes de seguridad de la información.
11. PROCEDIMIENTO PARA EJERCER LOS DERECHOS POR PARTE DE LOS TITULARES.
En caso de que desee ejercer sus derechos, el Titular deberá enviar un correo electrónico o físico a las siguientes direcciones de contacto:
Domicilio: NATURA ECOPARQUE EMPRESARIAL TORRE 3 OF 450
Teléfono: (+7) 6797089
Correo electrónico: seguridad.informacion@diversionesdeloriente.com
Sitio web: www.diversionesdeloriente.com
11.1. PROCEDIMIENTO DE CONSULTAS SOBRE DATOS PERSONALES.
Cuando el Titular de los datos o sus causahabientes deseen consultar la información que reposa en la base de datos, DIVERSIONES DEL ORIENTE S.A.S. responderá la solicitud en plazo de máximo diez (10) días. En cumplimiento a lo dispuesto en la Ley 1581 de 2012, cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, se le expresará los motivos de la demora y se le señalará la fecha en que se atenderá su consulta, la cual no podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.
11.2. PROCEDIMIENTO DE RECLAMOS.
Cuando el Titular o causahabiente que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando advierta el presunto incumplimiento de cualquiera de los deberes contenidos en la ley 1581 de 2012, podrán presentar un reclamo ante DIVERSIONES DEL ORIENTE S.A.S., el cual será́ tramitado bajo las siguientes reglas:
– El reclamo se formulará mediante solicitud dirigida a DIVERSIONES DEL ORIENTE S.A.S. con la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección de correo electrónico, y se anexarán los documentos que se quiere hacer valer.
– Si el reclamo resulta incompleto, DIVERSIONES DEL ORIENTE S.A.S. podrá requerir al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas.
– Transcurrido dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá́ que ha desistido del reclamo.
– En caso de que DIVERSIONES DEL ORIENTE S.A.S. no sea competente para resolver el reclamo, dará́ traslado a quien corresponda en un término máximo de dos (2) días hábiles e informara de la situación al Titular.
– El término máximo para atender el reclamo será́ de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo.
– Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al Titular los motivos de la demora y la fecha en que se atenderá́ su reclamo, la cual en ningún caso podrá́ superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
– El Titular o causahabiente podrá́ elevar queja ante la Superintendencia de Industria y Comercio, una vez haya agotado el trámite de consulta o reclamo ante el Responsable del Tratamiento.
11.3. PROCEDIMIENTO DE LA AUTORIZACIÓN Y/O SUPRESIÓN
Los Titulares podrán en todo momento solicitar a DIVERSIONES DEL ORIENTE S.A.S. la supresión de sus datos Personales y/o revocar la autorización otorgada para el Tratamiento de los mismos, mediante la presentación de un reclamo, de acuerdo con lo establecido en el artículo 15 de la Ley 1581 de 2012, el decreto 1377 de 2013 y el Procedimiento indicado en esta Política. Si vencido el término legal respectivo, DIVERSIONES DEL ORIENTE S.A.S. no hubiere eliminado los datos personales, el Titular tendrá́ derecho a solicitar a la Superintendencia de Industria y Comercio que ordene la revocatoria de la autorización y/o la supresión de los datos personales.
La solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el Titular tenga un deber legal, contractual o comercial de permanecer en la base de datos.
12. PERIODO DE VIGENCIA DE LAS BASES DE DATOS
Los datos personales incorporados en las Bases de Datos estarán vigentes durante el plazo necesario para cumplir sus finalidades.
13. CAMBIOS EN LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
Cualquier cambio sustancial en la presente Política de Seguridad de la Información, será comunicado oportunamente a los Titulares mediante la publicación en nuestros portales web.
14. VIGENCIA DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
La presente Política de Seguridad de la Información es efectiva desde la fecha de su publicación.
Notifíquese, comuníquese y cúmplase.