POLÍTICA DE TRATAMIENTO DE LA INFORMACIÓN 1

Transcripción

POLÍTICA DE TRATAMIENTO DE LA INFORMACIÓN
1. OBJETIVO
Establecer las diferentes políticas y procedimientos necesarios para proteger, salvaguardar y
administrar la información de bases de datos conforme a la Ley estatutaria 1581 de 2012 y
decreto 1377 de 2013
2. ALCANCE
Aplica para todas las bases de datos que emiten los clientes de la compañía y para los registros
que se capturan en el momento que se digita la correspondencia para la generación de guías.
3. DEFINICIÓN
 Capigono: Sistema de información web encargado de almacenar la información referente
a todos los envíos que llegan a la compañía.
 Integridad: La información sólo puede ser modificada por quien está autorizado.
 Confidencialidad: La información sólo debe estar disponible y ser legible para los
autorizados.
 Disponibilidad: Cuando se necesite el sistema, recurso o servicio, se encuentre listo para
su uso u operación. Evidencia de operaciones o del uso: Es la existencia de registros donde
se pueda realizar verificaciones
 Aviso de privacidad: Comunicación verbal o escrita generada por el Responsable, dirigida
al Titular para el Tratamiento de sus datos personales, mediante la cual se le informa
acerca de la existencia de las políticas de Tratamiento de información que le serán
aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se
pretende dar a los datos personales.
 Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados
datos públicos, entre otros, los datos relativos al estado civil de las personas, a su
Cualquier impresión o copia tomada de este documento se considera como COPIA NO CONTROLADA
El contenido de este documento es de propiedad y de uso exclusivo de DOMINA ENTREGA TOTAL S.A.S
profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza,
los datos públicos pueden estar contenidos, entre otros, en registros públicos,
documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente
ejecutoriadas que no estén sometidas a reserva.
 Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del
Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que
revelen el origen racial o étnico, la orientación política, las convicciones religiosas o
filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o
que promueva intereses de cualquier partido político o que garanticen los derechos y
garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la
vida sexual, y los datos biométricos.
 Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado
del Tratamiento de datos personales, ubicado en Colombia, envía la información o los
datos personales a un receptor, que a su vez es Responsable del Tratamiento y se
encuentra dentro o fuera del país.
 Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos
dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la
realización de un Tratamiento por el Encargado por cuenta del Responsable.
 Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí
misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del
Responsable del Tratamiento.
 Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí
misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los
datos.
4. CONSIDERACIONES GENERALES

Domina Entrega Total S.A.S no tiene vínculo directo con los destinatarios a los cuales se les
entrega la correspondencia ya que este servicio se cataloga como público, la mayor parte de
las bases de datos provienen de clientes que hacen envíos de forma masiva de acuerdo a la
naturaleza del servicio que ofrecen.
5. RECURSOS
 Elementos de oficina.
 Software
 Hardawre
 Internet
 Computadores
6. PROCEDIMIENTO PARA LA MANIPULACIÓN DE INFORMACIÓN.
No. Actividad
Responsable
Procedimiento, Control de Registros y/o Referencias
El área de analistas de información cuenta con los
Recepcion
procesamiento
y Empleado
de interno
aplicativos pertinentes para el cifrado y desencripción
de información de acuerdo a las necesidades del cliente.
bases de datos
Las bases de datos son procesadas en el sistema de
1
información CAPIGONO son borradas con el aplicativo
ERASER para borrado seguro
1. Se selecciona el archivo plano
2. Clic derecho
3. Selecciónanos la opción ERASER
4. Seleccionamos la opción que dice ERASER
Nota: De igual forma se tiene programada una tarea
para que diariamente ejecute un vaciado de la papelera
de reciclaje.
Las bases de datos son visualizadas por 2 personas:
Analista de información y área de impresión, en las dos
áreas ejecutan este tipo de labores.
Reenvío interno de
bases de datos
Todas las bases de datos o información confidencial es
Empleado
2
enviada de forma encriptada.
interno
El área de analistas de información e informática son
Borrado
3
de Empleado
información
encargados de borrar de forma mensual la información
Interno.
de manera local que contenga datos confidenciales.
Borrado permanente
de información
4
La compañía cuenta con un software para el borrado
Director
de seguro de información con el fin de hacer irrecuperable
sistemas
y esta misma.
empelados
internos
Este proceso se ejecuta diariamente en las estaciones
de trabajo.
5
Actualización
Actualizadores
Todo el proceso de actualización de datos es grabado y
telefónica de datos
de datos
monitoreado, ya que se cuenta con una planta de voz
digital.
Este proceso se permite para llamadas desde fijos y
celulares.
Aplica para los clientes que soliciten el servicio, bajo
ninguna razón se realiza actualización de datos
telefónica sin autorización del cliente remitente de la
base de datos.
6
Estudio crediticio y Recursos
Al personal administrativo de la compañía involucrado
antecedentes
en el proceso se le hace este tipo de estudios.
de Humanos
personal involucrado
7
8
Auditorias aleatorias Director
de De forma aleatoria se realizan auditorías a los equipos
a los equipos de sistemas
de
computo
cumplimiento de las políticas de seguridad.
Acuerdos
cómputo
de
la
compañía
para
validar
el
de Recursos
El área de recursos humanos cuenta con los acuerdos
Humanos
de confidencialidad pertinentes de acuerdo a las
confidencialidad
necesidades del cliente.
9
Capacitaciones
referentes
10
a
Bienestar laboral El área de bienestar cuenta con un cronograma de
la
capacitaciones el cual incluye temáticas referentes a la
seguridad
seguridad
informática
confidencialidad de la información, SARO.
Impresión de guías
Empleado
informática,
administración
y
Las guías requeridas para el proceso de distribución son
Interno
de impresas acorde a las exigencias del cliente en lo
Domina
referente a la seguridad, por tal razón no se incluyen
datos confidenciales como:
 Números de cuenta
 Cédula
 Teléfonos celulares.
 Estados de cuenta.
 Tendencias religiosas.
 Género.
 Edad.
Por exigencia del ministerio se incluye en las guías
 Remitente
 Destinatario
 Ciudad
 Departamento
 Dirección.
11
Movimiento
traslado de equipos
y Director
de Todos los equipos que son trasladados a otras áreas se
sistemas
les hace borrado de información e instalación del
sistema operativo con el software DBAN, el cual se
detalla en al manual de Hardening de la empresa.
12
Validación de virus y Analista
software
malicioso informacion
en la información.
de La compañía cuenta con sistemas antivirus para la
detección y eliminación de software malicioso (
ENDPOINT ) el cual mantiene en ejecución en tiempo
real para monitorear los archivos que entran y salen del
equipo.
Para la detección de informacion con virus o maliciosa
se tiene programadas tareas de vacunación de forma
semanal en todas las estaciones de trabajo.
En caso de encontrase alguna anomalía en la
informacion
proporcionada
por
el
cliente,
se
retroalimentará dicha novedad
13
Firewall local para Director
las
estaciones
de sistemas
trabajo
14
Aplicaciones
de El software antivirus funciona como un ENDPOINT el
cual detecta el momento en el que una conexión a
puertos externos es solicitada.
Director
de Las estaciones de trabajo cuentan con las diferentes
ejecutables en las sistemas
políticas para prevenir la fuga de informacion entre las
estaciones
cuales se resaltan
de
trabajo vinculadas a
 Bloque de aplicaciones no permitidas
la operación
 Bloque de panel de control
 Bloqueo de opción ejecutar
 Bloqueo al almacenamiento en el disco duro
15.
Manual de Políticas Director
de seguridad
de La compañía cuenta con manual de políticas de
sistemas
seguridad de la información donde se estipulan las
diferentes políticas y procedimientos asociados al
tratamiento y protección de las bases de datos.
CLASIFICACIÓN DE LA INFORMACIÓN
Tipo
de
informacion
Informaci
Se maneja ( Lugar donde se
si/no)
almacena
Requiere
encripción ( Si /
No )
Proceso
de
destrucción
on
confidenci
al
SI / NO
La información
Bases de datos
Si
Motor de bases
digital
de
destruye cada
datos
postgres.
Si
se
6 meses y se
borra
Correo
localmente
electrónico
con aplicativo
ERASER
para
eliminar
de Si
forma
definitiva
la
información.
Listados
No
No aplica
No Aplica
Extractos
No
Si
Se
tiene
convenio
con
empresa para Si
la recolección
Si
Archivo
No
y
destrucción
de
las
devoluciones
del producto.
Guías físicas.
Destrucción
SI
Archivo general No
física
SI
de la
papelería.
Informes
de
gestión.
Destrucción
SI
Servidor
SI
SI
mediante
borrado
seguro.
Discos duros.
SI
Copias
de
seguridad.
SI
Área
de
informática
Por fuera de la
compañía.
Destrucción
No
mecánica
SI
de
los mismos.
SI
Destrucción
física
SI
de la
papelería.
Hojas de vida.
Archivo
SI
de
recursos
Destrucción
No
humanos
Acuerdos
de
confidencialidad.
Archivo
SI
de
recursos
de
trabajo
Archivo
SI
Destrucción
No
de
recursos
de
clientes externos.
Acuerdos
servicio.
Archivo
SI
Archivo
SI
de la
Destrucción
No
física
SI
de la
papelería.
del
área comercial
de
física
SI
papelería.
humanos
Contratos
de la
papelería.
humanos
Contratos
física
SI
del
área comercial
Destrucción
No
física
SI
de la
papelería.
Destrucción
No
física
SI
de la
papelería.
Nota: La información física como son extractos, devoluciones, pruebas de entrega y archivo
contable histórico
son almacenados en el archivo de la compañía mientras se autoriza la
destrucción del mismo.
Autorización para el Tratamiento de datos personales sensibles.
La compañía cuenta con dos fuentes de información para el tratamiento de bases de datos:
 Cliente Corporativo: Son aquellos clientes que envían de manera masiva la
correspondencia para ser distribuida por Domina entrega total S.A.S, las bases de datos
que son transmitidas por ellos son creadas, actualizadas y administradas por el cliente, la
autorización para la manipulación de la información de los destinatarios se encuentra bajo
la responsabilidad del cliente.
 Cliente Directo: Son aquellos clientes naturales que llegan a las instalaciones de Domina
para realizar el envío de correspondencia unitaria
Modo de obtener la autorización
Domina notifica a los clientes directos asociados a la distribución, la autorización para el
tratamiento de datos personales sensibles mediante correo electrónico.
Prueba de la autorización.
Tácitamente se sume autorización para el tratamiento de información por parte del cliente, salvo
que el usuario manifieste lo contrario vía correo electrónico o mediante otro medio de
comunicación.
TRATAMIENTO DE LA INFORMACIÓN.
Domina Entrega Total S.A.S, hace uso de la información emitida por los clientes solo para
procesos de distribución acordes a la normatividad vigente en materia postal, para tal efecto se
realizan las siguientes actividades:
 Impresión de guías ( cuando corresponda )
 Almacenamiento de la información de correspondencia de acuerdo a la CRC
 Realización de informes de gestión de acuerdo a las necesidades del cliente externo.
 Bajo ninguna circunstancia Domina Entrega Total S.A.S hace uso inapropiado ( envío de
publicidad, mensajes de texto, correos electrónicos masivos, entre otros ) de las bases de
datos emitidas por los clientes
ENCARGADO DEL TRATAMIENTO DE LA INFORMACIÓN.
La persona designada como responsable del tratamiento de la información es el director de
sistemas de la compañía
RESPONSABLE DEL TRATAMIENTO DE LA INFORMACIÓN.
Son aquellos clientes que envían de manera masiva la correspondencia para ser distribuida por
Domina entrega total S.A.S, las bases de datos que son transmitidas por ellos son creadas,
actualizadas y administradas por el cliente, la autorización para la manipulación de la información
de los destinatarios se encuentra bajo la responsabilidad del cliente.
RAZÓN SOCIAL: Domina Entrega Total S.A.S
DOMICILIO: Cr 76 #43-24, Medellin
EMAIL: [email protected]
NOMBRE DEL RESPONSABLE: Mario Alonso Agudelo
TELÉFONO DEL RESPONSABLE: (4) 430 20 20 / 4147
RESPONSABLE DE PETICIONES QUEJAS Y RECLAMACIONES
Domina Entrega Total S.A.S, cuenta con el área de servicio al cliente nacional con domicilio en
Medellin la cual se encarga de tramitar de manera interna y externa las diferentes peticiones,
quejas y reclamos que surjan. Se tiene un procedimiento interno para dar gestión a las diferentes
novedades presentadas mediante los diferentes medios de comunicación (email, pagina web,
carta física y llamada telefónica).
DATOS DE CONTACTO DEL RESPONSABLE DE PQR
NOMBRE: Laura Catalina Patiño
TELÉFONO: (4) 430 20 20 / 4161
DIRECCIÓN: Cr 76 #43-27, Medellin
EMAIL: [email protected]
FECHA DE ENTRADA EN VIGENCIA DE LA POLÍTICA DE TRATAMIENTO DE LA INFORMACIÓN
A partir del 27 de Junio del 2013 (fecha en la cual fue publicada en el diario oficial), entra en
vigencia la política para el tratamiento de la información, el periodo de vigencia para el
tratamiento de las bases de datos se encuentra directamente relacionado con la normatividad
vigente en materia postal.
DERECHOS DE LOS TITULARES PARA EL TRATAMIENTO DE INFORMACIÓN
a) Conocer, actualizar y rectificar sus datos personales frente a los Responsables del Tratamiento
o Encargados del Tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales,
inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté
expresamente prohibido o no haya sido autorizado;
b) Solicitar prueba de la autorización otorgada al Responsable del Tratamiento salvo cuando
expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en
el artículo 10 de la presente ley;
c) Ser informado por el Responsable del Tratamiento o el Encargado del Tratamiento, previa
solicitud, respecto del uso que le ha dado a sus datos personales;
d) Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo
dispuesto en la presente ley y las demás normas que la modifiquen, adicionen o complementen;
e) Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se
respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o
supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que
en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias a esta ley y a
la Constitución;
f) Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento.
PROCEDIMIENTO PARA QUE LOS TITULARES DE LA INFORMACIÓN PUEDAN EJERCER LOS
DERECHOS A CONOCER, ACTUALIZAR, RECTIFICAR Y SUPRIMIR INFORMACIÓN Y REVOCAR LA
AUTORIZACIÓN:
El procedimiento para que los titulares puedan ejercer sus derechos a conocer, actualizar,
rectificar y suprimir información y revocar la autorización es el siguiente:
Los Titulares o sus causahabientes podrán consultar la información personal del Titular que
repose en la base de datos de DOMINA ENTREGA TOTAL S.A.S suministrará a estos toda la
información contenida en el registro individual o que esté vinculada con la identificación del
Titular.
La consulta se formulará mediante comunicación escrita que se radicará en las oficinas de la
DOMINA ENTREGA TOTAL S.A.S o también se podrá realizar mediante correo electrónico dirigido
a la dirección “[email protected]”
La consulta será atendida en un término máximo de diez (10) días hábiles contados a partir de la
fecha de recibo de la misma. Cuando no fuere posible atender la consulta dentro de dicho
término se informará al interesado, expresando los motivos de la demora y señalando la fecha en
que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles
siguientes al vencimiento del primer término.
El Titular o sus causahabientes que consideren que la información contenida en la base de datos
de DOMINA ENTREGA TOTAL S.A.S. debe ser objeto de corrección, actualización o supresión, o
cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la ley,
podrán presentar el correspondiente reclamo ante la DOMINA ENTREGA TOTAL S.A.S el cual será
tramitado bajo las siguientes reglas:
1. El reclamo se formulará mediante solicitud dirigida a DOMINA ENTREGA TOTAL S.A.S, con
la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la
dirección, y acompañando los documentos que se quiera hacer valer. Si el reclamo resulta
incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción
del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del
requerimiento, sin que el solicitante presente la información requerida, se entenderá que
ha desistido del reclamo.
En caso de que la DOMINA ENTREGA TOTAL S.A.S. no sea competente para resolver el
reclamo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles
e informará de la situación al interesado.
2. Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga
"reclamo en trámite" y el motivo del mismo, en un término no mayor a dos (2) días
hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.
3. El término máximo para atender el reclamo será de quince (15) días hábiles contados a
partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo
dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en
que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles
siguientes al vencimiento del primer término.
El Titular o causahabiente sólo podrá elevar queja ante la Superintendencia de Industria y
Comercio una vez haya agotado el trámite de consulta o reclamo ante el Responsable del
Tratamiento o Encargado del Tratamiento.
La información solicitada podrá ser suministrada por cualquier medio, incluyendo los electrónicos,
según lo requiera el Titular. La información deberá ser de fácil lectura, sin barreras técnicas que
impidan su acceso y deberá corresponder en un todo a aquella que repose en la base de datos.
DOMINA ENTREGA TOTAL S.A.S. procederá a la supresión de los datos personales en su posesión.
No obstante lo anterior, los datos personales deberán ser conservados cuando así se requiera
para el cumplimiento de la normatividad en materia postal.
|
DOCUMENTOS DE CONSULTA Y/O REFERENCIA INTERNA
 Normas de Seguridad informática
 Procedimiento de Impresión
 Procedimiento administración de llaves de seguridad
 Procedimiento para el cifrado de información
 Hardening de Equipos de Computo
 Decreto 1377 de 2013
 Ley 1581 de 2012

POLÍTICA DE TRATAMIENTO DE LA INFORMACIÓN 1

Transcripción

Documentos relacionados

- El Formulario debe llenarse por completo antes de ser enviado