Política de seguridad de la información
1. Objetivo:
2. Alcance:
3. Principios de seguridad
- Confidencialidad: Toda información compartida debe ser utilizada exclusivamente para los fines autorizados y protegida contra accesos no autorizados.
- Integridad: Se deben garantizar mecanismos adecuados para prevenir la alteración no autorizada de la información.
- Disponibilidad: La información crítica debe estar disponible cuando sea requerida, bajo los acuerdos establecidos.
4. Responsabilidades de clientes, proveedores y demás terceros
- Cumplir con todos los lineamientos establecidos en la presente política.
- Antes de iniciar una relación contractual se deben definir todos los requisitos de seguridad aplicable a cualquiera de las partes e identificar y gestionar los riesgos de seguridad que puedan afectar las actividades objeto del contrato.
- Implementar controles de seguridad adecuados para proteger la información compartida.
- Cumplir con los acuerdos de confidencialidad establecidos.
- Notificar inmediatamente cualquier evento o incidente de seguridad que pueda afectar la confidencialidad, integridad y disponibilidad de la información y/o que pueda poner en riesgo las operaciones de COMPUTEC.
- Garantizar que el personal con acceso a la información haya recibido capacitación en seguridad de la información.
- Reportar oportunamente cuando se presenten cambios en los servicios o productos suministrados por proveedores y terceros que puedan afectar la operación de COMPUTEC.
- Los proveedores y terceros no están autorizados para utilizar los recursos tecnológicos y la información de COMPUTEC para propósitos diferentes al cumplimiento del objeto contractual establecido.
- No esta autorizada la utilización de equipos informáticos que no sean de COMPUTEC dentro de las redes de comunicaciones internas exceptuando la red de invitados.
- No esta autorizada la ejecución de cambios sobre la infraestructura, las redes de comunicación o cualquier otro activo de tipo procesamiento sin tener autorización de COMPUTEC.
5. Uso y manejo de información
Toda información intercambiada deberá ser protegida según su nivel de clasificación.
Está prohibida la divulgación de información sin autorización expresa de cualquiera de las partes.
Los clientes, proveedores y demás terceros deben garantizar una adecuada transferencia de información cuando se transmita información considerada como sensible por cualquiera de las partes a través de los canales definidos contractualmente y/o con base en las leyes y regulaciones vigentes.
Todos los clientes, proveedores y demás terceros que accedan o procesen información de identificación personal durante las relaciones con COMPUTEC deben aplicar los principios para el tratamiento de datos personales definidos en la política P-PA-02-0001-TRATAMIENTO Y PROTECCIÓN DE DATOS PERSONALES.
Cualquier tercero que tenga acceso a la información procesada por COMPUTEC deberá firmar un acuerdo de confidencialidad o deberá incluirse una clausula de confidencialidad en el contrato correspondiente.
Al finalizar los contratos con proveedores y terceros deben garantizar la devolución y destrucción segura de la información compartida por COMPUTEC.
6. Cumplimiento y sanciones
Los clientes, proveedores y demás terceros serán responsables del incumplimiento al régimen de protección de datos personales y deberán asumir las sanciones previstas en la ley por parte de la autoridad competente.
El incumplimiento de esta política podrá dar lugar a la terminación de la relación comercial y/o acciones legales según corresponda.
COMPUTEC puede realizar la revisión del cumplimiento de los lineamientos descritos en la presente política y aplicar las recomendaciones o sanciones a las que haya lugar.