POLITICA DE DATOS

Política de Seguridad de la Información y Protección de Datos de CEVIPSE Ltda.

  1. Objeto y Alcance

La presente política tiene como objeto establecer los lineamientos y requisitos para proteger los activos de información de CEVIPSE Ltda., asegurar la confidencialidad, integridad y disponibilidad de la información, y garantizar el adecuado tratamiento de los datos personales, cumpliendo con las normativas aplicables y los estándares de seguridad relevantes. Esta política aplica a todos los empleados, contratistas, terceros y cualquier otra persona o entidad que acceda, procese o gestione información en nombre de o para CEVIPSE Ltda.. Cubre todos los activos de información, sistemas, instalaciones físicas y actividades operativas dentro del alcance definido por CEVIPSE.

  1. Principios Rectores

CEVIPSE Ltda. se compromete a adherirse a los siguientes principios en todas sus operaciones:

  • Confidencialidad: Asegurar que la información solo sea accesible para aquellos autorizados a tener acceso.
  • Integridad: Salvaguardar la exactitud y completitud de la información y los métodos de procesamiento.
  • Disponibilidad: Asegurar que los usuarios autorizados tengan acceso a la información y los activos asociados cuando se requiera.
  • Legalidad: Realizar el tratamiento de datos personales de acuerdo con la Ley 1581 de 2012 y las normativas aplicables.
  • Finalidad: Definir y comunicar claramente el propósito del tratamiento de datos personales.
  • Libertad: Obtener consentimiento previo, expreso e informado del titular para el tratamiento de sus datos personales, salvo excepciones legales.
  • Veracidad o Calidad: Asegurar que la información personal sea veraz, completa, exacta, actualizada, comprobable y comprensible.
  • Transparencia: Garantizar el derecho del titular a obtener información sobre sus datos personales.
  • Acceso y Circulación Restringida: Limitar el tratamiento de datos personales a personas autorizadas y asegurar que el acceso a datos en internet sea técnicamente controlable.
  • Seguridad: Implementar medidas técnicas, humanas y administrativas para proteger los datos personales contra adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
  • Confidencialidad (Datos Personales): Garantizar la reserva de la información personal no pública, incluso después de finalizar la relación con el tratamiento.
  1. Estructura Organizacional y Responsabilidades

CEVIPSE Ltda. define y comunica roles y responsabilidades en materia de seguridad de la información y protección de datos.

  • Se designa a una persona o área como oficial de protección de datos, responsable de garantizar el pleno y efectivo ejercicio del derecho de hábeas data, tramitar consultas y reclamos, y gestionar la actualización, rectificación o supresión de datos.
  • Se segregan los deberes y áreas de responsabilidad en conflicto para reducir oportunidades de modificación no autorizada o mal uso de activos. Cuando la segregación es difícil, se consideran controles alternativos como monitoreo de actividades y supervisión de la gestión.
  • La alta dirección demuestra liderazgo y compromiso, estableciendo la política de seguridad de la información y asignando responsabilidades y autoridades relevantes.
  1. Gestión de Riesgos

CEVIPSE Ltda. realiza una gestión de riesgos de seguridad de la información, incluyendo la identificación, evaluación y tratamiento de riesgos. Se lleva a cabo una revisión formal de los riesgos de la empresa periódicamente. Se implementa un protocolo detallado para el análisis y gestión de riesgos en el tratamiento de datos personales, identificando riesgos tecnológicos y humanos.

  1. Controles de Seguridad de la Información

La política de seguridad de la información incluye procedimientos y controles específicos como:

  • Control de acceso.
  • Clasificación y manejo de datos.
  • Seguridad física y ambiental, con monitoreo para detectar accesos no autorizados.
  • Uso aceptable de los activos.
  • Política de escritorio limpio y pantalla clara.
  • Política para la transferencia de información.
  • Protocolos para dispositivos móviles y teletrabajo.
  • Restricciones en la instalación y el uso del software.
  • Protocolo 3-2-1 de copias de seguridad (3 copias, en 2 medios, 1 fuera del sitio principal).
  • Protección contra malware y herramientas para prevenir fugas de información (DLP) y detectar comportamientos anómalos (SIEM).
  • Gestión de vulnerabilidades técnicas y controles criptográficos.
  • Borrado de información, cumpliendo con el principio de limitación del plazo de conservación.
  • Filtrado web para restringir acceso a contenido malicioso.
  1. Resiliencia Operativa

CEVIPSE Ltda. cuenta con un programa de Resiliencia Operativa que cubre Continuidad del Negocio, Resiliencia de TI y Gestión de Crisis. Este programa se ejercita anualmente y los planes de gestión de crisis se revisan y actualizan periódicamente. Se definen procesos y actividades críticas para priorizar esfuerzos de recuperación.

  1. Seguridad en las Relaciones con Proveedores

Se gestionan las relaciones con proveedores, incluyendo aspectos de seguridad, y se evalúan para asegurar que cumplen con las normativas y regulaciones aplicables.

  1. Protección de Datos Personales (Ley 1581 de 2012)

Como encargado del tratamiento, CEVIPSE Ltda. cumple con los deberes de la Ley 1581 de 2012.

  • Se cuenta con un manual interno de políticas y procedimientos para garantizar los derechos de los titulares.
  • Se capacita a todos los empleados con acceso a información personal sobre dicho manual.
  • Se garantiza el derecho de hábeas data, permitiendo a los titulares tramitar consultas y reclamos por correo electrónico o buzón físico.
  • Se implementa una política para el correcto tratamiento de la información personal en todas las etapas de su ciclo de vida (recolección, almacenamiento, uso, circulación y disposición final).
  • CEVIPSE no ha recibido sanciones ni se encuentra en proceso de investigación por parte de la SIC por incumplimiento a la Ley de Protección de Datos Personales.
  • CEVIPSE sí realizará actividades de marketing, mercadeo y publicidad, respetando el derecho a la intimidad personal y familiar del consumidor.
  • CEVIPSE no realizará tratamiento de datos a través de aplicaciones de mensajería instantánea como WhatsApp, Telegram, etc..
  • CEVIPSE no utilizará herramientas que involucren el procesamiento de datos por medio de Inteligencia Artificial.

8.1. Tratamiento de Datos Biométricos para Verificación de Identidad

  • Objeto y Base Legal: Se utiliza un sistema de reconocimiento facial para verificar y validar la identidad de los estudiantes durante exámenes y actividades académicas, con el fin de garantizar la integridad académica y prevenir el fraude. La base legal es la Ley 1581 de 2012 y el consentimiento explícito del estudiante.
  • Recopilación y Uso de Datos Biométricos: El sistema accederá a la cámara del dispositivo del estudiante para recopilar imágenes y/o secuencias de video de su rostro, generando datos biométricos faciales (datos sensibles). Estos datos se usarán exclusivamente para validar la identidad, detectar suplantación y generar registros de auditoría. Queda prohibido su uso para fines de marketing, publicidad o cualquier otra finalidad ajena al objeto del sistema. Los datos Biométricos NO serán guardados en el sistema de CEVIPSE, solo se guardarán temporalmente en el equipo del usuario.
  • Consentimiento Explícito: Al aceptar los términos y condiciones, el estudiante otorga su consentimiento libre, previo, expreso e informado para el tratamiento de sus datos biométricos faciales, entendiendo que son necesarios para participar en las evaluaciones que requieran esta validación.
  • Almacenamiento y Seguridad: Los datos biométricos Los datos Biométricos NO serán guardados en el sistema de CEVIPSE, solo se guardaran temporalmente en el equipo del usuario. y por el tiempo estrictamente necesario para cumplir su finalidad, para luego ser eliminados o anonimizados. El acceso estará restringido únicamente a personal autorizado.
  • Derechos del Titular: El estudiante puede ejercer sus derechos de conocer, actualizar, rectificar y suprimir sus datos, y revocar la autorización. La revocación puede implicar la imposibilidad de validar su identidad en los exámenes que lo requieran. Para ejercer sus derechos, deberá contactar al área encargada según los procedimientos establecidos.
  1. Cumplimiento Normativo y Mejora Continua

CEVIPSE Ltda. se esfuerza por cumplir con las leyes, regulaciones y requisitos contractuales aplicables. Se han identificado y documentado los requisitos legislativos, reglamentarios o contractuales pertinentes para cada sistema de información. Las políticas se revisan en intervalos planificados o ante cambios significativos. Se realizan auditorías internas y revisiones por la dirección para abordar no conformidades y tomar acciones correctivas.

  1. Documentación

CEVIPSE Ltda. mantiene la información documentada necesaria para la efectividad del Sistema de Gestión de Seguridad de la Información (SGSI). Esto incluye, entre otros:

  • El alcance del SGSI.
  • La política de seguridad de la información.
  • El proceso de evaluación y tratamiento de riesgos.
  • El Enunciado de Aplicabilidad (SOA).
  • Los objetivos de seguridad de la información.
  • Evidencia de competencia del personal, resultados de monitoreo, auditorías y acciones correctivas.
  1. Formación y Concientización

CEVIPSE Ltda. se especializa en la formación del personal administrativo y operativo en las diferentes áreas de la seguridad privada. La formación incluye temas como seguridad y salud en el trabajo, gestión del riesgo, sistemas de gestión ISO y riesgos laborales. Se garantiza la capacitación del personal sobre el manual interno de políticas y procedimientos de protección de datos personales.

AUTORIZACION DATOS