Instagram Youtube
PAGOS
RASTREA TU GUÍA
PAGOS
RASTREA TU GUÍA

Protocolo De Seguridad De La Información Personal

TRENZADOS COLOMBIANOS S.A.S. TRENZACOL S.A.S
NIT 800036535-6

INTRODUCCIÓN

Con el fin de dar cumplimiento a la Ley 1581 de 2012 sobre protección de datos personales y demás normas que la reglamenten, modifiquen y/o adicionen, la sociedad TRENZACOL S.A.S. (en adelante TRENZACOL), como Responsable del Tratamiento, adopta las medidas de seguridad de la información personal por ella recolectada que se describirán a continuación, teniendo en cuenta las siguientes premisas:

  • i.    TRENZACOL tiene como objeto la producción, manufactura, comercialización, tintura, distribución, venta y exportación de bienes, productos o mercancías, tanto al por mayor, como al por menor, que atiendan soluciones en diferentes segmentos de mercado, tales como, pero sin limitarse a, cuerdas o manilas, hilazas, telas y confecciones, hacia el interior del domicilio de la sociedad o hacia otras partes del país o del exterior, así como la prestación de servicios relacionados con ésta.
  • ii.    La sociedad tiene 3 órganos de administración, como son la asamblea de accionistas, Junta Directiva y Representante legal.
  • iii.    Administra cuatro (4) bases de datos personales, como son la base de datos de Accionistas, la base de datos de Empleados, la base de datos de Proveedores y la base de datos de Clientes.

1. SEGURIDAD DE LA INFORMACIÓN PERSONAL

1.1 Recolección de la información: La información personal de nuestras bases de datos se recolecta directamente de sus titulares, y se almacena tanto física como digitalmente. La información recolectada, es solo aquella información pertinente para cumplir con las finalidades descritas en nuestra Política de Tratamiento de Datos Personales.

1.2 Manejo y custodia de la información: Con el fin de otorgar seguridad a los registros evitando su pérdida, consulta, uso o acceso no autorizado o fraudulento, como lo dispone el artículo 4 literal g) de la Ley 1581 de 2012, TRENZACOL ha implementado medidas técnicas, humanas y administrativas necesarias y proporcionales al tamaño de la empresa, a su estructura organizacional y a las bases de datos administradas.  En ese sentido, la información personal recolectada se conserva ya sea archivos físicos o almacenada digitalmente en ordenadores.

En consecuencia, las bases de datos se manejan de la siguiente forma:

1.2.1 Libro de Registro de Accionistas: La información de los accionistas, por mandato legal, se encuentra asentada en el Libro de Registro de Accionistas de la compañía, debidamente inscrito en la Cámara de Comercio, como lo disponen los artículos 19 numeral 2, 28 numeral 7 y 195 del Código de Comercio.

Salvo algunas excepciones contempladas en la ley, el Gerente es la única persona autorizada para acceder a la información de la base de datos de accionistas, y por lo tanto la custodia y conservación de dicha información están bajo su responsabilidad.

Es obligación del Representante Legal mantener el Libro de Registro de Accionistas en reserva no solo por la protección de los datos personales de los accionistas, sino también por disposición del artículo 61 del Código de Comercio, el cual establece que los libros no podrán ser examinados por personas diferentes de sus propietarios o personas autorizadas para ello, salvo en el caso del ejercicio del derecho de inspección de los accionistas y auditores, quienes podrán examinarlos de conformidad con la ley y los estatutos. Por tal motivo, el Libro de Registro de Accionistas de TRENZACOL reposa en el domicilio principal de la sociedad, bajo la custodia del Representante Legal quien lo conserva en un lugar seguro, bajo llave, al cual solo él tiene acceso.

1.2.2. Base de datos almacenada en ordenadores: La información estará almacenada en computadores los cuales cuentan con una clave de acceso personal que impide la consulta, el uso y acceso no autorizado a la información que se almacena en ellos. Además, estos computadores cuentan con programas de protección contra amenazas, programas antivirus, protección de cuentas, y protección de red y seguridad del dispositivo, que disminuyen el riesgo de adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento a la información personal.

1.3 Acuerdos de confidencialidad. Para garantizar la protección, integridad y uso adecuado de los datos personales contenidos en sus bases de datos, TRENZACOL suscribirá los acuerdos de confidencialidad que sean pertinentes con empleados, contratistas, proveedores, aliados estratégicos y cualquier tercero que, en virtud de su relación con la empresa, tenga acceso a la información personal de sus bases de datos.

Dichos acuerdos establecerán compromisos específicos respecto a: i) Uso exclusivo de la información, ii) Prohibición de divulgación no autorizada, iii) Implementación de medidas de seguridad, iv) Responsabilidad y sanciones, v) Vigencia de la confidencialidad.

Estos acuerdos de confidencialidad forman parte del compromiso de TRENZACOL con la protección de la información personal, garantizando un manejo responsable y seguro de los datos en todas sus operaciones.

1.4 Controles de seguridad en la tercerización de servicios para el tratamiento de la información personal TRENZACOL implementará controles de seguridad rigurosos garantizando que los terceros contratados cumplan con los principios, obligaciones y medidas de seguridad establecidas en la Ley 1581 de 2012 y demás normativas aplicables. Para ello, exigirá la suscripción de acuerdos de confidencialidad y contratos de tratamiento de datos, en los cuales se definirán responsabilidades, restricciones y medidas de protección adecuadas para prevenir accesos no autorizados, pérdidas, alteraciones o usos indebidos de la información.

2. SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

  1. TRENZACOL tiene implementadas las medidas para prevenir un eventual riesgo de pérdida, adulteración e indebida utilización de la información contenidas en las bases de datos administradas. Adicionalmente, promueve la sensibilización y capacitación constante de su equipo de trabajo, asegurando el cumplimiento de las políticas internas de seguridad y la adopción de buenas prácticas en el tratamiento de la información personal.

3. SEGURIDAD DE LA INFORMACIÓN PERSONAL EN TORNO AL RECURSO HUMANO

TRENZACOL garantiza la protección de los datos personales de su recurso humano, asegurando su tratamiento conforme a los principios de legalidad, confidencialidad y seguridad. Para ello, implementa medidas técnicas, administrativas y organizacionales que previenen el acceso no autorizado, la pérdida, alteración o uso indebido de la información de sus empleados, desde el proceso de selección hasta la terminación de la relación laboral.

Adicionalmente, se suscriben acuerdos de confidencialidad y se brinda capacitación permanente al personal sobre el manejo adecuado de la información, promoviendo una cultura de seguridad y cumplimiento de las políticas internas de protección de datos personales

La información del recurso humano es tratada y administrada directamente por la Dirección Administrativa y Financiera, quien como se anotó anteriormente, tiene implementada una clave de acceso a su ordenador, así como programas de protección contra amenazas, protección de cuentas, protección de red y seguridad del dispositivo, y antivirus, que disminuyen el riesgo de adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento a la información personal. Igualmente, las claves de acceso a su ordenador y los antivirus son confidenciales y se reemplazan constantemente.

Igualmente, la Dirección Administrativa y Financiera de la compañía custodia en un archivo físico bajo llave, aquella información personal de los empleados que llegare a reposar en documentos físicos.

4. CONTROL DE ACCESO A LA INFORMACIÓN PERSONAL

Como se anotó anteriormente, la información personal que reposa en documentos físicos se encuentra custodiada por el Gerente y la Dirección Administrativa y Financiera, bajo llave, en el domicilio de la sociedad. Para acceder a la información personal almacenada digitalmente, se requiere el ingreso de una clave personal al computador u ordenador en el cual se encuentra almacenada.

Las bases de datos físicas, como la de accionistas y recurso humano, contiene una información personal básica fácil de restaurar.  Sin embargo, TRENZACOL cuenta con una copia de respaldo del Libro de Registro de Accionistas que permite reconstruir dicha información en caso de pérdida, destrucción o extravío.

En relación con la información digital, los computadores u ordenadores donde se encuentra almacenada la información, cuentan con programas de copia de respaldo que permiten restaurarla en caso de pérdida.

En el caso de que TRENZACOL llegare a tercerizar la información personal de alguna de sus bases de datos, la sociedad implementará los procedimientos adicionales para la gestión y control de usuarios, en el que se tengan en cuenta la creación de perfiles de seguridad, el otorgamiento de permisos de acceso, la asignación de claves, etc.

5. PROCESAMIENTO DE INFORMACIÓN PERSONAL

La política y medidas implementadas por TRENZACOL para el tratamiento de la información personal, es proporcional a la naturaleza, estructura y tamaño de la compañía, teniendo como base el Principio de Responsabilidad Demostrada. La información personal que administra la sociedad es básicamente de carácter corporativo en el caso de la información de los accionistas, laboral en el caso de la información de los empleados, y comercial en el caso de la información de los clientes y proveedores

En consecuencia, el ciclo de vida de los datos recolectados y almacenados será el que exija la normatividad Colombia vigente aplicables a cada una de las bases de datos administradas, de tal forma que el período de conservación y la disposición final de dicha información, será el contemplado en las leyes vigentes que lo regulen.

6. SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN PERSONAL

La implementación de controles de seguridad de la información durante el mantenimiento (Control de cambios) de los sistemas de información personal, se justifica en la medida en que la compañía tenga sistemas de información personal que requieran de mantenimiento.

En consecuencia, TRENZACOL implementará controles de seguridad específicos, cuando la compañía requiera hacer el mantenimiento del sistema de información personal. 

7. GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN PERSONAL

El mayor riesgo existente en relación con la base de datos de Accionistas es que se pierda, extravíe o se destruya el Libro de Registro de Accionistas inscrito en la Cámara de Comercio, caso en el cual la sociedad está obligada a seguir el siguiente procedimiento contemplado en el artículo 135 del Decreto 2649 de 1993, que establece lo siguiente:

“ARTÍCULO 135. PÉRDIDA Y RECONSTRUCCION DE LOS LIBROS. El ente económico debe denunciar ante las Autoridades competentes la pérdida, extravió o destrucción de sus libros y papeles. Tal circunstancia debe acreditarse en caso de exhibición de los libros, junto con la constancia de que los mismos se hallaban registrados, si fuere el caso.

Los registros en los libros deben reconstruirse dentro de los seis (6) meses siguientes a su pérdida, extravió o destrucción, tomando como base los comprobantes de contabilidad, las declaraciones tributarias, los estados financieros certificados, informes de terceros y los demás documentos que se consideren pertinentes.

Cuando no se obtengan los documentos necesarios para reconstruir la contabilidad, el ente económico debe hacer un inventario general a la fecha de ocurrencia de los hechos para elaborar los respectivos estados financieros.

Se pueden reemplazar los papeles extraviados, perdidos o destruidos, a través de copia de los mismos que reposen en poder de terceros. En ella se debe dejar nota de tal circunstancia, indicando el motivo de la reposición.”

Teniendo en cuenta lo anterior, TRENZACOL ha sacado una fotocopia del Libro de Registro de Accionistas por si se llegare a presentar el incidente anteriormente descrito, con el fin de gestionar dicha contingencia y reconstruir la información asentada en dicho libro.

En relación con la base de datos de clientes y proveedores, el mayor riesgo existente sería el acceso no autorizado, filtración o uso indebido de la información comercial y contractual. En cuanto a la base de datos de empleados, el principal riesgo radica en la exposición o mal manejo de información laboral, lo que podría derivar en la vulneración de la privacidad de los trabajadores, suplantación de identidad, uso indebido de datos de seguridad social y posibles demandas por incumplimiento de obligaciones legales en materia de protección de datos.

En relación con la información personal digital, los equipos en los cuales se encuentra almacenada cuentan con programas de protección contra amenazas, protección de cuentas, protección de red y seguridad del dispositivo, y programas antivirus, que disminuyen el riesgo de adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento a la información personal. Igualmente, cuentan con copias de respaldo que permiten recuperar la información en caso de pérdida de la misma.

8. REPORTE DE INCIDENTES DE SEGURIDAD

En el caso de presentarse un incidente de seguridad, es decir, cuando se afecte la confidencialidad, integridad y/o disponibilidad de carácter personal, quien tenga conocimiento del incidente deberá reportarlo al Gerente con el fin de poder tomar los correctivos correspondientes y reportar el incidente.

De generarse un incidente, el Gerente se reunirá con las personas que considere idóneas y necesarias para: (i) evaluar el impacto de los incidentes de seguridad en la información personal objeto de tratamiento, y las consecuencias adversas para los titulares de la información, (ii) determinar el equipo humano a involucrar dependiendo del tipo de incidente, (iii) tomar los correctivos correspondientes con el fin de procurar proteger a la sociedad de dichos acontecimientos, proteger los derechos de los titulares de la información, y cumplir con lo establecido en la Ley 1581 de 2012 así como con las órdenes y/o instrucciones que imparta la Superintendencia de Industria y Comercio, y (iv) hacer el reporte del incidente de seguridad ante la Superintendencia de Industria y Comercio así como ante otras autoridades según sea el caso.

Los pasos a seguir en caso de presentarse un incidente de seguridad son:

  1. 1. Contener el incidente de seguridad y hacer una evaluación preliminar: en esta etapa se deberán tomar las medidas para mitigar la falla y evitar cualquier compromiso adicional de la información de carácter personal bajo su cuidado.
  2. La Sociedad deberá comenzar una investigación inicial sobre el evento. En dichas evaluaciones se deberá incluir la respuesta a las siguientes preguntas: ¿Cómo se produjo? ¿Cuándo y dónde tuvo lugar? ¿Cuál fue la naturaleza y quién lo detectó? ¿Se continúa compartiendo información sin autorización? ¿Quiénes tienen acceso a la información personal? ¿Cómo se puede asegurar la información o detener el acceso? ¿Es un incidente de seguridad relacionado con Datos Personales que requiera hacer la notificación a los titulares de la información tan pronto como sea posible?
  3. Durante esta etapa no se debe destruir ninguna evidencia y por el contrario se dejarán todas las constancias que se requieran. Se debe establecer la causa del incidente de seguridad e identificar los riesgos generados a los titulares de la información personal.
  4.  
  5. 2. Evaluar los riesgos de impactos asociados con el incidente de seguridad: para gestionar los riesgos se requiere de un profundo y juicioso proceso de identificación y evaluación del nivel de severidad del incidente de seguridad; la probabilidad del daño para los Titulares de la Información; el nivel de riesgo para sus derechos y libertades; y el tratamiento que se dará a esos riesgos.

  6. Un incidente de seguridad puede tener variedad de efectos adversos sobre los titulares de la información, que pueden dar lugar a situaciones de discriminación, suplantación de identidad o fraude, pérdidas financieras, daño reputacional, pérdida del carácter confidencial de datos sujetos al secreto profesional o cualquier otro perjuicio económico o social significativo.

  7. El riesgo será cuantificado y calificado; la calificación arrojará resultado Bajo, Medio o Alto dependiendo del nivel de impacto sobre los titulares de la información. La Sociedad determinará la metodología para evaluar sus riesgos.

  8. 3. Identificar los daños generados a los titulares de la información, las organizaciones, y el público en general.
  9. 4. Notificar a la Superintendencia de Industria y Comercio (SIC): la Sociedad deberá reportar la ocurrencia del incidente de seguridad ante la SIC a más tardar dentro de los 15 días hábiles siguientes al momento en que se detecten y sean puestos en conocimiento de la persona o área encargada de atenderlos.
  10. La notificación de un incidente de seguridad en Datos Personales debe contener, como mínimo, la información que establece el Registro Nacional de Bases de Datos.
  11.  
  12. 5. Comunicar a los titulares de la información: comunicar a los titulares de la información con el fin de que ellos tengan la posibilidad de adoptar las medidas necesarias para protegerse de las consecuencias de un incidente de seguridad (Ej. cambiar de usuario y contraseña, monitorear el historial crediticio, cancelar las tarjetas de crédito, etc, o notificar a las entidades pertinentes como Fiscalía, Procuraduría, Gaula, Policía, Super Financiera, Centro Cibernético Policial, ColCERT, CSIRT Policial; CSIRT Asobancaria, CSIRT Sectorial, entre otras).

  13. La entidad evaluará cuándo es oportuno comunicarlo y cómo se debe comunicar el incidente, así como a quién se le debe comunicar el incidente y qué debe incluirse en cada comunicación.

  14. 6. Prevenir futuros incidentes de seguridad en datos personales y actualizar el protocolo con el fin de que no vuelva a suceder.

  15. La Gerencia podrá solicitar auditorias en el caso de que lo considere conveniente.

  16. Cuando un incidente es reportado por un Titular de la información personal, se deberá responder, reportar y gestionar de manera inmediata en un término de 5 días hábiles contados a partir del momento del que se tuvo noticia del mismo, y se irá monitoreando semanalmente o diariamente de acuerdo con la importancia y avances del caso con el fin de identificar los posibles puntos conflictivos que se puedan generar en el manejo del incidente de seguridad. Una vez gestionado el incidente de seguridad, el equipo encargado deberá evaluar cómo ocurrió el incidente y el éxito de su gestión y hacer los ajustes pertinentes en el protocolo con las lecciones aprendidas.

    Los incidentes deberán quedar debidamente documentados en un registro interno con toda la información correspondiente.

    La Sociedad procurará no solicitar datos sensibles, pero en el caso de que sea necesario solicitarlos, los almacenará siempre bajo llave en caso de que estén contenidos en un medio físico, o con clave de acceso en caso de que estén contenidos en un medio digital.

    Se realizarán Backups permanentes para proteger la información personal especialmente en caso de que haya lugar a la realización de un mantenimiento de los sistemas de información. Así mismo, se mantendrá la información en la nube bajo los parámetros de seguridad adecuados.

    El Gerente será el encargado de monitorear y recordar los protocolos de seguridad de la información a las personas que por alguna razón deban tener acceso a la información personal.

9. AUDITORÍAS DE SEGURIDAD DE LA INFORMACIÓN PERSONAL

Con el fin de garantizar el cumplimiento de las políticas de protección de datos personales y la adecuada gestión de la seguridad de la información, el Gerente podrá ordenar la realización de auditorías internas o externas periódicas sobre los procesos relacionados con el tratamiento de la información personal contenida en sus bases de datos de accionistas. Estas auditorías permitirán identificar riesgos, evaluar el cumplimiento normativo y proponer mejoras en los controles de seguridad. Asimismo, el Gerente podrá adoptar medidas correctivas y preventivas derivadas de los hallazgos, incluyendo la actualización de procedimientos, la capacitación del personal y la implementación de nuevas tecnologías que refuercen la protección de los datos personales.

10. MODIFICACIÓN DEL PROTOCOLO DE SEGURIDAD:

  1. TRENZACOL se reserva el derecho de adicionar y/o modificar el presente protocolo de seguridad de la información en la medida en que se requiera ya sea porque haya cambios en las medidas de seguridad para el tratamiento de datos de las bases que administra, o porque se creen nuevas bases de datos cuya seguridad deba ser regulada de manera diferente.
  2.  
  3. ____________________________
  4. TRENZACOL S.A.S.
  5. María Luisa Barrientos Moreno
    Representante Legal