1. INTRODUCCIÓN

COPROSERVICIOS S.A.S., como empresa especializada en administración de propiedad horizontal, servicios contables, inmobiliarios y de mantenimiento, reconoce que la información es un activo estratégico fundamental para el desarrollo de sus operaciones. La presente política establece los lineamientos para garantizar la adecuada gestión y protección de la información y los activos informáticos de la empresa y sus clientes.

2. OBJETIVO

Establecer los principios, responsabilidades y controles necesarios para garantizar la confidencialidad, integridad, disponibilidad, privacidad y seguridad de la información gestionada por COPROSERVICIOS S.A.S., así como de los sistemas y la infraestructura tecnológica que la soporta, en cumplimiento con el marco regulatorio aplicable y las mejores prácticas de la industria.

3. ALCANCE

Esta política aplica a:

  • Toda la información generada, almacenada, procesada o transmitida por COPROSERVICIOS S.A.S.
  • Todos los sistemas, aplicaciones e infraestructura tecnológica de la empresa.
  • Todos los empleados, directivos, contratistas, proveedores y terceros que tengan acceso a la información de la empresa y sus clientes.
  • Todas las ubicaciones físicas donde se almacene o procese información de la empresa.

4. PRINCIPIOS DE SEGURIDAD DE LA INFORMACIÓN

4.1 Confidencialidad

Garantizamos que la información sea accesible únicamente a las personas, entidades o sistemas autorizados.

4.2 Integridad

Protegemos la exactitud y completitud de la información y los métodos de procesamiento.

4.3 Disponibilidad

Aseguramos que los usuarios autorizados tengan acceso a la información cuando sea requerida.

4.4 Privacidad

Respetamos y protegemos la información personal de nuestros clientes, empleados y terceros.

4.5 Legalidad

Cumplimos con la legislación, normativa y obligaciones contractuales aplicables a la seguridad de la información.

4.6 Gestión de Riesgos

Identificamos, evaluamos y tratamos los riesgos de seguridad de manera sistemática.

5. CLASIFICACIÓN Y MANEJO DE LA INFORMACIÓN

5.1 Niveles de Clasificación

La información se clasifica según su sensibilidad en:

a) Información Pública: Puede ser conocida por cualquier persona dentro o fuera de la organización.

b) Información Interna: De uso dentro de la organización, pero no tiene restricciones para su distribución interna.

c) Información Confidencial: Restringida a un grupo específico de personas dentro de la organización.

d) Información Altamente Confidencial: Información crítica cuya divulgación no autorizada puede causar daños graves. Acceso limitado a personas específicas.

5.2 Etiquetado y Manipulación

  • Toda la información debe estar correctamente etiquetada según su clasificación.
  • Se establecen protocolos específicos para el manejo, almacenamiento, transmisión y eliminación de información según su nivel de clasificación.

5.3 Ciclo de Vida de la Información

Se definen controles específicos para cada etapa del ciclo de vida de la información:

  • Creación/Captura
  • Procesamiento
  • Almacenamiento
  • Transmisión
  • Archivo
  • Eliminación

6. SEGURIDAD DEL RECURSO HUMANO

6.1 Antes del Empleo

  • Verificación de antecedentes de candidatos según la legislación vigente.
  • Términos y condiciones de empleo que incluyen responsabilidades de seguridad.

6.2 Durante el Empleo

  • Capacitación y sensibilización en seguridad de la información.
  • Proceso disciplinario formal para empleados que cometan violaciones de seguridad.

6.3 Terminación o Cambio de Empleo

  • Proceso formal de devolución de activos y revocación de derechos de acceso.
  • Acuerdos de confidencialidad que sobreviven a la terminación del contrato.

7. SEGURIDAD FÍSICA Y DEL ENTORNO

7.1 Áreas Seguras

  • Perímetros de seguridad física para proteger áreas con información sensible.
  • Controles de acceso físico (tarjetas, biometría, registro de visitantes).
  • Protección contra amenazas ambientales (incendios, inundaciones, etc.).

7.2 Seguridad de Equipos

  • Ubicación y protección adecuada de los equipos.
  • Servicios de suministro (energía, telecomunicaciones) con redundancias.
  • Mantenimiento preventivo periódico.
  • Políticas de escritorio y pantalla limpia.

8. GESTIÓN DE COMUNICACIONES Y OPERACIONES

8.1 Procedimientos Operacionales

  • Documentación de procedimientos operativos.
  • Gestión de cambios controlada.
  • Separación de entornos (desarrollo, pruebas, producción).

8.2 Protección contra Software Malicioso

  • Controles de detección, prevención y recuperación.
  • Concienciación del usuario.
  • Actualización regular de definiciones antimalware.

8.3 Copias de Seguridad

  • Política de respaldo regular de información crítica.
  • Pruebas periódicas de restauración.
  • Almacenamiento seguro de copias de seguridad.

8.4 Gestión de Seguridad de Redes

  • Segregación de redes según funcionalidad y nivel de sensibilidad.
  • Controles de acceso a redes internas y externas.
  • Monitoreo continuo del tráfico de red.

8.5 Intercambio de Información

  • Acuerdos de intercambio de información con terceros.
  • Cifrado de información sensible en tránsito.
  • Protección de medios físicos en tránsito.

9. CONTROL DE ACCESO

9.1 Requisitos del Negocio para el Control de Acceso

  • Política de control de acceso basada en roles y necesidad de conocimiento.
  • Revisión periódica de derechos de acceso.

9.2 Gestión de Acceso de Usuario

  • Registro y cancelación de usuarios.
  • Gestión de privilegios.
  • Revisión de derechos de acceso.
  • Política de contraseñas robusta.

9.3 Responsabilidades del Usuario

  • Uso apropiado de credenciales de acceso.
  • Prohibición de compartir credenciales.
  • Bloqueo de sesiones desatendidas.

9.4 Control de Acceso a Sistemas y Aplicaciones

  • Restricción del acceso a la información.
  • Procedimientos seguros de inicio de sesión.
  • Sistema de gestión de contraseñas seguro.
  • Control del acceso al código fuente.

10. SEGURIDAD EN LA ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS

10.1 Requisitos de Seguridad

  • Análisis de requisitos de seguridad antes del desarrollo o adquisición.
  • Protección de transacciones en aplicaciones de servicio.

10.2 Seguridad en Desarrollo

  • Política de desarrollo seguro.
  • Gestión de cambios controlada.
  • Revisión técnica de aplicaciones tras cambios importantes.
  • Restricciones a los cambios en paquetes de software.

10.3 Datos de Prueba

  • Protección de datos de prueba.
  • No uso de datos reales en entornos de prueba.

11. GESTIÓN DE INCIDENTES DE SEGURIDAD

11.1 Reporte de Eventos y Debilidades

  • Proceso formal de reporte de incidentes.
  • Reporte obligatorio de vulnerabilidades detectadas.

11.2 Gestión de Incidentes

  • Procedimientos para respuesta rápida.
  • Recolección de evidencias.
  • Aprendizaje de los incidentes.
  • Plan de comunicación en caso de incidentes.

12. CUMPLIMIENTO NORMATIVO

12.1 Cumplimiento Legal

  • Identificación de legislación aplicable y requisitos contractuales.
  • Protección de datos personales según normativa (Ley 1581 de 2012).
  • Cumplimiento con derechos de propiedad intelectual.

12.2 Revisiones de Seguridad

  • Auditorías periódicas independientes.
  • Verificación del cumplimiento técnico.
  • Revisión por la dirección del estado de la seguridad.

13. SEGURIDAD ESPECÍFICA PARA OPERACIONES DE PAGO

13.1 Transacciones Electrónicas

  • Cifrado de extremo a extremo para transacciones de pago.
  • Cumplimiento con estándares PCI DSS para el procesamiento de pagos.
  • Autenticación de múltiples factores para transacciones.

13.2 Almacenamiento de Datos Financieros

  • Prohibición de almacenamiento de datos sensibles de tarjetas.
  • Tokenización de información de pago recurrente.
  • Segregación de entornos de procesamiento de pagos.

14. PLAN DE CONTINUIDAD DEL NEGOCIO

14.1 Análisis de Impacto

  • Identificación de procesos críticos y tiempos máximos de interrupción aceptables.
  • Dependencias tecnológicas y de terceros.

14.2 Estrategias de Continuidad

  • Redundancia de sistemas críticos.
  • Sitios alternativos de procesamiento.
  • Procedimientos de recuperación documentados.

14.3 Pruebas y Actualización

  • Pruebas periódicas del plan de continuidad.
  • Actualización del plan ante cambios organizacionales o tecnológicos.

15. RESPONSABILIDADES

15.1 Comité de Seguridad de la Información

  • Aprueba políticas y procedimientos de seguridad.
  • Supervisa la implementación de controles.
  • Evalúa periódicamente la efectividad del SGSI.

15.2 Oficial de Seguridad de la Información

  • Coordina la implementación de controles de seguridad.
  • Monitorea el cumplimiento de la política.
  • Gestiona incidentes de seguridad.

15.3 Área de Tecnología

  • Implementa controles técnicos.
  • Mantiene la infraestructura tecnológica segura.
  • Gestiona parches y actualizaciones.

15.4 Todos los Empleados

  • Cumplen con las políticas y procedimientos de seguridad.
  • Reportan incidentes y vulnerabilidades.
  • Protegen los activos de información bajo su responsabilidad.

16. SANCIONES POR INCUMPLIMIENTO

El incumplimiento de esta política puede resultar en acciones disciplinarias según la gravedad de la infracción, que pueden incluir:

  • Amonestación verbal o escrita
  • Suspensión temporal
  • Terminación del contrato
  • Acciones legales cuando corresponda

17. VIGENCIA Y ACTUALIZACIÓN

Esta política entra en vigor a partir de su aprobación y será revisada anualmente o cuando se produzcan cambios significativos en la organización o el entorno regulatorio.

Aprobada por la Gerencia General de COPROSERVICIOS S.A.S.                                                                       Fecha: 21 de abril del 2025                                                                                                                                                     Versión: 1.0

© 2024 Mundo Turístico Colombia. Todos los derechos reservados.