POLÍTICA PARA SEGURIDAD DE LA INFORMACIÓN

1. OBJETIVO

De la empresa BETR MEDIA S.A.S., En la actualidad la información de la EMPRESA se ha reconocido como un activo valioso y a medida que los sistemas de información apoyan cada vez más los procesos de misión crítica se requiere contar con estrategias de alto nivel que permitan el control y administración efectiva de los datos, en este documento también se contemplan las indicaciones de conformidad con la Ley 1581 de 2012, el Decreto 1377 de 2013 y el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos a que se refieren los artículos 15 y 20 de la Constitución Política y las demás normas que las aclaren, modifiquen o complementen.

2. ACERCA DE LA SEGURIDAD DE LA INFORMACIÓN

La seguridad de la información se entiende como la preservación, aseguramiento y cumplimiento de las siguientes características de la información:

Para ello es necesario considerar aspectos tales como:

Este Manual se aplica a la información y los datos que recoja y maneje la empresa
BETR MEDIA S.A.S.

3. ORGANIZACIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN

BETR MEDIA S.A.S. garantiza el apoyo al proceso de establecimiento, implementación, operación, seguimiento, revisión, mantenimiento y mejora de la política de seguridad de la información cuya revisión se compone de una comisión que funciona mediante una mesa de trabajo compuesta por:

En todo caso, dicha comisión o la mesa de trabajo, deberá revisar y actualizar anualmente esta política presentando las propuestas a las directivas de la institución para su aprobación, así mismo los integrantes de esta mesa de trabajo, hacen parte del grupo de responsable de Seguridad de la Información y por tanto deben seguir los lineamientos de gestión enmarcados en esta política y en los estándares, normas, guías y procedimientos recomendados por la ley vigente en Colombia.

4. DEFINICIONES

Para efectos de la aplicación de las reglas contenidas en el presente Manual y de acuerdo con lo establecido en la ley colombiana y aplica para todos sus efectos legales.

  1. Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.
  2. Aviso de privacidad: Comunicación verbal o escrita generada por el responsable, dirigida al Titular para el Tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales.
  3. Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento.
  4. Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
  5. Datos de Ubicación: como los relacionados con la actividad comercial o privada de las personas como dirección, teléfono, correo electrónico, etc.
  6. Datos de Contenido Socio Económico: como estrato, propiedad de la vivienda, Datos financieros, crediticios y/o de carácter económico de las personas, Datos patrimoniales como bienes muebles e inmuebles, ingresos, egresos, inversiones, historia laboral, experiencia laboral, cargo, fechas de ingreso y retiro, anotaciones, llamados de atención, nivel educativo, capacitación y/o historial académico de la persona, etc.
  7. Datos de Identificación: Nombre, apellido, tipo de identificación, número de identificación, fecha y lugar de expedición, nombre, estado civil, sexo, firma, DOCUMENTO CONTROLADO BETR MEDIA S.A.S. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Versión: 01 Código: BM-PO-SI-001 Fecha: 10/01/2020 Página 2 de 20 nacionalidad, datos de familia, firma electrónica, otros documentos de identificación, lugar y fecha de nacimiento o muerte, edad, huella, ADN, iris, Geometría facial o corporal, fotografías, videos, fórmula dactiloscópica, voz, etc.
  8. Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
  9. Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.
  10. Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del responsable del Tratamiento.
  11. Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.
  12. Titular: Persona natural cuyos datos personales sean objeto de Tratamiento.
  13. Transferencia: La transferencia de datos tiene lugar cuando el responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.
  14. Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del responsable.
  15. Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
  16. Activo: Se refiere a cualquier información o elemento relacionado con el tratamiento de esta (sistemas, soportes, edificios, personas) que tienen un valor para la entidad.
  17. Activo crítico: Instalaciones, sistemas y equipos los cuales, si son destruidos, o es degradado su funcionamiento o por cualquier otro motivo no se encuentran disponibles, afectarán el cumplimiento de los objetivos estratégicos del Ministerio.
  18. Administración de Riesgos: Se entiende por administración de riesgos, como el proceso de identificación, control, minimización o eliminación, a un costo aceptable, de los riesgos de seguridad que podrían afectar la información o impactar de DOCUMENTO CONTROLADO BETR MEDIA S.A.S. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Versión: 01 Código: BM-PO-SI-001 Fecha: 10/01/2020 Página 3 de 20 manera considerable la operación. Dicho proceso es cíclico y deberá llevarse a cabo en forma periódica.
  19. Amenaza: Causa potencial de un incidente no deseado, que puede provocar daños a un sistema o a la entidad.
  20. Análisis de Impacto al Negocio: Es una metodología que permite identificar los procesos críticos que apoyan los productos y servicios claves, las interdependencias entre procesos, los recursos requeridos para operar en un nivel mínimo aceptable y el efecto que una interrupción del negocio podría tener sobre ellos.
  21. Autenticidad: Busca asegurar la validez de la información en tiempo, forma y distribución. Así mismo, se garantiza el origen de la información, validando el emisor para evitar suplantación de identidades.
  22. Centro de cableado: El centro de cableado es el lugar donde se ubican los recursos de comunicación de Tecnología de información, como (Switch, patch, panel, UPS, Router, Cableado de voz y de datos).
  23. Ciberactivo crítico: Ciberactivo que es crítico para la operación de un activo crítico.
  24. Ciberactivo: Se identifica como foco de la ciberseguridad los activos digitales como datos, dispositivos y sistemas que permiten a la organización cumplir con sus objetivos de negocio.
  25. Ciberseguridad: Es el proceso de proteger los activos de información por medio del tratamiento de las amenazas a la información que es procesada, almacenada y/o transportada a través de sistemas de información interconectados.
  26. Comité de Seguridad de la Información: El Comité de Seguridad de la Información, es un cuerpo integrado por representantes de todas las áreas sustantivas del Ministerio, destinado a apoyar el cumplimiento de las normas, procesos y procedimientos de seguridad de la información.
  27. Confiabilidad de la Información: Es decir, que la información generada sea adecuada para sustentar la toma de decisiones y la ejecución de las misiones y funciones.
  28. Confidencialidad: Se garantiza que la información sea accesible sólo a aquellas personas autorizadas a tener acceso a la misma.
  29. Datacenter: Se denomina también Centro de Procesamiento de Datos (CPD) a aquella ubicación o espacio donde se concentran los recursos necesarios (TI) para el procesamiento de la información de una organización.
  30. Disponibilidad: Se garantiza que los usuarios autorizados tengan acceso a la información y a los recursos relacionados con la misma, toda vez que lo requieran.
  31. Dispositivos móviles: Equipo celular smartphone, equipos portátiles, tablets, o cualquiera cuyo concepto principal sea la movilidad, el cual permite almacenamiento limitado, acceso a internet y cuenta con capacidad de procesamiento.
  32. DMZ: Sigla en inglés de DeMilitarized Zone hace referencia a un segmento de la red que se ubica entre la red interna de una organización y la red externa o internet de VPN.
  33. Equipos activos de red: Son todos los dispositivos que hacen la distribución de las comunicaciones a través de la red de datos. DOCUMENTO CONTROLADO BETR MEDIA S.A.S. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Versión: 01 Código: BM-PO-SI-001 Fecha: 10/01/2020 Página 4 de 20
  34. Evaluación de Riesgos: Se entiende por evaluación de riesgos a la evaluación de las amenazas y vulnerabilidades relativas a la información y a las instalaciones de procesamiento de la misma, la probabilidad de que ocurran y su potencial impacto en la operación de la entidad.
  35. Incidente de Seguridad: Evento o serie de eventos de seguridad de la información no deseados o inesperados, que tienen probabilidad significativa comprometer las operaciones del negocio y amenazar la seguridad de la información.
  36. Información: Se refiere a toda comunicación o representación de conocimiento como datos, en cualquier forma, con inclusión de formas textuales, numéricas, gráficas, cartográficas, narrativas o audiovisuales, y en cualquier medio, ya sea magnético, en papel, en pantallas de computadoras, audiovisual u otro.
  37. Integridad: Se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento.
  38. Legalidad: Referido al cumplimiento de las leyes, normas, reglamentaciones o disposiciones a las que está sujeta la entidad.
  39. Medio removible: Los dispositivos de almacenamiento removibles son dispositivos de almacenamiento independientes del computador y que pueden ser transportados libremente. Los dispositivos móviles más comunes son: Memorias USB, discos duros extraíbles, DVD y CD.
  40. Mesa de Servicios: Constituye el único punto de contacto con los usuarios finales para registrar, comunicar, atender y analizar todas las llamadas, incidentes reportados, requerimientos de servicio y solicitudes de información. Es a través de la gestión proactiva de la Mesa de Servicios que la Oficina de Tecnologías de la Información recolecta las necesidades que tienen dependencias en cuanto a los recursos tecnológicos.
  41. No repudio: El emisor no puede negar que envió porque el destinatario tiene pruebas del envío. El receptor recibe una prueba infalsificable del origen del envío, lo cual evita que el emisor pueda negar tal envío.

5. MARCO LEGAL

6. RESPONSABLE DEL TRATAMIENTO

La empresa BETR MEDIA S.A.S., empresa que se dedica a la administración integral de medios digitales desde la generación de estrategias hasta el seguimiento y reporte de contenido. 2. la creación de contenidos audiovisuales para distribución en medios digitales. 3. El diseño y administración de páginas web. 4. Administración y gestión de redes sociales para empresas y personas. 5. demás actividades que se incluyan en mercadeo digital 6. la sociedad podrá llevar a cabo, en general, todas las operaciones, de cualquier naturaleza que ellas fueren, relacionadas con el objeto mencionado, así como cualesquiera actividades similares, conexas o complementarias o que permitan facilitar o desarrollar el comercio o la industria de la sociedad. 7. Así mismo, podrá realizar cualquier otra actividad económica lícita tanto en Colombia, como en el extranjero. para el desarrollo del objeto social la sociedad podrá: a) adquirir, organizar, administrar o enajenar los distintos establecimientos de comercio que se requieran para realizar los fines de la empresa. b) hacer operaciones bancarias, de crédito, de seguros, financieras y en general ejecutar todos los actos financieros, comerciales, crediticios y celebrar los contratos necesarios o consecuentes para el desarrollo y cumplimiento del objeto social, que le permitan obtener fondos u otros activos necesarios para el desarrollo de la empresa o faciliten el cumplimiento de sus fines sociales, sin que ello signifique el desarrollo de actividades de intermediación financiera. c) participar en licitaciones públicas o privadas, contrataciones directas con entidades públicas, privadas o mixtas. d) celebrar contratos de colaboración empresarial (consorcios, uniones temporales, outsourcing) con firmas nacionales o extranjeras. e) escindirse, fusionarse con otras sociedades o absolverlas. f) adquirir bienes muebles o inmuebles, enajenarlos a cualquier título, hipotecarlos, gravarlos, arrendarlos, explotar y, en fin, administrar bienes muebles e inmuebles. g) celebrar toda clase de actos, operaciones y contratos que tengan relación directa con las actividades que integran el objeto social o cuya finalidad será ejercer los derechos o cumplir las obligaciones legal o convencionalmente derivadas de la existencia o actividades de la compañía.

DIRECCIÓN COMERCIAL: CALLE 30 24 28 OF 503
MUNICIPIO: FLORIDABLANCA – SANTANDER
TELÉFONO: 6839767
E-MAIL: [email protected]

La empresa BETR MEDIA S.A.S. identificada con el NIT. 901124752-1 es la responsable y encargada del Tratamiento de los datos personales de sus clientes, proveedores, trabajadores, contratistas, accionistas, asesores, de la misma empresa y demás personas naturales o jurídicas de las cuales se requiera recoger información por razón de nuestra actividad.

7. FUNCIONES

Serán funciones de la Administración en materia de protección de datos personales de BETR MEDIA S.A.S., las siguientes:

  1. Realizar un seguimiento a las actividades relacionadas con manejo de información dentro de sus áreas de responsabilidad.
  2. Propender porque en los procesos misionales y de soporte de su responsabilidad, se implementen la totalidad de mecanismos necesarios para la protección de datos personales.
  3. Garantizar que ante cambios en procesos y/o nuevos productos o servicios que se desarrollen al interior del escenario o área de su responsabilidad, estos cuenten con los requisitos necesarios para la protección de datos personales antes de su puesta en funcionamiento u operación.
  4. Garantizar en los procesos de desvinculación de los funcionarios que pertenezcan al escenario de su responsabilidad, que los perfiles asignados en donde se acceden a información personal sean deshabilitados, a más tardar el día en que el funcionario se retira de BETR MEDIA S.A.S.

8. PRINCIPIOS

En el desarrollo, interpretación y aplicación del presente Manual se aplicarán, de manera armónica e integral, los siguientes principios establecidos en el artículo 4 de la Ley 1581 de 2012:

  1. Principio de legalidad en materia de Tratamiento de datos: El Tratamiento a que se refiere la presente ley es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen;
  2. Principio de finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular;
  3. Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento;
  4. Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error;
  5. Principio de transparencia: En el tratamiento debe garantizarse el derecho del Titular a obtener del responsable del tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan;
  6. Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la presente ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la presente ley.

    Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la presente ley;
  7. Principio de seguridad: La información sujeta a Tratamiento por el responsable del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
  8. Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas.

BETR MEDIA S.A.S. aclara que todos los trabajadores de la organización tienen la obligación de dar cumplimiento a la cláusula de CONFIDENCIALIDAD establecida en el Reglamento Interno de Trabajo, el cual reza: “Confidencialidad. El trabajador acepta, que todo tipo de información relacionada con el empleador que reciba o conozca con relación a la ejecución de sus labores, tiene como única y exclusiva finalidad, el permitir el cabal y correcto desempeño de sus labores, por lo tanto, se obliga a no difundir, comentar, copiar, entregar o comunicar a terceros o hacer un uso diferente a este, por lo que la misma deberá ser manejada con absoluto sigilo. De igual manera el trabajador sólo podrá obtener y utilizar la información requerida para su trabajo previa autorización de la Gerencia. Las partes acuerdan calificar como falta grave para los efectos del contrato el que el empleado, aún por primera vez, viole la cláusula de confidencialidad”

9. ESCENARIOS DE TRATAMIENTO DE INFORMACIÓN PERSONAL.

Con el propósito de conocer, controlar y materializar los postulados, principios y obligaciones consagrados en el presente manual, BETR MEDIA S.A.S. ha identificado los siguientes escenarios de tratamiento de información personal, a partir de los cuales se recopila, almacena, usa, transfiere, comparte y suprime información de naturaleza pública, privada, semiprivada, sensible e información especial de CLIENTES, PROVEEDORES, TRABAJADORES de sus titulares. Los escenarios identificados por BETR MEDIA S.A.S. son los siguientes:

ESCENARIOFINALIDAD
TRABAJADORESAdministrar y gestionar la información de nómina y demás datos requeridos para controlar la ejecución de las relaciones laborales suscritas por BETR MEDIA S.A.S.
CLIENTES/USUARIOSAdministrar y gestionar la información relacionada con los terceros que cuentan con alguna vinculación contractual o comercial con BETR MEDIA S.A.S.
PROVEEDORESAdministrar y gestionar la información de los terceros proveedores de bienes y servicios vinculados a BETR MEDIA S.A.S. con el objeto de suplir las necesidades de esta y garantizar el desarrollo de su objeto misional.
INTERNET Y MEDIOS MASIVOS DE COMUNICACIÓNCanalizar información relevante del funcionamiento y divulgación del objeto misional de BETR MEDIA S.A.S.
HERRAMIENTAS CORPORATIVASUso de los equipos de cómputo, sistemas de gestión de información, elementos de infraestructura informática, correos corporativos entre otras herramientas que tienen por objeto apoyar el desarrollo y gestión del objeto misional de BETR MEDIA S.A.S. Bajo condiciones de seguridad, confidencialidad, privacidad, integridad y disponibilidad.

10. FINALIDAD DE LOS DATOS

El tratamiento de los datos personales de los Titulares se llevará a cabo por parte de
BETR MEDIA S.A.S., con la siguiente finalidad:

  1. Cumplir con las obligaciones contraídas en virtud de la relación legal, contractual, laboral y/o reglamentaria contraídos con BETR MEDIA S.A.S.
  2. Evaluar la calidad de nuestros servicios y el servicio de nuestros proveedores.
  3. Informar sobre campañas de servicio y/o de fidelización.
  4. Realizar invitaciones a eventos, comunicar noticias relacionadas con nuestra labor social.
  5. Generar los informes correspondientes a las Autoridades Judiciales, Comerciales, Ambientales, Ministerio de Trabajo, DIAN y demás organismos gubernamentales que así lo dispongan.
  6. Línea base y de seguimiento de los programas del Sistema Integrado de Gestión.
  7. Desarrollar, registrar, controlar y monitorear las actividades y procedimientos administrativos, operativos y comerciales propios del funcionamiento, desarrollo y consolidación de BETR MEDIA S.A.S.
  8. Compartir o suministrar a terceros válidos ante la ley como organismos de control y vigilancia, información expresamente requerida o autorizada por el titular de la información.
  9. Atender las exigencias legales y requerimientos de información de las autoridades administrativas y judiciales que regulen, supervisen y/o vigilen las actividades y operaciones de BETR MEDIA S.A.S.
  10. Registrar, documentar y alimentar la información general y estadística de BETR MEDIA S.A.S. para el desarrollo de las actividades de analítica e inteligencia de negocio, propendiendo por el mejoramiento continuo y sostenibilidad de BETR MEDIA S.A.S.
  11. Emitir certificaciones solicitadas por los titulares de información, representantes legales, autoridades administrativas o judiciales y terceros autorizados, respecto a la información que repose en los archivos de BETR MEDIA S.A.S.
  12. Realizar gestiones de mercadeo exclusivamente relacionadas con la promoción de los servicios propios de BETR MEDIA S.A.S. No se suministrará a terceros distintos a BETR MEDIA S.A.S., información personal para fines de mercadeo o promoción comercial.
  13. Permitir la creación de casos o usuarios en el(los) sistema(s) de información de BETR MEDIA S.A.S. asociados al proceso de vinculación de proveedores o contratistas, así como al desarrollo de la función estratégica, administrativa, comercial y contable de BETR MEDIA S.A.S.
  14. Ingresar la información al registro interno de proveedores y contratistas de BETR MEDIA S.A.S., en cumplimiento de los procedimientos de orden administrativo, comercial, contable e impositivo, así como para la realización de los análisis y estudios de precios, condiciones, antecedentes y tendencias de mercado asociados a futuros procesos de selección de proveedores o contratistas en los que tenga interés BETR MEDIA S.A.S.
  15. Controlar, monitorear, evaluar, registrar y actualizar las actividades, procedimientos y demás obligaciones propias de la eventual suscripción y ejecución de contratos, así como a la elaboración, seguimiento y reporte de indicadores de gestión y resultados de la labor del proveedor o contratista.
  16. Refrendar la información personal del aspirante mediante su corroboración ante las fuentes directas de las certificaciones, constancias o referencias suministradas.
  17. Archivar y conservar bajo adecuadas condiciones de seguridad, la información requerida para alimentar el archivo histórico de BETR MEDIA S.A.S. durante el término de vigencia legalmente aplicable a cada tipo de activo de información.

11. DERECHOS DEL TITULAR

De acuerdo con la Ley 1581 de 2012 y el Decreto 1377 de 2013, los Titulares de datos
personales tratados por la empresa BETR MEDIA S.A.S. tienen los siguientes
derechos:

  1. Conocer, actualizar y rectificar sus datos personales frente a BETR MEDIA S.A.S., en su condición de responsable del tratamiento. Este derecho se podrá ejercer, entre otros frentes a datos parciales inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.
  2. Solicitar prueba de autorización otorgada a BETR MEDIA S.A.S. del tratamiento salvo cuando expresamente se exceptúe como requisito para el tratamiento, de conformidad con lo previsto en el artículo 10 de la Ley 1581 de 2012.
  3. Ser informado por BETR MEDIA S.A.S. previa solicitud, respecto del uso que le ha dado a sus datos personales.
  4. Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la Ley 1581 de 2012 y las demás normas que la modifiquen, adicionen o complementen, una vez haya agotado el trámite de consulta o reclamo ante BETR MEDIA S.A.S.
  5. Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento BETR MEDIA S.A.S. ha incurrido en conductas contraídas a la Ley 1581 de 2012 y a la Constitución.
  6. Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento.
  7. Solicitar a la Superintendencia de Industria y Comercio que ordene la revocatoria de la autorización y/o la supresión de los datos personales, en los términos del inciso tercero del artículo 9 del Decreto 1377 de 2012. Para estos efectos se aplicará el procedimiento descrito en el artículo 22 de la Ley 1581 de 2012.
  8. Acceder a los datos personales que estén bajo el control de aquellos y ejercer sus derechos sobre los mismos, según lo regulado, por el artículo 22 del Decreto 1377 de 2013.

12. DEBERES DE BETR MEDIA S.A.S. EN RELACIÓN CON EL TRATAMIENTO DE LOS DATOS PERSONALES

BETR MEDIA S.A.S. Tendrá presente, en todo momento, que los datos personales son propiedad de las personas naturales o jurídicas a las que se refieren y que sólo ellas pueden decidir sobre los mismos. En este sentido, hará uso de ellos sólo para aquellas finalidades para las que se encuentra facultado debidamente, y respetando en todo caso la Ley 1581 de 2012 sobre protección de datos personales.

De conformidad con lo establecido en el artículo 17 de la Ley 1581 de 2012, BETR MEDIA S.A.S. se compromete a cumplir en forma permanente con los siguientes deberes en lo relacionado con el tratamiento de datos personales:

  1. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de Habeas data¹.
  2. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta uso o acceso no autorizado o fraudulento.
  3. Realizar oportunamente, esto es en los términos previstos en los artículos 14 y 15 de la Ley 1581 de 2012, la actualización, rectificación o supresión de los datos.
  4. Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en el artículo 14 de 1581 de 2012.
  5. Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad o detalles del dato personal.
  6. Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
  7. Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.
  8. Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
  9. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

¹ El habeas data es una acción jurisdiccional propia del derecho, normalmente constitucional, que confirma el derecho de cualquier persona física o jurídica para solicitar y obtener la información existente sobre su persona, y de solicitar su eliminación o corrección si fuera falsa o estuviera desactualizada. Este derecho aplica a información almacenada en registros o banco de datos de todo tipo, ya sea en instituciones públicas o privadas, y en registros informáticos o no. El derecho habeas data puede cobijar también el concepto de derecho al olvido, esto es, el derecho a eliminar información que se considera obsoleta por el transcurso del tiempo y ha perdido su utilidad. En términos más específicos el habeas data es una acción que puede realizar cualquier ciudadano cuando sus datos no son válidos, alguna deuda que no sea real, etc.

13. PROCEDIMIENTO PARA QUE LOS TITULARES DE LA INFORMACIÓN PUEDAN EJERCER LOS DERECHOS A CONOCER, ACTUALIZAR, RECTIFICAR Y SUPRIMIR INFORMACIÓN Y REVOCAR LA AUTORIZACIÓN

13.1 Calidad de los Datos de Carácter Personal

En ningún caso se tratarán datos de carácter personal que resulten inadecuados, impertinentes y excesivos en relación con las actividades determinadas, explícitas y legítimas necesarias para el desarrollo del objeto social de la empresa BETR MEDIA S.A.S.

Del mismo modo, los datos recogidos para su tratamiento no podrán usarse para finalidades que resulten incompatibles con las que motivaron en cada caso su recogida, salvo que se cuente con el consentimiento del afectado para ese nuevo tratamiento.

En general los datos facilitados por el afectado se consideran exactos.

Sin perjuicio del ejercicio de los derechos de rectificación y cancelación por parte de los afectados, los datos de carácter personal se mantendrán exactos y puestos al día de tal modo que en todo momento respondan a la situación actual del Titular.

13.2 Área Responsable de la Atención de Peticiones, Consultas Y Reclamos de los Titulares

Los departamentos administrativos, comerciales y de mercadeo de la empresa BETR MEDIA S.A.S. tendrán la responsabilidad de proteger los datos personales de los Titulares, según corresponda, y tramitará las solicitudes que estos presenten para el ejercicio de los derechos a que se refiere la Ley 1581 de 2012, el Decreto 1377 de 2013 y el presente Manual.

Para todos los determinados en las normas vigentes y, con el fin esencial de determinar la persona responsable del Tratamiento de la Información que consta en su base de datos, a efectos de permitir el adecuado ejercicio de los derechos por parte de El Titular de la información, podrá presentar todas sus dudas, aclaraciones e información adicional a dicha oficina, la cual está ubicada en la DIRECCIÓN COMERCIAL: CALLE 30 24 38 MUNICIPIO: FLORIDABLANCA – SANTANDER TELEFONO1: 6836797; TELEFONO2: 3005525228; EMAIL : [email protected]

13.3 Consultas

De conformidad con lo establecido en el artículo 14 de la Ley 1581 de 2012 los titulares o sus causahabientes podrán consultar la información personal del titular que repose en cualquier base de datos. En consecuencia, BETR MEDIA S.A.S. garantizará el derecho de consulta, suministrando a los titulares, toda la información contenida en el registro individual o que esté vinculada con la identificación del Titular.

Las solicitudes de consulta serán atendidas en un término máximo de quince (15) días hábiles contados a partir de la fecha de su recibo. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado antes del vencimiento de los quince días, expresando los motivos de la demora y señalando la fecha en que se atenderá la consulta.

13.4 Reclamos

Dando cumplimiento a lo establecido en el artículo 15 de la Ley 1581 de 2012, el Titular o sus causahabientes que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la Ley 1581 de 2012, podrá presentar un reclamo ante BETR MEDIA S.A.S., el cual será tramitado en un término máximo de quince (15) días hábiles contados a partir de la fecha de su recibo.

13.5 Rectificación y Actualización de Datos

BETR MEDIA S.A.S. tiene la obligación de rectificar y actualizar a solicitud del Titular, la información de éste que resulte ser incompleta o inexacta.

En las solicitudes de rectificación y actualización de datos personales, el Titular debe indicar las correcciones a realizar y aportar la documentación que avale su petición.

BETR MEDIA S.A.S. podrá establecer formularios, sistemas u otros medios simplificados, para la actualización de datos.

13.6 Supresión de Datos

El Titular tiene el pleno derecho, en todo momento, a solicitar a la empresa BETR MEDIA S.A.S. la supresión de sus datos personales y/o revocar la autorización otorgada para el Tratamiento de estos, mediante la presentación de un reclamo, dando cumplimiento a lo establecido en el artículo 15 de la Ley 1581 de 2012.

La solicitud de supresión de datos y la revocatoria de autorización no procederá cuando el Titular tenga un deber legal, contractual, laboral y/o reglamentario de permanecer en la base de datos.

La supresión de los datos personales puede solicitarse cuando:

  1. Considere que los mismos no están siendo tratados conforme a los principios, deberes y obligaciones previstas en la Ley 1581 de 2012.
  2. Han dejado de ser necesarios o pertinentes para la finalidad para la cual fueron recabados.
  3. Se haya superado el periodo necesario para el cumplimiento de los fines para los que fueron recabados.

14. SEGURIDAD FÍSICA Y DEL ENTORNO

14.1 Acceso

BETR MEDIA S.A.S. ha desarrollado procedimientos para tener acceso controlado y restringido al cuarto de telecomunicaciones. La Red de Datos de BETR MEDIA S.A.S, desde la gerencia general elabora y mantiene las normas, controles y registros de acceso a dichas áreas.

14.2 Seguridad en los equipos

Los equipos y/o dispositivos que contengan información y servicios institucional son mantenidos en un ambiente seguro y protegido por los menos con:

Toda información institucional en formato digital es mantenida en servidores en la nube aprobados por la Gerencia General. No se permite el alojamiento de información institucional en servidores externos sin que medie una aprobación por escrito de la Gerencia General. Los Equipos claves de comunicaciones son alimentados por sistemas de potencia eléctrica regulados y están protegidos por UPS. La Red de Datos se encuentra asegurada, así como la infraestructura de servicios de TI está cubierta por mantenimiento y soporte adecuados de hardware y software. Las estaciones de trabajo deben estar correctamente aseguradas y operadas por personal de la institución el cual debe estar capacitado acerca del contenido de esta política y de las responsabilidades personales en el uso y administración de la información empresarial. Los medios que alojan copias de seguridad deben ser conservados de forma correcta de acuerdo con las políticas y estándares que para tal efecto elabore y mantenga la gerencia general de BETER SAS. Las dependencias tienen la responsabilidad de adoptar y cumplir las normas definidas para la creación y el manejo de copias de seguridad.

15. ADMINISTRACIÓN DE LAS COMUNICACIONES Y OPERACIONES

15.1 Reporte e investigación de incidentes de seguridad

El personal de BETR MEDIA S.A.S. debe reportar con diligencia, prontitud y responsabilidad presuntas violaciones de seguridad a través de su jefe inmediato o directamente a la Gerencia General, la cual debe garantizar las herramientas informáticas para que formalmente se realicen tales denuncias. La Gerencia General debe preparar, mantener y difundir las normas, procesos y guías para el reporte e investigación de incidentes de seguridad. En conformidad con la ley, la Gerencia General de BETR MEDIA S.A.S. podrá interceptar o realizar seguimiento a las comunicaciones por diferentes mecanismos, y en todo caso notificando previamente a los afectados por esta decisión.

15.2 Protección contra software malicioso y hacking.

Todos los sistemas informáticos deben ser protegidos teniendo en cuenta un enfoque multinivel que involucre controles humanos, físicos técnicos y administrativos. La Gerencia General de BETR MEDIA S.A.S. elaborará y mantendrá un conjunto de políticas, normas, estándares, procedimientos y guías que garanticen la mitigación de riesgos asociados a amenazas de software malicioso y técnicas de hacking, o la contratación de un tercero que haga ese tipo de revisiones de manera escalonada y en periodos de tiempo consistentes y acorde con la costumbre informática. En todo caso y como control mínimo, las estaciones de trabajo deben estar protegidas por software antivirus con capacidad de actualización automática. Los usuarios de las estaciones no están autorizados a deshabilitar este control. La Gerencia General de BETR MEDIA S.A.S. podrá hacer seguimiento al tráfico de la red cuando se tenga evidencias de actividad inusual o detrimentos en el desempeño. La Gerencia General deberá mantener actualizada una base de datos con alertas de seguridad reportadas por organismos competentes y actuar en conformidad cuando una alerta pueda tener un impacto considerable en el desempeño de los sistemas informáticos.

15.3 Copias de Seguridad

Toda información que pertenezca a la matriz de activos de información institucional o que sea de interés para un proceso operativo o de misión crítica debe ser respaldada por copias de seguridad tomadas de acuerdo con los procedimientos estipulados por la Gerencia General de BETR MEDIA S.A.S.. Dicho procedimiento debe incluir las actividades de almacenamiento de las copias en sitios seguros. Las copias de seguridad de información crítica deben ser mantenidas de acuerdo con las políticas de respaldo del proveedor contratado para tal fin. La creación de copias de seguridad de archivos usados, custodiados o producidos por usuarios individuales están estrictamente prohibidas.

15.4 Administración de Configuraciones de Red

La configuración de enrutadores, switches, firewall, sistemas de detección de intrusos y otros dispositivos de seguridad de red; debe ser documentada, respaldada por copia de seguridad y mantenida por la empresa contratada para tal fin. Todo equipo de TI debe ser revisado, registrado y aprobado por la Gerencia General de BETR MEDIA S.A.S. antes de conectarse a la Red de comunicaciones y datos institucional. La Gerencia General debe desconectar aquellos dispositivos que no estén aprobados y reportar tal conexión como un incidente de seguridad a ser investigado.

15.5 Intercambio de Información con Organizaciones Externas.

Las peticiones de información por parte de entes externos de control deben ser aprobadas por la Gerencia General de BETR MEDIA S.A.S..

15.6 Internet y Correo Electrónico

Las normas de uso de Internet y de los servicios de correo electrónico serán elaboradas, mantenidas y actualizadas por la Gerencia General de BETR MEDIA S.A.S. y en todo caso se debe velar por el cumplimiento del manejo responsable de los recursos de tecnologías de la información.

15.7 Instalación de Software

Todas las instalaciones de software que se realicen sobre sistemas de BETR MEDIA S.A.S. deben ser aprobadas por la Gerencia General, de acuerdo con los procedimientos elaborados para tal fin. No se permite la instalación de software que viole las leyes de propiedad intelectual y derechos de autor en especial la ley 23 de 1982 y relacionadas, constitución política de Colombia artículo 61, código penal Colombia, articulo 270, 271, Ley 1273 de 5 de enero de 2009, y relacionados.

16.SUMINISTRO Y USO DE HERRAMIENTAS CORPORATIVAS QUE INVOLUCRE EL TRATAMIENTO DE INFORMACIÓN PERSONAL

BETR MEDIA S.A.S. podrá suministrar a sus trabajadores y/o proveedores las distintas herramientas, medios o equipos corporativos tales como líneas telefónicas, computadores portátiles o de escritorio, equipos móviles de comunicación, cuentas corporativas de correo electrónico, servicios de almacenamiento de datos, usuarios y perfiles de acceso a sus sistemas de información, entre otros elementos corporativos incluidos el software, los aplicativos y demás desarrollos que BETR MEDIA S.A.S. instale o licencie para el desarrollo de las actividades, funciones y obligaciones propias de su actividad. Por lo anterior, el destinatario de este tipo de herramientas se obliga al momento de su recepción y posterior utilización a cumplir con los siguientes compromisos:

  1. Los medios, equipos, herramientas y demás elementos corporativos son propiedad de BETR MEDIA S.A.S., por lo que cualquier destinatario de estos se obliga a custodiar, conservar, mantener, proteger y dar un uso adecuado de los mismos según las instrucciones y protocolos aplicables a cada uno de los elementos puestos a su disposición.
  2. Sólo se podrá acceder y/o utilizar los medios, equipos, herramientas y demás elementos corporativos que expresamente le hayan sido entregados o suministrados por BETR MEDIA S.A.S. previa realización y suscripción del respectivo inventario. Por lo anterior se prohíbe compartir o brindar acceso a terceros no autorizados o suministrar datos confidenciales y/o personales respecto de los cuales BETR MEDIA S.A.S. ostente la condición de responsable o encargado del tratamiento en los términos de la ley.
  3. Se prohíbe usar los medios, equipos o herramientas corporativas entregadas o puestas a disposición por parte de BETR MEDIA S.A.S. para temas que no estén directamente relacionados con las labores, funciones o finalidades para las que se suministra. De igual forma se prohíbe la instalación o el uso de cualquier software sin contar con la autorización previa y escrita de BETR MEDIA S.A.S.
  4. La línea telefónica así como la cuenta corporativa de correo electrónico son herramientas de trabajo que deben usarse para los propósitos y finalidades específicas por las cuales han sido asignadas, por tal razón, la información que circule por esos medios se considerará material clasificado de propiedad de BETR MEDIA S.A.S., permitiendo su acceso, grabación, así como la realización de cualquier otra actividad de trazabilidad y control de la información conforme a sus políticas internas de seguridad y protección de datos personales.

17. AVISO DE PRIVACIDAD Y LAS POLÍTICAS DE TRATAMIENTO DE INFORMACIÓN

BETR MEDIA S.A.S. conservará el modelo de aviso de privacidad que se transmitió a los Titulares mientras se lleve a cabo tratamiento de datos personales y perduren las obligaciones que de éste se deriven. Para el almacenamiento del modelo, BETR MEDIA S.A.S. podrá emplear medios físicos, informáticos, electrónicos o cualquier otra tecnología.

18. DIVULGACIÓN

El presente Manual hace parte del sistema Integrado de Gestión y será publicado en la cartelera de la oficina administrativa de la empresa BETR MEDIA S.A.S. y en la página web.

19. REGISTRO NACIONAL DE BASES DE DATOS

BETR MEDIA S.A.S. se reserva, en los eventos contemplados en la ley y en sus estatutos y reglamentos internos, la facultad de mantener y catalogar determinada información que repose en sus bases de datos, como confidencial de acuerdo con las normas vigentes, sus estatutos y reglamentos.

20. VIGENCIA

El presente Manual de la empresa BETR MEDIA S.A.S. rige a partir del día 10 del mes de Enero de 2020.

21. DOCUMENTOS RELACIONADOS:

22. HISTORIAL DE CAMBIOS:

Versión No.FechaVersión No. Fecha Descripción de cambios
0110/01/2020Se crea la política de seguridad de la información

23. REVISIÓN Y APROBACIÓN:

CARGOFIRMA
Revisó:Consultor en Seguridad de la InformaciónHUGO VECINO PICO
Aprobó:Gerente