Políticas

(Descargue la Política)

Política de Privacidad

Propósito

La presente política de tratamiento de datos personales es elaborada de conformidad con lo dispuesto en la Constitución Política de Colombia, la Ley 1581 de 2012, y demás disposiciones complementarias y será aplicada por NORTE CONEXT S.A.Srespecto de la recolección, almacenamiento, uso, circulación, supresión y de todas aquellas actividades que constituyan tratamiento de datos personales.

1. Responsable del Tratamiento

El Responsable del Tratamiento es:

NORTE CONEXT S.A.S– NIT 901.872.674– 3

Dirección: Calle 13A # 705 Barr Aeropuerto, ciudad de Cúcuta, Norte de Santander

Correo electrónico: info@norteconex.net

Teléfono +57 (318) 462-1330 / (317) 807-9830

Sitio web: http://www.norteconex.net

2. Definiciones

Para efectos de la ejecución de la presente política y de conformidad con la normatividad legal, serán aplicables las siguientes definiciones:

Autorización: Se refiere al consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de Datos Personales.

Aviso de Privacidad: Se refiere a la comunicación verbal o escrita dirigida al Titular para el Tratamiento de sus Datos Personales, mediante la cual se le informa acerca de la existencia de la Política, la forma de acceder a la misma y las finalidades del Tratamiento que se pretende dar a los Datos Personales.

Bases de Datos: Se refiere al conjunto organizado de Datos Personales que sea objeto de Tratamiento. Las Bases de Datos podrán ser física o electrónica.

Causahabiente: Se refiere a la persona que ha sucedido a otra por causa del fallecimiento de ésta (heredero).

Contrato de Transmisión: Se refiere al contrato que suscriba el Responsable con el(los) eventual(es) Encargado(s) para el Tratamiento de Datos Personales bajo su control y responsabilidad, señalará los alcances del Tratamiento, las actividades que el Encargado realizará por cuenta del Responsable para el Tratamiento de los Datos Personales y las obligaciones del Encargado con el Titular y el Responsable.

Cookies: Se refiere a los pequeños archivos que se almacenan en el disco duro de su ordenador o dispositivo móvil al visitar ciertas páginas web o aplicaciones y que identifican su ordenador o dispositivo móvil y pueden guardar datos, como información acerca de su comportamiento en línea.

Datos Personales: Se refiere a cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.

Dato Público: Se refiere al dato que no sea semiprivado, privado o sensible. Son considerados Datos Públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o servidor público y aquellos que puedan obtenerse sin reserva alguna. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales.

Datos Sensibles: Se refiere a todos los datos sensibles, aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, las pertenencia a sindicatos, organizaciones sociales, de derecho humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.

Encargado: Se refiere a la persona, natural o jurídica, que por sí misma o en asocio con otros, realice el Tratamiento de Datos Personales por cuenta del Responsable.

Personas Autorizadas: Se refiere a las personas que podrán ejercer los derechos del Titular, las cuales se listan en el Artículo 10.2 de la presente Política.

Política: Se refiere a la presente Política.

Registro Nacional de Bases de Datos: Se refiere al directorio público de las bases de Datos Personales sujetas a Tratamiento administrado por la SIC.

Responsable o Norte Conex S.A.S: Se refiere a la Responsable como entidad que, por sí misma o en asocio con otros, decide sobre la Base de Datos o el Tratamiento de los Datos Personales.

SIC: Se refiere a la Superintendencia de Industria y Comercio.

Titular: Se refiere a la persona natural cuyos Datos Personales sean objeto de Tratamiento.

Transferencia: Se refiere a la situación en la cual el Responsable y/o el Encargado del Tratamiento de Datos Personales, ubicado en Colombia, envía la información o los Datos Personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.

Transmisión: Se refiere al Tratamiento de Datos Personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.

Tratamiento: Se refiere a cualquier operación o conjunto de operaciones sobre Datos Personales, incluyendo, pero sin limitarse a la recolección, almacenamiento, uso, circulación o supresión de Datos Personales.

1. Tipología de Tratamiento

3.1. El Tratamiento de Norte Conex S.A.S consistirá en la recolección, intercambio, almacenamiento, uso, análisis, reporte, circulación, procesamiento, reproducción o compilación, sistematización, actualización, organización, conservación, rectificación y supresión de Datos Personales, de forma parcial o total, de acuerdo y en proporción a las finalidades establecidas en la presente Política.

3.2. En caso de utilizo de las páginas web y/o aplicaciones de titularidad de Norte Conex S.A.S, se pueden registrar, entre otros, los siguientes tipos de datos:

1. a) información que se puede relacionar con un usuario específico y/o que puede utilizarse para ponerse en contacto con este (tanto online como offline) como, entre otros, el nombre completo, dirección de correo postal o electrónico, número de teléfono, información de geolocalización (como su ubicación precisa), e información de la tarjeta de crédito.
2. b) información que no identifica el Titular y que no puede utilizarse para ponerse en contacto con el mismo, incluyendo datos como fecha de nacimiento, código postal, ubicación no precisa, así como información acerca del ordenador y del dispositivo móvil (como, por ejemplo, identificador del dispositivo, dirección IP u otros identificadores, así como hardware/software/firmware). Los datos no personales también incluyen los «datos de uso», que son datos anónimos relacionados con el ordenador y/o dispositivo como las acciones que el Titular realiza tanto dentro como fuera de las páginas web y/o aplicaciones, el navegador que utiliza, la identidad de otras aplicaciones en el dispositivo, la fecha y la hora del uso de las páginas web y/o aplicaciones.

3.3. La recolección de Datos Personales del Titular puede hacerse mediante la entrega directa y/o personal por cualquier medio de contacto físicos o electrónicos entre el Titular y el Responsable o su(s) eventual(es) Encargado(s). También puede recolectar Datos Personales de manera indirecta a través de fuentes de acceso público y de otras fuentes disponibles.

1. Finalidades

4.1. Los Datos Personales que Norte Conex S.A.S recolecta y trata son usados para una de las siguientes finalidades:

1. a) llevar a cabo las actividades y gestiones enfocadas al cumplimiento de las obligaciones originadas y derivadas de cualquier relación jurídica y/o comercial que se establece con el Titular, en desarrollo del objeto social y de la actividad comercial de Norte Conex S.A.S;
2. b) ejecutar las obligaciones originadas y derivadas de cualquier relación jurídica y/o comercial que se establece con sus clientes, proveedores, trabajadores, distribuidores o agentes;
3. c) informar sobre nuevos productos o servicios y/o sobre cambios en los mismos, evaluar la calidad de sus productos y/o servicios, realizar estudios internos sobre hábitos de consumo;
4. d) personalizar el contenido y las ofertas de los clientes y proporcionar anuncios que se ajusten mejor a los intereses y al perfil de los mismos;
5. e) proveer los servicios y/o los productos requeridos por sus clientes;
6. f) realizar estudios internos, compilar estadísticas, responder a preguntas de atención al cliente o realizar procesos de auditoría interna o externa;
7. g) enviar al correo físico, electrónico, celular o dispositivo móvil, vía mensajes de texto (SMS y/o MMS) o a través de cualquier otro medio análogo y/o digital de comunicación creado o por crearse, información comercial, publicitaria o promocional sobre los productos y/o servicios, eventos, promociones de tipo comercial o no de estas;
8. h) desarrollar el proceso de reclutamiento, selección, evaluación, y vinculación laboral;
9. i) suministrar, compartir, enviar o entregar Datos Personales a empresas filiales, vinculadas, subordinadas en Colombia o cualquier otro país en el evento que dichas compañías requieran la información para los fines aquí indicados;
10. j) ejecutar los derechos y cumplir con los deberes de los accionistas de Norte Conex S.A.S;
11. k) controlar y prevenir el fraude y el lavado de activos y proteger frente a las trampas, el crimen o para reforzar otro tipo de seguridad;
12. l) archivar y actualizar los sistemas de protección y custodia de información y Bases de Datos de Norte Conex S.A.S;
13. m) cumplir con las disposiciones constitucionales, legales y reglamentarias previstas en el ordenamiento jurídico colombiano y determinar la jurisdicción en la que se encuentra el Titular, para poder determinar qué leyes le afectan.

5. Tratamiento de categorías particulares de datos

5.1. El Tratamiento de Datos Sensibles está prohibido excepto en los casos expresamente señalados en la normativa aplicable. Cuando dicho Tratamiento sea posible conforme a lo establecido en la normativa aplicable, deberá cumplirse en el respecto de las siguientes obligaciones: a) Informar al Titular que por tratarse de Datos Sensibles no está obligado a autorizar su Tratamiento; b) Informar al Titular de forma explícita y previa, además de los requisitos generales de la Autorización para la recolección de cualquier tipo de Dato Personal, cuáles de los datos que serán objeto de Tratamiento son sensibles y la finalidad del Tratamiento, así como obtener su consentimiento expreso; c) Ninguna actividad podrá condicionarse a que el Titular suministre Datos Sensibles.

5.2. El Tratamiento de información de niños, niñas y adolescentes está prohibido salvo aquellos datos que sean de naturaleza pública y cuando dicho Tratamiento cumpla con los siguientes parámetros y requisitos: a) que responda y respete el interés superior de los niños, niñas y adolescentes; b) que se asegure el respeto de sus derechos fundamentales; y c) se recolectara los datos de los menores con el fin de afiliarlo a cajas de compensación y seguridad social en calidad de beneficiarios.

1. Cookies

6.1. Con referencia al uso de las páginas web y/o aplicaciones de titularidad de Norte Conex S.A.S, Norte Conex S.A.S podrá utilizar Cookies. En caso de que el Titular acepte el envío de dichos Datos Personales, Norte Conex S.A.S podrá enlazar la información de las Cookies a ellos. Las Cookies pueden ser desactivadas o el Titular puede configurar su navegador para que le avise cuando se envíen.

6.2. Asimismo, ciertos anunciantes pueden hacer uso de Cookies en sus espacios publicitarios dentro de las páginas web y/o aplicaciones de titularidad de NORTE CONEXT S.A.SEstas Cookies recopilarán información anónima sobre su comportamiento que dichos terceros podrán utilizar para mostrar anuncios dirigidos al Titular en particular tanto en los sitios web y aplicaciones de Norte Conex S.A.S como fuera de ellos.

1. Transferencia y Transmisiones de los Datos Personales y no personales que recopilamos

7.1. Norte Conex S.A.S podrá transferir, entregar, transmitir Datos Personales con el fin de cumplir con las finalidades de la Base de Datos correspondiente; no obstante, dicha información se regirá por esta Política.

7.2. Norte Conex S.A.S podrá subcontratar a terceros para el procesamiento de determinadas funciones o información. Cuando efectivamente se subcontrate con terceros el procesamiento de información personal o se proporcione información personal a terceros prestadores de servicios, Norte Conex S.A.S advierte a dichos terceros sobre la necesidad de proteger dicha información personal con medidas de seguridad apropiadas, se prohíbe el uso de la información para fines propios y se solicita que no se divulgue la información personal a otros.

7.3. Los receptores de los Datos Personales, están obligados a mantener la confidencialidad de los Datos Personales y a cumplir la Política y lo demás procedimientos e instrucciones de aplicación de la Política.

7.4. La Transmisión y Transferencia internacionales de Datos Personales se hará de conformidad con las leyes de protección de la información aplicables.

1. Duración del Tratamiento

8.1. Norte Conex S.A.S conservará la información del Titular durante el tiempo que necesite para las finalidades establecidas en esta Política, de acuerdo con las regulaciones y leyes aplicables.

1. Autorización del Titular

9.1. Sin perjuicio de las excepciones previstas en la ley, en el Tratamiento se requiere la Autorización previa, expresa e informada del Titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta y verificación posterior.

9.2. La Autorización del Titular no será necesaria en los casos establecidos de la normativa aplicable y, entre otros, Datos Públicos, información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.

9.3. En el evento que los Datos Personales suministrados por el Titular pertenezcan a terceras personas, se entenderá que el Titular está facultado para otorgar dichos datos. El Titular es responsable frente a esos terceros por haber suministrado la información, siempre que el Titular mantenga indemne a Norte Conex S.A.S de cualquier reclamación.

9.4. Con la utilización de las páginas web de Norte Conex S.A.S, el Titular manifiesta que ha leído, entendido y acordado los términos de la presente Política, lo que constituye su consentimiento a los cambios y/o actualizaciones respecto al Tratamiento de sus Datos Personales.

1. Derechos del Titular

10.1. De conformidad con esta Política y la normativa aplicable, el Titular tiene derecho a:

1. a) Conocer, actualizar y rectificar sus Datos Personales.

Este derecho se podrá ejercer, entre otros, frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado.

1. b) Solicitar prueba de la autorización otorgada para el Tratamiento, salvo cuando expresamente se exceptúe como requisito para el Tratamiento.
2. c) Ser informado por el Responsable o el eventual Encargado, previa solicitud, respecto del uso dado a sus Datos Personales.
3. d) Presentar ante la SIC quejas por infracciones a lo dispuesto en la presente Política y en la normativa aplicable. El Titular o las Personas Autorizadas solo podrán elevar quejas ante la SIC una vez haya agotado el trámite de consulta o reclamo establecido en los Artículos 11 y 12 de la presente Política.
4. e) Revocar la autorización y/o solicitar la supresión de los Datos Personales cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales, aplicando el procedimiento descrito en el sucesivo Artículo 12.

La solicitud de supresión y/o la revocatoria de la Autorización no procederán cuando el Titular tenga un deber legal o contractual de permanecer en la Base de Datos.

1. f) Acceder en forma gratuita a sus Datos Personales que hayan sido objeto de Tratamiento para el cual deberá enviar solicitud escrita al Responsable.

10.2. Los derechos del Titular podrán ejercerse por las siguientes personas:

1. a) Por el Titular, quien deberá acreditar su identidad en forma suficiente.
2. b) Por los Causahabientes del Titular, quienes deberán acreditar tal calidad.
3. c) Por el representante y/o apoderado del Titular, previa acreditación de la representación o apoderamiento.
4. d) Por estipulación a favor de otro o para otro.
5. e) En caso de niños, niñas y adolescentes, por las personas que están facultadas para representarlos.

10.3. Los Datos Personales del Titular podrán ser suministrados a las siguientes personas:

1. a) Al Titular, sus Causahabientes o sus representantes legales.
2. b) A las entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial.
3. c) A los terceros autorizados por el Titular o por la Ley.

10.4. La veracidad, autenticidad, vigencia y exactitud de la información que proporcione el Titular o las Personas Autorizadas es responsabilidad del Titular y se compromete a notificar al Responsable cualquier cambio que sufra esa información.

1. Procedimiento de consulta de los Titulares

11.1. El Titular o las Personas Autorizadas, podrán consultar los Datos Personales del Titular mediante comunicación escrita que contenga como mínimo la siguiente información:

1. a) Nombre del Titular y copia de los documentos que lo acrediten como tal.
2. b) Datos de contacto del Titular (teléfono, email, domicilio).
3. c) Descripción clara y precisa de los Datos Personales respecto de los que requiere la consulta.
4. d) Descripción clara y precisa de la solicitud de consulta.
5. e) En el caso en que el procedimiento de consulta sea requerido da una Persona Autorizada, la comunicación también tendrá que contener el nombre de la Persona Autorizada y copia de los documentos que lo acrediten como tal.

11.2. Dichos documentos deberán ser radicados:

En físico a la siguiente dirección:

NORTE CONEXT S.A.S– NIT 901.872.674– 3

Dirección: Calle 13A # 705 Barr Aeropuerto, ciudad de Cúcuta, Norte de Santander

Correo electrónico: info@norteconex.net

Teléfono +57 (318) 462-1330 / (317) 807-9830

Sitio web: http://www.norteconex.net

De lunes a viernes en horario 8:00 AM – 1:00 PM y 2:00 PM a 5:00 PM.

• En el correo electrónico dirigido a la dirección info@norteconex.net con el asunto “Solicitud de consulta Datos Personales”.

11.3. Norte Conex S.A.S responderá la solicitud del Titular en un plazo máximo de diez (10) días hábiles contados a partir desde la fecha de recibo de la misma. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término. En todos los casos, la respuesta se dará por la misma vía por la que haya presentado la solicitud o en su caso por cualquier otro medio acordado con el Titular o las Personas Autorizadas.

11.4. El Titular tendrá el derecho de consultar de forma gratuita sus Datos Personales: (i) al menos una vez cada mes calendario, y (ii) cada vez que existan modificaciones sustanciales de la Política que motiven nuevas consultas. Para consultas cuya periodicidad sea mayor a una por cada mese calendario, el Responsable podrá cobrar al Titular los gastos de envío, reproducción y, en su caso, certificación de documentos. En todo caso, los costos de reproducción no podrán ser mayores a los costos de recuperación del material correspondiente.

1. Procedimiento de reclamo de los Titulares

12.1. El Titular o las Personas Autorizadas, que consideren que la información contenida en los Datos Personales del Titular debe ser objeto de corrección, actualización o supresión, o advierten el presunto incumplimiento de cualquiera de los deberes contenidos en la normativa aplicable, podrán presentar reclamo mediante comunicación escrita que contenga como mínimo la siguiente información:

1. a) Nombre del Titular y copia de los documentos que lo acrediten como tal.
2. b) Datos de contacto del Titular (teléfono, email, domicilio).
3. c) Descripción clara y precisa de los Datos Personales respecto de los que busca ejercer alguno de los derechos.
4. d) Descripción clara y precisa de su reclamo, de los hechos que dan lugar al reclamo y los documentos que se quiera hacer valer.
5. e) Cualquier otro elemento o documento que facilite la localización de los Datos Personales del Titular.
6. f) En el caso de las solicitudes de corrección y/o actualización de Datos Personales del Titular, también indicar las modificaciones a realizarse y aportar la documentación que sustente su petición.
7. g) En el caso en que el procedimiento de reclamo sea requerido da una Persona Autorizada, la comunicación también tendrá que contener el nombre de la Persona Autorizada y copia de los documentos que lo acrediten como tal.

12.2. Dichos documentos deberán ser radicados:

• En físico a la siguiente dirección:

NORTE CONEXT S.A.S– NIT 901.872.674– 3

Dirección: Calle 13A # 705 Barr Aeropuerto, ciudad de Cúcuta, Norte de Santander

Correo electrónico: info@norteconex.net

Teléfono +57 (318) 462-1330 / (317) 807-9830

Sitio web: http://www.norteconex.net

De lunes a viernes en horario 8:00 AM – 1:00 PM y 2:00 PM a 5:00 PM.

En el correo electrónico dirigido a la dirección info@norteconex.net con el asunto “Reclamo Datos Personales”.

12.3. Si la información del reclamo es errónea y/o insuficiente y/o incompleta, Norte Conex S.A.S solicitará, dentro de los cinco (5) días hábiles siguientes a la recepción del reclamo, que aporte las informaciones y/o los elementos y/o los documentos necesarios para dar trámite al mismo. Trascurrido dos (2) meses contados a partir de la fecha del requerimiento, sin que el solicitante presente las informaciones y/o los elementos y/o los documentos requeridos, se tendrá por desistido el reclamo.

12.4. Una vez recibido el reclamo completo y en un término no mayor a dos (2) días hábiles, se incluirá en la Base de Datos una leyenda que diga «reclamo en trámite» y el motivo del mismo. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.

12.5. En todo caso, Norte Conex S.A.S atenderá el reclamo del Titular en un plazo máximo de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado, los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término. La respuesta se dará por la misma vía por la que haya presentado la solicitud o en su caso por cualquier otro medio acordado con el Titular o las Personas Autorizadas.

12.6. En caso de que quien reciba el reclamo no sea competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación el interesado.

1. Cambios a la Política

13.1. Norte Conex S.A.S se reserva el derecho de modificar y/o actualizar, total o parcialmente, sin previo aviso, la Política a efecto de incluir novedades legislativas, políticas internas, avances tecnológicos o prácticas de mercado.

13.2. La Política y sus correspondientes modificaciones se publicarán en la sección de “Privacidad” de nuestras Páginas Web.

13.3. Es obligación del Titular revisar el contenido de la Política, antes de enviar cualquier dato considerado como Datos Personales.

1. Medidas de seguridad

14.1. Para garantizar al Titular en todo momento la salvaguarda de su confidencialidad, los Datos Personales y los Datos Sensibles recolectados serán protegidos por medidas de seguridad adecuadas a fin de minimizar los riesgos de daño, destrucción o pérdida – incluso accidental – alteración, destrucción, uso, acceso o tratamiento ilícito, no autorizado o fraudulento o que no se ajuste a las finalidades de recopilación de datos indicadas en la Política, de conformidad con lo dispuesto en la legislación aplicable, en la Política y lo demás procedimientos e instrucciones de aplicación de la Política.

14.2. No obstante lo anterior, Norte Conex S.A.S no será responsable por ataques informáticos y en general cualquier acción que tenga como objetivo infringir las medidas de seguridad establecidas para la protección de los Datos Personales e información diferente a estos contenida en sus equipos informáticos o en aquellos contratados con terceros.

1. Ley aplicable

15.1. Todo lo concerniente a la entrega, recepción, manejo y protección de Datos Personales, entre el Titular y Norte Conex S.A.S, se rige por la legislación Colombiana vigente en materia de protección de Datos Personales.

1. Vigencia

16.1. Esta Política entró en vigencia el mes de mayo de 2025

(Descargue el Manual)

MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

OBJETIVO

Establecer las medidas organizacionales, técnicas, físicas y legales, necesarias para proteger los activos de información contra acceso no autorizado, divulgación, duplicación, interrupción de sistemas, modificación, destrucción, pérdida, robo, o mal uso, que se pueda producir en forma intencional o accidental, asegurando el cumplimiento de los principios de confidencialidad, integridad, disponibilidad, legalidad, confiabilidad y no repudio de la información

ALCANCE

Este MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN, es aplicable a todos los colaboradores, consultores, contratistas, terceras partes, que usen activos de información que sean propiedad de la organización.

Las políticas de seguridad descritas en este manual, se encuentran enfocadas al cumplimiento de la normatividad legal colombiana vigente y a las buenas prácticas de seguridad de la información, basadas en la norma ISO 27001:2013.

LÍNEA BASE DE LA POLÍTICA

RESPONSABILIDAD

Es responsabilidad de la organización hacer uso de la MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN, como parte de sus herramientas de gobierno y de gestión, de definir los estándares, procedimientos y lineamientos que garanticen su cumplimiento.

CUMPLIMIENTO

El cumplimiento de la MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN es obligatorio. Si los colaboradores, consultores, contratistas, terceras partes violan estas políticas, la organización se reserva el derecho de tomar las medidas correspondientes.

EXCEPCIONES

Las excepciones a cualquier cumplimiento de MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN deben ser aprobadas por la dirección de la organización. Todas las excepciones a la Política deben ser formalmente documentadas, registradas y revisadas.

ADMINISTRACIÓN DE LAS POLÍTICAS

Las modificaciones o adiciones al MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN serán propuestas por el encargado de hacer cumplir las políticas presentes previa autorización de la gerencia de la organización.  Estas políticas deben ser revisadas como mínimo una vez al año o cuando sea necesario.

POLÍTICA CONTROL DE ACCESO

Propósito:

 Definir los lineamientos relativos al control de acceso lógico de los usuarios de la NORTE CONEX S.A.S

Alcance:

Esta política aplica a todos los funcionarios, asesores, personal de contratistas, empleados temporales y terceros que tienen acceso a los servicios de red, aplicaciones y sistemas de información de NORTE CONEX S.A.S.

Generalidades:

En esta política sesta basada en NORMA ISO/IEC 27001:2013 ANEXO A 9.1.1 y definen las condiciones sobre las cuales los funcionarios, contratistas o terceros tienen acceso a la red, sistemas operativos y aplicativos de NORTE CONEX S.A.S.

ACCESO A LA RED 

• Son usuarios de red de la organización todos los funcionarios, contratistas y terceros que se encuentren en NORTE CONEX S.A.S.
• El acceso a la red por parte de terceros debe estar estrictamente restringido y permisible únicamente con previa autorización del profesional responsable de NORTE CONEX S.A.S
• La gestión de contraseñas para el acceso a la red se realiza por medio de autorización de NORTE CONEX S.A.S.

ACCESO A LAS APLICACIONES

• La persona encargada de NORTE CONEX S.A.S es quien debe realizar la solicitud de creación o asignación del usuario de las aplicaciones que requiera el funcionario o contratista.

• El responsable del Proceso de Gestión de Sistemas de Información será el encargado de la creación, modificación y desactivación de cuentas de los usuarios de acuerdo a lo establecido en el Procedimiento aplicable.

• La asignación y gestión de cambios de claves y/o contraseñas de cuenta, se encuentra a cargo del responsable del Proceso de Gestión de Sistemas de Información.

INGRESO A LA RED CORPORATIVA

La gestión de los usuarios para el ingreso a la red corporativa de la organización se realiza a través de contraseña segura de red.

El ingreso a la red corporativa se encuentra protegido, mediante el inicio seguro de sesión; los funcionarios tendrán acceso a la red corporativa en función de la operación, así mismo es responsabilidad de los funcionarios de la NORTE CONEX S.A.S que se cumpla y se asegure formalmente el acceso a los sistemas.

GESTIÓN DE CONTRASEÑAS

Con el fin de evitar el acceso no autorizado a los sistemas informáticos de NORTE CONEX S.A.S, las contraseñas utilizadas deben cumplir con las siguientes condiciones:

• Longitud de Contraseñas. La longitud de las contraseñas de ingreso a equipos de cómputo debe ser mínimo de ocho caracteres, para dispositivos móviles (Teléfonos inteligentes y portátiles) se debe contar con una contraseña de cuatro números
• Uso de Combinaciones. Las contraseñas utilizadas por los usuarios de la red corporativa de NORTE CONEX S.A.S deben cumplir con las siguientes condiciones:
  • Contar con al menos 8 caracte
  • Contener caracteres Alfabéticos (a-z, A-Z)
  • Numéricos (0-9)
  • Caracteres especiales (!@#$%^&*()_+|~- =\`{}[]:”;'<>?,./) (Opcional)

RESTRICCIONES DE USO DE CONTRASEÑAS

Las contraseñas utilizadas para el acceso a los equipos de cómputo y sistemas informáticos de NORTE CONEX S.A.S no deben utilizar cadena de caracteres duplicados, nombre de usuario del equipo, fechas de nacimiento o cualquier otro dato personal, conjuntos de letras o caracteres de fácil identificación (abcd1234).

PRIVACIDAD DE LAS CONTRASEÑAS

La contraseña de acceso a los equipos de cómputo y sistemas informáticos de NORTE CONEX S.A.S de cada usuario, es personal e intransferible, por tanto, cada usuario se compromete a no revelar, prestar, transferir y difundir sus claves de acceso.

PERIODICIDAD DE LAS CONTRASEÑAS

Las contraseñas de acceso a los equipos de cómputo y sistemas informáticos de NORTE CONEX S.A.S, deben ser cambiadas cada 90 días por el usuario.

No podrá coincidir con ninguna de las 5 contraseñas anteriormente definidas por el usuario.

REVISIÓN Y RETIRO DE LOS DERECHOS DE ACCESO A USUARIOS

• Los derechos de acceso a usuarios se revisan periódicamente, si se presentan cambios en los roles y/o funciones de los empleados, estos deben ser modificados por parte del responsable del Proceso de Gestión de Sistemas de Información.
• La eliminación, bloqueo o retiro de acceso a usuarios en el caso de funcionarios: en vacaciones, licencias o terminación de contrato laboral, se realiza de acuerdo a lo establecido en Procedimiento aplicable,

POLÍTICA DISPOSITIVOS MÓVILES

Propósito:

Establecer las normas sobre el uso de los dispositivos móviles (computadores portátiles y teléfonos inteligentes) propiedad de NORTE CONEX S.A.S, velando por su uso adecuado, responsable y sus mejores prácticas.

Alcance:

Esta política aplica para todos los funcionarios y/o contratistas de NORTE CONEX S.A.S que tengan asignado dispositivos móviles (computadores portátiles y teléfonos inteligentes) pertenecientes a la entidad para el desarrollo de las actividades propias de su función.

Generalidades

NORTE CONEX S.A.S basado en NORMA ISO/IEC 27001:2013 ANEXO A 6.2.1 proporciona las condiciones para el manejo de los dispositivos móviles (computadores portátiles y teléfonos inteligentes) tanto corporativos como personales los cuales hacen uso de los servicios de la organización. Así mismo, velará porque los funcionarios hagan un uso responsable de los servicios y equipos proporcionados por la entidad.

La asignación de los dispositivos móviles a los funcionarios y/o contratistas se realiza según el Procedimiento aplicable.

USO DE CONTRASEÑAS

• Todos los dispositivos móviles pertenecientes a NORTE CONEX S.A.S que se encuentren asignados a algún funcionario y/o contratista, debe contar con una contraseña o clave (password) que impida el acceso directo a la información que este contien
• Las contraseñas utilizadas para el acceso a los dispositivos móviles no basarse en lo consignado en la POLÍTICA CONTROL DE ACCESO en el apartado GESTIÓN DE CONTRASEÑAS.

PROTECCIÓN FÍSICA

• Todos los dispositivos móviles de NORTE CONEX S.A.S deben estar registrados e inventariado
• Los dispositivos móviles asignados a funcionarios y/o contratistas de NORTE CONEX S.A.S son personales e intransferibl
• Los usuarios de equipos portátiles que pertenezcan a NORTE CONEX S.A.S deben mantener una seguridad física dentro de las instalaciones de la entidad, por medio del uso de guayas de seguridad o similares.
• En caso de pérdida o robo del equipo, el funcionario deberá informar inmediatamente a quien haga las veces de responsable de seguridad informática quien tomará las medidas de seguridad necesari
• Los equipos asignados en particular aquellos que almacenen información sensible no deben ser entregados a tercero

INSTALACIÓN Y CONFIGURACIÓN DE APLICACIONES

• Está prohibida la instalación de aplicaciones en los dispositivos móviles que pertenezcan a NORTE CONEX S.A.S por parte de los funcionarios o terceros, de ser necesario el uso de las aplicaciones realizará la solicitud por medio de su jefe inmediato y firmara el documento correspondiente donde se define la responsabilidad sobre el uso de las mismas.
• El proceso de instalación y configuración de las aplicaciones en los dispositivos móviles, solo puede ser realizado por los profesionales designados por NORTE CONEX S.A.S previa evaluación y pertinencia de la misma.
• El aseguramiento de la administración de los dispositivos móviles, pertenecientes a NORTE CONEX S.A.S será administrado por el profesional designado por la dirección de la organización

SEGURIDAD DEL SISTEMA OPERATIVO

• Para garantizar la disponibilidad, confidencialidad e integridad de la información contenida en los dispositivos móviles, el profesional designado por NORTE CONEX S.A.S será quien otorgará los respectivos permisos.

SINCRONIZACIÓN DE CORREO ELECTRÓNICO EN DISPOSITIVOS MÓVILES

• Está prohibido sincronizar la cuenta de correo electrónico corporativo en el equipo móvil de uso personal, excepto con autorización expresa del Coordinador o Jefe del área, en dado caso de tener el permiso correspondiente se debe firmar un documento donde se establecen las políticas sobre el uso del mis

REGISTRO DE INGRESO Y SALIDA DE EQUIPO DE CÓMPUTO

• Los equipos de cómputo que ingresen o salgan de las instalaciones de NORTE CONEX S.A.S por parte de personal externo deben ser registrados en la planilla de ingreso y salida de visitan

NORMAS DIRIGIDAS A TODOS LOS USUARIOS

• No dejar desatendidos los equipo
• No llamar la atención acerca de portar un equipo valioso.
• No colocar identificaciones de la Organización en el dispositivo, salvo los estrictamente necesario
• No colocar datos de contacto técnico en el dispositivo
• Los usuarios deben evitar usar los dispositivos móviles institucionales en lugares que no les ofrezcan las garantías de seguridad física necesarias para evitar pérdida o robo de estos.
• Los usuarios no deben almacenar videos, fotografías o información personal en los dispositivos móviles asignado

USO DE DISPOSITIVOS MOVILES

Para los dispositivos móviles (teléfono celular, tabletas, iPad, discos duros extraíbles, dispositivos de almacenamiento masivo USB, etc.) asignados por NORTE CONEX S.A.S de ser posible deberán estar debidamente cifrados por la herramienta suministrada por la entidad o fabricante, de no ser posible deberán estar habilitados los controles de aseguramiento y criptografía suministrados por el fabricante del dispositivo.

POLÍTICA DE COPIAS DE SEGURIDAD

Propósito:

Establecer las directrices para la ejecución y restauración de las copias de seguridad de la información que se encuentra en los servidores de archivos de NORTE CONEX S.A.S.

Alcance:

La política aplica para el respaldo de la información que se encuentra en los servidores de archivos, la cual es ingresada o modificada por todos los funcionarios, contratistas y terceros de NORTE CONEX S.A.S.

Generalidades

Con el fin de mantener la integridad y disponibilidad de la información, esta política se basa en NORMA ISO/IEC 27001:2013 ANEXO A 12.3.1 donde las copias de respaldo se ponen a prueba mediante la restauración aleatoria de algún archivo al que se le haya realizado la copia de respaldo. Si la restauración del backup es exitosa, se debe documentar en la bitácora de respaldo.

NORTE CONEX S.A.S ha establecido los siguientes lineamientos generales para el resguardo de la información de la entidad:

COPIAS DE SEGURIDAD SISTEMA DE ALMACENAMIENTO, BASE DE DATOS Y SISTEMAS OPERATIVOS

• Realiza y verifica que las copias de seguridad se actualicen con la periodicidad y los requerimientos definidos.
• Para toda la información que se encuentra en el sistema de almacenamiento, se realiza una copia de respaldo o backup de acuerdo a lo establecido en el Procedimiento.
• Para las copias de seguridad NORTE CONEX S.A.S por el momento se realizan de manera manual, donde los funcionarios son responsables de realizar y actualizar los respaldos de la información que tiene en el equipo asignado mínimo cada 30 días

RESTAURACIÓN DE LAS COPIAS DE RESPALDO

• El funcionario y/o contratista de NORTE CONEX S.A.S que requiera de un archivo a restaurar, deberá realizar la solicitud directamente al personal designado por la organización para que este contacte a la persona de soporte técnico encargada de realizar esta función.
• La restauración de las Bases de Datos y Sistemas Operativos, solo lo debe realizar el personal designado por la organización para que este contacte a la persona de soporte técnico encargada de realizar esta función.

COPIAS DE SEGURIDAD CORREO ELECTRÓNICO

• Las copias de seguridad de correo electrónico corporativo de NORTE CONEX S.A.S, se realiza cuando el funcionario y/o contratista finaliza la relación contractual con la entidad
• La ejecución de la copia de seguridad se realiza cuando la dirección de la organización autorice al personal designado para que este contacte a la persona de soporte técnico encargada de realizar esta función
• Para el respaldo de los archivos (Documentos de cada usuario y archivos PST del correo electrónico) de los funcionarios, se crea un archivo con el nombre del usuario.

(Descargue el Guía)

1. Introducción

Como complemento y en atención a lo dispuesto en el artículo 3° Política de Seguridad y Privacidad de la Información de la Resolución 419 de 2023, a través de la cual la alta dirección adquiere el compromiso de implementar, mantener y mejorar el Sistema de Gestión Sistema de Gestión de Seguridad y Privacidad de la información – SGSI alineado a Modelo de Seguridad y Privacidad de la información – MSPI del MinTIC, en la presente Guía se definen los lineamientos y fases para la gestión de incidentes de seguridad de la información en Norte Conex S.A.S, y está dirigida a los colaboradores, contratistas, proveedores de servicios y bienes de la misma.

2. Objetivo

Establecer los lineamientos para gestionar la identificación, detección, análisis y tratamiento ante la ocurrencia de un incidente de seguridad de manera que se minimice al máximo los posibles impactos adversos que puedan afectar los activos de información de Norte Conex S.A.S.

3. Alcance

Desde la etapa de planificación y preparación ante la ocurrencia de un incidente de seguridad de la información hasta la definición de los lineamentos para desarrollar las actividades Post-incidentes.

4. Roles y perfiles necesarios para la atención de incidentes

A continuación, se describen los Roles y perfiles que pueden intervenir ante la ocurrencia de un incidente de seguridad:

• Usuario sensibilizado: colaboradores, contratistas o terceros con acceso a la infraestructura de la entidad, con los que se pueden identificar eventos adversos sobre los activos de información, quienes es importante que se encuentre constantemente sensibilizados de la responsabilidad de reportar cualquier situación anormal que pueda llegar a materializarse en un incidente de seguridad de la información.
• Administrador de sistema: Profesionales encargados de la configuración, administración de la infraestructura tecnológica de la entidad, quienes deben estar sensibilizados en la identificación, clasificación y escalamiento de los incidentes de seguridad.
• Administrador de sistema de seguridad: Profesionales expertos encargados de la configuración, administración de la infraestructura de seguridad perimetral de la entidad, quienes deben estar sensibilizados y capacitados para identificar, analizar, contener y erradicar un incidente de seguridad.
• Líder Grupo de atención de incidentes: Profesional de Seguridad de la Información encargado de revisar y evaluar la gestión de incidentes que se presenten en la entidad en atención a la metodología definida.

5. Definiciones

• Incidente de seguridad de la información: Evento o serie de eventos de seguridad de la información no deseados o inesperados, que tienen la probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la información. (GTC-ISO/IEC 27035:2015).
• Equipo de respuesta a incidentes de seguridad: Conformado por miembros confiables de la organización, que cuentan con las habilidades y competencias para tratar los incidentes de seguridad durante el ciclo de vida de éstos. (GTC-ISO/IEC 27035:2015).
• Evento de seguridad de la información: Presencia identificada de una condición de un sistema, servicio o red, que indica una posible violación de la política de seguridad de la información o la falla de las salvaguardas, o una situación desconocida previamente que puede ser pertinente a la seguridad. (GTC-ISO/IEC 27035:2015).

6. Metodología para la gestión de incidentes de seguridad

El modelo de operación de gestión de incidentes “Guía para la Gestión y Clasificación de Incidentes de Seguridad de la Información” del MinTIC, plantea una serie de etapas para dar cumplimiento con el ciclo de vida de la gestión y respuesta a un incidente de seguridad, así:

Gráfico No. 1 Ciclo de gestión de Incidentes

Fuente: Guía para la Gestión y Clasificación de Incidentes de Seguridad de la Información/MSPI/MinTIC

6.1   Preparación

Esta etapa consiste en crear un esquema a seguir que permita responder de forma adecuada ante una determinada situación, de manera que se pueda detectar y evaluar las posibles vulnerabilidades. En esta etapa es importante que el equipo de respuesta a incidentes identifique los recursos y herramientas disponibles para la atención de los incidentes de seguridad incluyendo las mejores prácticas conocidas para el aseguramiento de los sistemas de información e infraestructura que los soporta. Consiste en eliminar con anterioridad las posibles causas que pueden originar el incidente, en esta etapa se incluye tanto la prevención de los ataques como la preparación para responder a cada uno.

La preparación incluye la aplicación de parches de seguridad, configuración y aseguramiento de las plataformas con el principio de menores privilegio en los servicios prestados, mantener habilitados logs de auditoria en los servidores, entre otros.

Por otra parte, es preciso mantener una gestión constante en la infraestructura de redes y comunicaciones basados en configuración de reglas de seguridad en los equipos y sincronización de estos. La infraestructura debe contar con un antivirus activo y actualizado.

Todos los administradores de plataformas de seguridad e infraestructura deben estar sensibilizados y familiarizados con las políticas y procedimientos relacionados con el uso de redes, sistemas y aplicaciones incorporando estándares de seguridad, lo anterior, permite prevenir la ocurrencia de incidentes de seguridad de la información y la posible materialización de riesgos que afecten la infraestructura de la entidad, así como la integridad, disponibilidad y confidencialidad de la información.

Para minimizar la repercusión de los incidentes es conveniente:

• Establecer claramente y poner en práctica todas las directivas  y procedimientos.
• Establecer programas de formación sobre la seguridad de la información, tanto para el personal de tecnología como para los usuarios finales
• Monitoreo de red, registros y eventos del sistema
• Gestión de parches de seguridad (Sistemas operativos, bases de datos, software).
• Aseguramiento de plataforma (configuraciones por defecto, hardening).
• Prevención de código malicio
• Sensibilización y entrenamiento de usuarios.

Es importante tener en cuenta lo descrito en el Manual de Políticas de Seguridad de la Información y las Políticas de Datos Personales y Privacidad con los que cuenta Norte Conex S.A.S.

6.2   Comunicación

A continuación, se relacionan elementos importantes para la comunicación del equipo de atención de incidentes.

• Información de Contacto:

Se pueden contactar a la(s) persona(s) de Seguridad de la Información a través del correo info@norteconex.net, formulario de reporte de incidentes dentro de la página web www.norteconex.net y al teléfono (WhatsApp) +57 (318) 462-1330 / (317) 807-9830.

• Información de Escalamiento: Para el escalamiento de incidentes se debe realizar a través de la persona encargada de seguridad de la información o de Infraestructura o de mesa de servicios de acuerdo con los procedimientos de Soporte Técnico y Gestión de Incidentes de Seguridad de la información con el fin de canalizar los incidentes de seguridad de la información a través de la página web.

De requerirse acciones disciplinarias se escalará a través de Talento Humano y el Control Disciplinario Interno.

Política de Comunicación: La a través de la página web htts://www.norteconex.net y de los canales habilitados de comunicación informará de ser pertinente información relacionada con los incidentes que se puedan presentar en la entidad como medida de prevención.

Es importante contar con la información actualizada de contacto de proveedores de servicios, soporte especializado, encargados de la infraestructura, administradores de redes y seguridad con el fin de garantizar el

contacto oportuno ante la generación de un evento de seguridad de la información. Ante una vulneración o compromiso de elementos de la infraestructura tecnológica, aplicaciones o sistemas de la entidad deberá reportarse el hecho a ColCERT- Grupo de Respuesta a Emergencias Cibernéticas de Colombia.

Contacto con áreas interesadas o grupos de interés como primer canal de atención:

• https://cc-csirt.policia.gov.co/
• http://www.colcert.gov.co/