Politicas de privacidad

Aviso de Privacidad

La SOCIEDAD CAMERAL DE CERTIFICACIÓN DIGITAL CERTICÁMARA S.A. (en adelante CERTICÁMARA S.A.), sociedad mercantil identificada con NIT No. 830.084.433-7, domiciliada en la Carrera 7 N° 26-20 de la ciudad de Bogotá D.C., para el adecuado desarrollo de sus actividades comerciales, así como para fortalecer sus relaciones con terceros, solicita, recolecta, almacena, utiliza, circula y suprime datos de carácter personal.

Teniendo en cuenta lo anterior, CERTICÁMARA S.A. actúa como responsable del tratamiento de datos personales correspondientes a personas naturales con las cuales tiene o ha tenido algún tipo de vínculo. Cuando CERTICÁMARA S.A. actúa como encargada del tratamiento de datos personales, debe cumplir los lineamientos que le sean comunicados, mediante documento escrito, por el responsable del tratamiento de los mismos.

1 FINALIDADES DEL TRATAMIENTO DE DATOS PERSONALES

Las finalidades por las cuales pueden ser objeto de tratamiento los datos personales de personales naturales que tengan o hayan tenido algún tipo de vínculo con CERTICÁMARA S.A. son las que se enumeran a continuación:

  • • Registro de proveedores de la Compañía.
  • • Registro de clientes de la Compañía.
  • • Envío de avisos y campañas publicitarias respecto de los productos y servicios que ofrece la Compañía.
  • • Envío de correos electrónicos y/o mensajes de texto informando el estado del trámite de solicitud de productos y servicios que ofrece la Compañía.
  • • Envío de correos electrónicos y/o mensajes de texto informando el vencimiento de los productos y servicios adquiridos por clientes de la Compañía.
  • • Envío de correos electrónicos y/o mensajes de texto para desarrollar actividades de mercadeo, estadísticas, investigación y demás propósitos comerciales que no contravengan la legislación vigente en Colombia.
  • • Envío de información relativa a eventos organizados o patrocinados por la Compañía.
  • • Atención de requerimientos judiciales o administrativos.
  • • Cumplimiento de mandatos judiciales o legales.

2 DERECHOS DE LOS TITULARES

  • • Conocer, actualizar y rectificar sus datos personales*.
  • • Revocar la autorización otorgada para el tratamiento de sus datos personales*.
  • • Solicitar la supresión sus datos personales*.
  • • Solicitar prueba de la autorización otorgada.
  • • Ser informado respecto del uso dado a sus datos.
  • • Presentar quejas ante la Superintendencia de Industria y Comercio (SIC) por infracciones a lo dispuesto en la ley de Protección de Datos Personales una vez haya agotado el trámite de consulta o reclamo ante CERTICÁMARA S.A.
  • • Acceder en forma gratuita a sus datos personales objeto de tratamiento.

Haciendo click en el siguiente link, usted podrá consultar la Política de Protección de Datos Personales de CERTICÁMARA S.A.

•  Recuerde que CERTICÁMARA S.A., como Entidad de Certificación Digital, ha recolectado datos personales de sus clientes que son necesarios para el correcto desarrollo de sus funciones como tercero de confianza. Por tal razón, nuestros clientes deben tener presente que para brindarles nuestros servicios, son requeridos sus datos personales, los cuales serán tratados con el mayor cuidado. En consecuencia, la solicitud de supresión de datos personales y la revocatoria de la autorización para el tratamiento de datos personales no procederán cuando el Titular de dichos datos tenga un deber legal o contractual de permanecer en la base de datos y/o archivos de CERTICÁMARA S.A., ni mientras se encuentre vigente la relación entre el Titular y la Compañía, en virtud de la cual fueron recolectados sus datos. Cuando proceda la solicitud de actualizar, rectificar o suprimir los datos personales o revocar la autorización de tratamiento otorgada, se debe diligenciar y enviar el formato de Reclamación de Tratamiento de Datos Personales, formato que podrá ser solicitado mediante el envío de un correo electrónico a la dirección protecciondedatospersonales@certicámara.com.

Política de Protección de Datos Personales

1 OBJETIVO

La presente Política de Protección de Datos Personales (en adelante la “Política”) pretende regular la recolección, almacenamiento, uso, circulación y supresión de datos personales en la SOCIEDAD CAMERAL DE CERTIFICACIÓN DIGITAL CERTICÁMARA S.A. (en adelante “CERTICÁMARA S.A.”), brindando herramientas que garanticen la autenticidad, confidencialidad e integridad de la información.

La Política se estructura siguiendo los mandatos de la ley estatutaria 1581 de 2012, decretos y demás normativa que la complemente, modifique o derogue.

2 ALCANCE

La Política de CERTICÁMARA S.A. cubre todos los aspectos administrativos, organizacionales y de control que deben ser cumplidos por los directivos, funcionarios, contratistas y terceros que laboren o tengan relación directa con la Compañía.

La Política se integrará con los Manuales de Políticas de Seguridad de la Información y de Gestión de Activos de la Información.

3 MARCO NORMATIVO DE LA POLÍTICA

Ley 1581 de 2012 mediante la cual se expidió el Régimen General de Protección de Datos Personales.

Decretos y circulares externas que reglamenten la norma indicada en el numeral anterior. Sentencia de Constitucionalidad C–748 de 2011 mediante la cual se declaró exequible el Proyecto de Ley Estatutaria de Protección de Datos Personales.

4 DESARROLLO DE LA POLÍTICA

CERTICÁMARA S.A. incorpora en todas sus actuaciones el respeto por la protección de datos personales. En consecuencia, solicitará desde el ingreso del dato, autorización para el uso de la información que reciba para las finalidades propias de su objeto misional.

CERTICÁMARA S.A. respeta los principios establecidos en la ley y atenderá en sus actuaciones y manejo de información de datos personales las finalidades que se deriven de la recolección de los mismos.

CERTICÁMARA S.A. implementará las estrategias y acciones necesarias para dar efectividad al derecho consagrado en la ley estatutaria 1581 de 2012 y demás normativa que la complemente, modifique o derogue.

CERTICÁMARA S.A. dará a conocer a todos sus usuarios los derechos que se derivan de la protección de datos personales.

5 ESTRATEGIAS

5.1 Tratamiento.

Para el adecuado tratamiento y protección de los datos personales, CERTICÁMARA S.A. trabaja tres perspectivas básicas que tienen como fin desarrollar políticas particulares de tratamiento de datos de acuerdo con lo previsto en la ley 1581 de 2012 y demás normativa que la complemente, modifique o derogue, estas perspectivas son:

  • • Perspectiva Jurídica
  • • Perspectiva Tecnológica
  • • Perspectiva Organizacional

5.2 Divulgación y Capacitación.

CERTICÁMARA S.A. definirá los procesos de divulgación y capacitación del contenido de esta Política a través de su Comité de Seguridad de la Información.

5.3 Organización interna y Gestión de riesgos.

CERTICÁMARA S.A. definirá cualquier acción relativa a la protección de datos personales en su Comité de Seguridad de la Información. Al interior de dicho Comité se ha definido el rol de Oficial de Protección de Datos Personales, rol que estará dentro de las atribuciones funcionales del actual Oficial de Seguridad de la Información.

6 DEFINICIONES

Para los propósitos de este documento se aplican los siguientes términos y definiciones:

  • Aviso de Privacidad: Comunicación verbal o escrita generada por el Responsable del tratamiento de datos personales, dirigida al Titular de dichos datos, mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de datos que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales.
  • Autorización: Consentimiento previo, expreso e informado del titular de los datos personales para llevar a cabo el tratamiento de dichos datos.
  • Bases de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento.
  • Dato Personal: Cualquier información vinculada o que pueda asociarse a una o a varias personas naturales determinadas o determinables. Debe entonces entenderse el “dato personal” como una información relacionada con una persona natural (persona individualmente considerada).
  • Dato Público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales, y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
  • Dato Sensible: Corresponde a aquel dato que afecta la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.
  • Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del responsable del tratamiento.
  • Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.
  • Titular: Persona natural cuyos datos personales sean objeto de tratamiento.
  • Transferencia: La transferencia de datos tiene lugar cuando el responsable y/o encargado del tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es responsable del tratamiento y se encuentra dentro o fuera del país.
  • Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un tratamiento por el encargado por cuenta del responsable.
  • Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
  • Oficial de Protección de Datos: Es el rol dentro de CERTICÁMARA S.A., que tendrá como función la vigilancia y control de la Política bajo el control del Comité de Seguridad.
  • 7 PRINCIPIOS RECTORES

    • Principio de Legalidad en materia de Tratamiento de datos: El tratamiento de datos es una actividad reglada que debe sujetarse a lo establecido en la ley y en las demás disposiciones que la desarrollen.
    • Principio de Finalidad: El tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución Política y la ley, la cual debe ser informada al Titular.
    • Principio de Libertad: El tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.
    • Principio de Veracidad o Calidad: La información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
    • Principio de Transparencia: En el tratamiento debe garantizarse el derecho del Titular a obtener del Responsable de dicho tratamiento o del Encargado, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.
    • Principio de Acceso y Circulación Restringida: El tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales y de las disposiciones constitucionales y legales. En este sentido, el tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la Ley. Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la citada ley.
    • Principio de Seguridad: La información sujeta a tratamiento por el Responsable del Tratamiento o Encargado del tratamiento a que se refiere la ley se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros, y evitar su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
    • Principio de Confidencialidad: Todas las personas que intervengan en el tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la Ley y en los términos de la misma.

    8 CATEGORÍAS ESPECIALES DE DATOS

    8.1 Datos Personales Sensibles

    Los datos sensibles son aquellos datos que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.

    CERTICÁMARA S.A. restringirá el tratamiento de datos personales sensibles a lo estrictamente indispensable y solicitará consentimiento previo y expreso sobre la finalidad de su tratamiento.

    8.2 Tratamiento de Datos Personales Sensibles

    Se podrá hacer uso y tratamiento de los datos catalogados como sensibles cuando:

    • • El Titular haya dado su autorización explícita a dicho tratamiento, salvo en los casos que por ley, no sea requerido el otorgamiento de dicha autorización.
    • • El tratamiento sea necesario para salvaguardar el interés vital del Titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización.
    • • El tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
    • • El tratamiento tenga una finalidad histórica, estadística o científica, o dentro del marco de procesos de mejoramiento, siempre y cuando se adopten las medidas conducentes a la supresión de identidad de los titulares.
    • 8.3 Datos Personales de Niños, Niñas y Adolescentes

      Los menores de edad son Titulares de sus datos personales y por lo tanto portadores de los derechos correspondientes. De acuerdo a lo establecido en la Constitución Política y en concordancia con el Código de la Infancia y la Adolescencia, los derechos de los menores deben ser interpretados y aplicados de manera prevalente y por lo tanto, deben ser observados con especial cuidado. Conforme lo señalado en la Sentencia C-748 de 2011, las opiniones de los menores deben ser tenidas en cuenta al momento de realizar algún tratamiento de sus datos.

      CERTICÁMARA S.A. se compromete entonces, en el tratamiento de los datos personales, a respetar los derechos prevalentes de los menores. Queda proscrito el tratamiento de datos personales de menores, salvo aquellos datos que sean de naturaleza pública.

      9 CLASIFICACIÓN DE INFORMACIÓN Y DE BASES DE DATOS

      Las bases de datos se clasificarán de la siguiente manera:

      9.1 Bases de datos Confidenciales:

      Son bases de datos o ficheros electrónicos con información confidencial la cual trata el modelo de negocio de CERTICÁMARA S.A., es el caso de datos financieros, bases de datos del personal, bases de datos con información sensible sobre directivos, proveedores etc.

      9.2 Bases de datos con Información Sensible:

      Son los datos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos. En CERTICÁMARA S.A., el acceso a este tipo de información es restringido y únicamente será conocido por un grupo autorizado de funcionarios.

      9.3 Bases de datos con Información Pública:

      Son las bases de datos que contienen datos públicos calificados como tal según los mandatos de la ley o de la Constitución Política y que no son calificados como datos semiprivados, privados o sensibles. Son públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio, a su calidad de comerciante o de servidor público y aquellos que puedan obtenerse sin reserva alguna. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales, sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.

      10 PRERROGATIVAS Y DERECHOS DE LOS TITULARES

      Los Titulares de los datos personales tienen los siguientes derechos:

      • • Acceder, conocer, actualizar y rectificar sus datos personales frente a CERTICÁMARA S.A. en su condición de responsable del tratamiento.
      • • Por cualquier medio válido, solicitar prueba de la existencia de la autorización otorgada a CERTICÁMARA S.A., salvo los casos en los que la Ley exceptúa la autorización.
      • • Recibir información por parte de CERTICÁMARA S.A, previa solicitud, respecto del uso que le ha dado a sus datos personales.
      • • Acudir ante las autoridades legalmente constituidas, en especial ante la Superintendencia de Industria y Comercio (SIC) y presentar quejas por infracciones a lo dispuesto en la normatividad vigente, previo tramite de consulta o requerimiento ante el responsable del tratamiento.
      • • Modificar y revocar la autorización y/o solicitar la supresión de los datos personales cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales vigentes.
      • • Tener conocimiento y acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento.

      11 DEBERES DE CERTICÁMARA S.A EN RELACIÓN CON EL TRATAMIENTO DE LOS DATOS PERSONALES

      CERTICÁMARA S.A., tendrá presente que los datos personales son propiedad de las personas a las que se refieren y que solamente ellas pueden decidir sobre los mismos. CERTICÁMARA S.A. hará uso de dichos datos solamente para las finalidades para las que se encuentra debidamente facultada como entidad de Certificación Digital de acuerdo con lo establecido en el artículo 30 de la Ley 527 de 1999 y dentro de su objeto social respetando en todo caso la normativa vigente sobre la Protección de Datos Personales.

      12 POLÍTICAS DE TRATAMIENTO DE LA INFORMACIÓN

      12.1 Generalidades Sobre la Autorización

      CERTICÁMARA S.A. solicitará la autorización para el tratamiento de datos personales por cualquier medio que permita ser utilizado como prueba. Según el caso, dicha autorización puede ser parte de un documento más amplio, como por ejemplo un contrato o de un documento específico para tal efecto. En todo caso, la descripción de la finalidad del tratamiento de los datos también se informará mediante el mismo documento específico o adjunto. CERTICÁMARA S.A. informará al titular de los datos, lo siguiente:

      • • El tratamiento al que serán sometidos sus datos personales y la finalidad del mismo.
      • • Los derechos que le asisten como Titular.
      • • Los canales en los cuales podrá formular consultas y/o reclamos.

      12.2 Garantías del Derecho de Acceso

      CERTICÁMARA S.A. garantizará el derecho de acceso, previa acreditación de la identidad del titular, legitimidad, o personalidad de su representante, poniendo a disposición de este, sin costo o erogación alguna, de manera pormenorizada y detallada, los respectivos datos personales.

      12.3 Consultas

      Los Titulares de los datos personales o sus causahabientes, podrán consultar sus datos personales que reposan en la base de datos. En consecuencia, CERTICÁMARA S.A. garantizará el derecho de consulta, suministrando a los Titulares de datos personales, toda la información contenida en el registro individual o que esté vinculada con la identificación del Titular.

      Con respecto a la atención de solicitudes de consulta de datos personales, CERTICÁMARA S.A. garantiza:

      • • Habilitar medios de comunicación electrónica u otros que considere pertinentes.
      • • Establecer formularios, sistemas y otros métodos.
      • • Utilizar los servicios de atención al cliente o de reclamaciones que se encuentren en operación.

      Independientemente del mecanismo que se implemente para la atención de solicitudes de consulta, estas serán atendidas en un término máximo de diez (10) días hábiles contados a partir de la fecha de su recibo. En el evento en el que una solicitud de consulta no pueda ser atendida dentro del término antes señalado, se informará al interesado antes del vencimiento del plazo las razones por las cuales no se ha dado respuesta a su consulta, la cual, en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

      Las consultas que se efectúen respecto a datos personales deberán ser remitidas mediante un correo electrónico a la siguiente dirección protecciondedatospersonales@certicamara.com.

      12.4 Reclamos

      El Titular o sus causahabientes que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la normativa sobre Protección de Datos Personales, podrán presentar un reclamo ante el responsable del tratamiento.

      El reclamo deberá ser presentado por el Titular de los datos personales, diligenciando el formato de Reclamación para el Tratamiento de Datos Personales que podrá solicitar mediante el envío de un correo electrónico a la dirección protecciondedatospersonales@certicamara.com. En este formato el Titular deberá indicar si desea que sus datos sean actualizados, rectificados o suprimidos o bien si desea revocar la autorización que se había otorgado para el tratamiento de los datos personales. Para efectos de reclamos, el Titular deberá tener en cuenta lo previsto en el artículo 15 de la ley 1581 de 2012.

      Si el reclamo estuviese incompleto, el Titular lo puede completar dentro de los cinco (5) días hábiles siguientes a la recepción del reclamo para que se subsanen las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.

      En caso que la persona que reciba el reclamo no sea competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado.

      Una vez recibido el reclamo completo, el término máximo para atenderlo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

      12.5 Rectificación y Actualización de Datos

      CERTICÁMARA S.A. tiene la obligación de rectificar y actualizar, a solicitud del Titular, la información de éste que resulte ser incompleta o inexacta de conformidad con el procedimiento y lo términos antes señalados. Al respecto, CERTICÁMARA S.A. tendrá en cuenta lo siguiente:

      En las solicitudes de rectificación y actualización de datos personales, el titular debe indicar las correcciones a realizar y aportar la documentación que avale su petición.

      CERTICÁMARA S.A. tiene plena libertad de habilitar mecanismos que le faciliten el ejercicio de este derecho, siempre y cuando beneficien al Titular de los datos. En consecuencia, se podrán habilitar medios electrónicos u otros que CERTICÁMARA S.A. considere pertinentes.

      CERTICÁMARA S.A. podrá establecer formularios, sistemas y otros métodos, que se pondrán a disposición de los interesados en la página web o solicitándolos mediante correo electrónico a la dirección protecciondedatospersonales@certicamara.com.

      12.6 Supresión de Datos

      El Titular de datos personales tiene el derecho, en todo momento, a solicitar a CERTICÁMARA S.A., la supresión (eliminación) de sus datos personales cuando:

      • • Considere que los mismos no están siendo tratados conforme a los principios, deberes y obligaciones previstas en la normativa vigente.
      • • Hayan dejado de ser necesarios o pertinentes para la finalidad para la cual fueron recabados.
      • • Se haya superado el periodo necesario para el cumplimiento de los fines para los que fueron recabados.

      La supresión implica la eliminación total o parcial de la información personal de acuerdo a lo solicitado por el Titular en los registros, archivos, bases de datos o tratamientos realizados por CERTICÁMARA S.A.

      El derecho de supresión no es un derecho absoluto y el responsable del tratamiento de datos personales puede negar el ejercicio del mismo cuando:

      • • El Titular de los datos tenga un deber legal o contractual de permanecer en la base de datos.
      • • La eliminación de datos obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas.
      • • Los datos sean necesarios para proteger los intereses jurídicamente tutelados del Titular para realizar una acción en función del interés público o para cumplir con una obligación legalmente adquirida por el Titular.
      • 12.7 Revocatoria de la Autorización

        Todo Titular de datos personales puede revocar, en cualquier momento, el consentimiento al tratamiento de estos siempre y cuando no lo impida una disposición legal o contractual. Para ello, CERTICÁMARA S.A. establecerá mecanismos sencillos que le permitan al Titular revocar su consentimiento.

        Existen dos modalidades en las que la revocación del consentimiento puede darse:

        • • Sobre la totalidad de finalidades consentidas, esto es, que CERTICÁMARA S.A. debe dejar de tratar por completo los datos del Titular.
        • • Sobre ciertas finalidades consentidas como por ejemplo para fines publicitarios o de estudios de mercado. En este caso, CERTICÁMARA S.A., deberá dejar de tratar parcialmente los datos del Titular. Se mantienen entonces otros fines del tratamiento que el responsable, de conformidad con la autorización otorgada, puede llevar a cabo y con los que el Titular está de acuerdo.

        12.8 Contratos

        En los contratos laborales, CERTICÁMARA S.A. incluirá cláusulas con el fin de autorizar de manera previa y general el tratamiento de datos personales relacionados con la ejecución del contrato, lo que incluye la autorización de recolectar, modificar o corregir, en momentos futuros, datos personales del titular. También incluirá la autorización de que algunos de los datos personales, en caso dado, puedan ser entregados a terceros con los cuales CERTICÁMARA S.A. tenga contratos de prestación de servicios, para la realización de tareas tercerizadas. En estas cláusulas se hará mención a esta Política.

        En los contratos de prestación de servicios externos, cuando el contratista requiera de datos personales, CERTICÁMARA S.A. le suministrará dichos datos siempre y cuando exista una autorización previa y expresa del titular para esta transferencia. Dado que en estos casos los terceros son encargados del tratamiento de datos, sus contratos incluirán cláusulas que precisan los fines y los tratamientos autorizados por CERTICÁMARA S.A. y delimitan de manera precisa el uso que dicho terceros le pueden dar a los datos.

        12.9 Transferencia de Datos Personales a Terceros Países

        La transferencia de datos personales a terceros países solamente se realizará cuando exista autorización correspondiente del Titular.

        13 REGLAS GENERALES APLICABLES

        • CERTICÁMARA S.A. establece las siguientes reglas generales para la protección de datos personales y sensibles, como en el cuidado de bases de datos, ficheros electrónicos e información personal:
        • CERTICÁMARA S.A. garantizará la autenticidad, confidencialidad e integridad de la información.
        • El Comité de Seguridad será quien tendrá como objetivo ejecutar y diseñar la estrategia para que la presente Política se cumpla.
        • CERTICÁMARA S.A. tomará todas las medidas técnicas necesarias para garantizar la protección de las bases de datos existentes. En los casos que la infraestructura dependa de un tercero, se cerciorará que la disponibilidad de la información como el cuidado de los datos personales y sensibles sea un objetivo fundamental.
        • • Se realizarán auditorías y controles de manera periódica para garantizar la correcta implementación de la ley 1581 de 2012 y sus decretos reglamentarios.
        • • Es responsabilidad de los empleados y colaboradores de CERTICÁMARA S.A. reportar cualquier incidente de fuga de información, daño informático, violación de datos personales, comercialización de datos, uso de datos personales de niños, niñas o adolescentes, suplantación de identidad, o conductas que puedan vulnerar la intimidad de una persona.
        • CERTICÁMARA S.A., para garantizar la protección de la información personal, adoptará, en sus portales transaccionales, todos los mecanismos para garantizar la confidencialidad de la información. Para esto podrá adoptar mecanismos de seguridad tecnológicos como es el caso de software de seguridad, firmas digitales, certificados SSL, Hypertext Transfer Protocol Secure (HTTPS), como las herramientas necesarias para resguardar y proteger las bases de datos de la entidad.
        • • La formación y capacitación de los funcionarios, proveedores y contratistas será un complemento fundamental de estas Políticas.
        • • El Oficial de Protección de Datos, deberá identificar e impulsar las autorizaciones de los Titulares, los avisos de privacidad, los avisos en el website de la entidad, las campañas de sensibilización, las leyendas de reclamo y demás procedimientos para dar cumplimiento a la ley 1581 de 2012 y demás normativa que la complemente, modifique o derogue.
        • 14 FUNCIÓN DE PROTECCIÓN DE DATOS PERSONALES AL INTERIOR DE CERTICÁMARA S.A.

          14.1 Los Responsables

          Es Responsable del tratamiento de datos personales "la persona natural o jurídica, pública o privada, que [...] decida sobre la base de datos y/o tratamiento de datos". De esta manera, el Responsable es el que define los fines y los medios del tratamiento de datos personales y garantiza el cumplimiento de los requisitos de ley.

          En el caso de CERTICÁMARA S.A, el Comité de Seguridad es el responsable de adoptar lñas medidas necesarias para el buen tratamiento de los datos personales. Quien desarrolla la Secretaría Técnica del Comité es el Oficial de Protección de Datos Personales.

          14.2 Los Encargados

          Es Encargado del tratamiento de datos personales "la persona natural o jurídica, pública o privada, que [...] realice el tratamiento de datos personales por cuenta del responsable del tratamiento". Esto supone que, para cada tratamiento de datos, se hayan definido sus respectivos encargados y que éstos actúen por instrucción precisa de un Responsable.

          14.3 Deberes de los Encargados

          CERTICÁMARA S.A. distingue entre Encargado interno y Encargado externo. Los Encargados internos son empleados y colaboradores de CERTICÁMARA S.A. mientras que los externos son personas naturales o jurídicas que tratan datos que la entidad les suministra para la realización de una tarea asignada (proveedores, consultores etc.).

          14.4 El Despliegue Interno de la Política de Protección de Datos

          A partir de la adopción de la presente Política, CERTICÁMARA S.A. establecerá:

          Términos y condiciones de uso de herramientas informáticas externas: Autorregulación de los principios y las reglas consagradas en la ley 1581 de 2012, dirigidos específicamente a proteger el derecho de hábeas data de clientes, usuarios y en general toda persona natural que interactúe con un aplicativo informático (elemento que gestione información bien sea física o electrónica).

          Oficial de Protección de Datos: En cumplimiento del deber legal consagrado en el artículo 17 de la ley 1581 de 2012, relativo a la necesidad de asignar unas responsabilidades directas a un sujeto dentro de la Organización, se crea el rol de Oficial de Protección de Datos Personales, en cabeza del Oficial de Seguridad de la Información, quien teniendo en cuenta lo definido por el Comité de Seguridad, articulará todas las acciones para el efectivo cumplimiento de la Política de Protección de Datos Personales en CERTICÁMARA S.A.

          Las obligaciones más importantes a cargo del Comité de Seguridad son las siguientes:

          Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
          Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada por el Titular.
          Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
          Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
          Garantizar que la información que se suministre al Encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
          Actualizar la información, comunicando de forma oportuna al Encargado del tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a éste se mantenga actualizada.
          Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del tratamiento.
          Suministrar al Encargado del tratamiento, según el caso, únicamente datos cuyo tratamiento esté previamente autorizado de conformidad con lo previsto en la ley.
          Exigir al Encargado del tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular.
          Tramitar las consultas y reclamos formulados en los términos señalados en la ley.
          Informar al Encargado del tratamiento cuando determinada información se encuentre en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.
          Informar a solicitud del Titular el uso dado a sus datos personales.
          Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
          Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio (SIC).

          15 EL REGISTRO NACIONAL DE BASES DE DATOS

          De acuerdo con lo establecido en el Decreto 886 de 2014, que reglamenta el artículo 25 de la Ley 1581 de 2012, CERTICÁMARA S.A. inscribirá de manera independiente en el Registro Nacional de Base de Datos, cada una de las base de datos que contengan datos personales cuyo tratamiento se realice por parte de la Compañía (artículos 2 y 3 del Decreto 886 de 2014), identificando cada una de esas bases de datos de acuerdo con la finalidad para la cual fueron creadas (artículo 9 Decreto 886 de 2014).

          En el registro que se efectúe de las bases de datos CERTICÁMARA S.A. indicará su razón social, número de identificación tributaria, así como sus datos de ubicación y contacto.

          CERTICÁMARA S.A. indicará en el Registro Nacional de Base de Datos la razón social, número de identificación tributaria, ubicación y contacto de los Encargados del tratamiento de sus bases de datos (artículo 7 del Decreto 886 de 2014).

          Finalmente, CERTICÁMARA S.A. deberá actualizar en el Registro Nacional de Base de Datos la información inscrita cuando se presenten cambios sustanciales a la misma.

          16 VIGENCIA Y ACTUALIZACIÓN

          La presente Política entra en vigencia a partir de su aprobación por parte del Comité de Seguridad de la Información y su actualización dependerá de las instrucciones de dicho Comité.

          Se articularán las acciones conducentes a la protección de datos personales dentro del Comité de Seguridad de la Información, el cual realizará revisiones periódicas de la correcta ejecución de la Política de manera conjunta con el Oficial de Protección de Datos de la Compañía.

          La versión aprobada de esta Política se publicará en la página oficial de CERTICÁMARA S.A.

          Es un deber de los empleados y colaboradores de CERTICÁMARA S.A., conocer esta Política y realizar todos los actos conducentes para su cumplimiento, implementación y mantenimiento.

          La presente Política de Protección de Datos Personales fue aprobada en sesión de Comité de Seguridad de CERTICÁMARA S.A. el día once (11) de abril de 2013.

Política de privacidad

Política de privacidad de los datos personales Sociedad Cameral de Certificación Digital CERTICÁMARA S.A. (En adelante CERTICÁMARA S.A.)

Presentación

CERTICAMARA reconoce que la privacidad y la protección de los datos personales es fundamental para el correcto desarrollo de sus actividades, por ello en procuración de la adecuada protección de los derechos de los suscriptores de los servicios de certificación digital, así como de los visitantes y usuarios de su sitio web: www.certicamara.com, ha desarrollado la presente política de privacidad y protección de datos personales que incorpora los principios que tiene en cuenta CERTICAMARA S.A., en el manejo de los datos personales. CERTICAMARA S.A. solicita información personal de parte de los usuarios de sus productos y servicios, con el propósito de verificar la identidad de los mismos y, por lo tanto, asegurar confianza e integridad como parte de los servicios de certificación que desarrolla.[1] Como entidad de certificación digital, CERTICAMARA S.A. identifica al titular de un Certificado Digital. El nivel de identificación proporcionado es diferente para las distintas clases de Certificados Digitales. Por este motivo, CERTICAMARA S.A., necesita que el visitante y/o suscriptor proporcione información personal (y, para determinados Certificados, incluso información de la empresa o entidad) que posteriormente verificará. Parte de la información que el visitante y/o suscriptor proporciona se incorpora en su Certificado Digital. La información que se incluye depende del tipo y la clase de Certificado. El resto de la información que el visitante y/o suscriptor proporciona como parte del proceso de solicitud de un Certificado Digital se utiliza sólo para las verificaciones iniciales y es totalmente confidencial.

CERTICAMARA S.A. proporciona a los Usuarios los recursos técnicos adecuados para que, con carácter previo, puedan acceder a este aviso sobre la Política de Privacidad o a cualquier otra información relevante y puedan prestar su consentimiento libremente. Salvo en los campos en que se indique lo contrario, las respuestas a las preguntas sobre datos personales son voluntarias, sin que la falta de contestación implique una merma en la calidad o cantidad de los servicios correspondientes, a menos que se indique otra cosa. El visitante y/o suscriptor garantiza que los datos personales facilitados son veraces y se hace responsable de comunicar a CERTICAMARA S.A. cualquier modificación en los mismos. Al mismo tiempo el visitante y/o suscriptor asumirá la responsabilidad por los datos y perjuicios que pudiera causar por aportar datos falsos, incompletos o inexactos. CERTICAMARA S.A. ha adoptado los niveles de seguridad de protección de los datos personales legalmente requeridos, instalando las medidas técnicas y organizativas necesarias para evitar la pérdida, mal uso, alteración, acceso no autorizado y robo de los datos facilitados.

Información que CERTICAMARA S.A. solicita de los visitantes y/o suscriptores

CERTICAMARA S.A. no recoge ningún tipo de información personal de parte de los visitantes a su sitio, sin que la misma sea explícitamente solicitada y provista voluntariamente por los mismos. Si un visitante consulta la página www.certicamara.com , la entidad de certificación no recoge ninguna información personal. Existen solamente dos formas mediante las cuales un visitante puede explícitamente proveer y consentir voluntariamente que CERTICAMARA S.A. recoja información personal:

Correo electrónico: CERTICAMARA S.A., utiliza vínculos a través de su sitio que suministran al visitante la posibilidad de contactarse por medio de correo electrónico, a fin de realizar preguntas o proveer comentarios y sugerencias. Adicionalmente, CERTICAMARA S.A., puede ofrecer al visitante la oportunidad de que un representante o asesor comercial se contacte personalmente, para suministrar información adicional respecto de algún producto o servicio. Para ello, CERTICAMARA puede requerir algún tipo de información personal adicional, que resulta relevante o necesaria para satisfacer el requerimiento.

Solicitudes: Durante el proceso de diligenciamiento de una solicitud de algunos de los productos de CERTICAMARA S.A., se requiere del solicitante cierta información personal. Para algunos productos, puede requerirse nombre y apellido, dirección, número de teléfono, dirección de correo electrónico, número de documento de identidad, número de identificación tributaria (NIT). Otros productos pueden requerir información diferente o suplementaria de parte del solicitante. Si desea obtener una lista detallada del tipo de información personal requerida para los diferentes productos, por favor diríjase a la página de solicitud específica para ese producto o servicio en particular o a la Declaración de Prácticas de Certificación (DPC) disponible en el sitio web: www.certicamara.com.

En los supuestos en los que CERTICAMARA S.A. prevea ceder los datos personales de sus visitantes y/o suscriptores a terceros, obtendrá previamente el consentimiento inequívoco de los primeros para efectuar dichas cesiones informándole la finalidad o finalidades a que se destinarán los datos objeto de cesión, así como de la identidad y tipo de actividad del cesionario.

En cualquier caso el visitante y/o suscriptor, podrá ejercitar respecto de su información los derechos de acceso, rectificación, cancelación y oposición contactando a CERTICAMARA S.A. a través del correo electrónico o dirigiendo una carta a la dirección que más abajo se especifica.

CERTICAMARA S.A. garantiza que los archivos que contienen datos personales, cumplen con todas las medidas de seguridad establecidas en la Declaración de Prácticas de Certificación (DPC) que la entidad de certificación ha elaborado y, asimismo, se garantiza que el acceso al archivo de datos personales por terceras personas no autorizadas se evitará cumpliendo con los estándares de seguridad que la tecnología actual permita. La recolección y tratamiento automatizado de los datos personales tiene como objetivo el mantenimiento de la relación comercial y/o contractual con CERTICAMARA, la gestión, administración, prestación, ampliación y mejora de los servicios en los que el vistante/suscriptor decida suscribirse, salirse o utilizar la adecuación de dichos servicios a las preferencias y gustos de los suscriptores, el estudio de la utilización de los servicios por parte de los suscriptores, el diseño de nuevos servicios relacionados con dichos servicios, el envío de actualizaciones de los servicios, el envío, por medios tradicionales y electrónicos de información técnica, operativa y comercial acerca de productos y servicios ofrecidos por CERTICAMARA y/o por terceros actualmente y en el futuro. Incluye igualmente el envío de formularios de encuestas, que el Usuario no queda obligado a contestar. Los visitantes/suscriptores quedan aquí notificados que CERTICAMARA podrá ceder total y/o parcialmente, en su caso, los datos personales a los demás socios de CERTICAMARA con las mismas finalidades aquí precisadas en relación con sus respectivos productos y servicios.

Utilización de la información suministrada por los visitantes y/o suscriptores

Respuestas y actualizaciones: CERTICAMARA S.A. responde todos los correos electrónicos y otras consultas que recibe. CERTICAMARA S.A. puede almacenar esa correspondencia, con el objetivo de mejorar sus productos, servicios y sus páginas Web y otros propósitos conocidos.

Validación: Si un solicitante requiere determinado tipo de Certificado digital, CERTICAMARA S.A. puede comparar la información suministrada con los datos contenidos en una base de datos de propiedad de un tercero. Esta comparación se realiza a fin de autenticar la identidad y otras calidades del solicitante. Todos los terceros cuyas bases de datos son utilizadas, han suscrito acuerdos de confidencialidad con CERTICAMARA S.A. que prohíben la difusión o utilización futura de la información suministrada por CERTICAMARA, en la medida en que ésta no sea de carácter público.

Contenido de un Certificado digital: CERTICAMARA S.A. explícitamente indica (en las solicitudes, en la Declaración de Prácticas Certificación [DPC], en la sección de preguntas y respuestas más comunes o en cualquier otro lugar) que información aparecerá en un Certificado digital. Normalmente esta información se limita a nombre y dirección de correo electrónico, pero existen Certificados Digitales que contienen información adicional.

Cuando la información de su Certificado Digital es enviada a un sitio web, se envía toda la información contenida en aquel. Los Certificados Digitales pueden contener distintos tipos de información, dependiendo de: (i) la clase de Certificado, y de (ii) las opciones seleccionadas durante el proceso de solicitud del Certificado. Asimismo, un solicitante de un certificado, puede voluntariamente escoger que se incluya una determinada parte de la información contenida en la solicitud (De conformidad con lo aceptado en la Declaración de Prácticas de Certificación [DPC]) en el Certificado digital.

Publicación de Certificados Digitales en repositorios: La publicación de Certificados Digitales en un archivo que resulte accesible (un repositorio) es un aspecto inherente a la posibilidad de su amplia utilización. Por otra parte, esta publicación es una práctica mundialmente reconocida y habitual. La Declaración de Práctica de Certificación (DPC) permiten que CERTICAMARA S.A. publique dicha información Consecuentemente, un suscriptor no debe esperar ningún tipo de privacidad respecto del contenido de su certificado digital que contiene precisamente su clave pública dentro del sistema de certificación digital. CERTICAMARA S.A. no revela, ni comercializa ni pone a disposición de terceros, de otra manera, algún tipo de información personal que no se encuentre explicitada en el certificado digital.

Eliminación de Mailing: CERTICAMARA S.A. se contacta con los suscriptores para anunciar nuevos productos, actualizaciones o comentarios respecto de los servicios ofrecidos. Si el suscriptor desea ser eliminado de la lista de receptores de dicha información, deberá enviar un email a _____________________ con Asunto: remover o contáctese con:

CERTICAMARA S.A.
Servicio al Cliente Av.Cra. 7 No 26-20 Piso 18 Edificio Seguros Tequendama
Bogotá

No obstante lo expuesto, CERTICAMARA S.A. se reserva el derecho de notificar a sus suscriptores cualquier información que pueda afectar la seguridad de sus productos y/o servicios, y demás información relevante de conformidad con la Declaración de Prácticas de Certificación (DPC).

Pago On Line: CERTICAMARA S.A. podrá utilizar tarjetas de crédito para permitir a sus posibles compradores/suscriptores pagar su Certificado Digital on-line. Después de que CERTICAMARA S.A. ha confirmado la información personal del comprador a través de la base de datos de terceras partes, CERTICAMARA S.A., carga en la tarjeta de crédito del comprador la cantidad requerida por el Certificado Digital. CERTICAMARA S.A. podría retener la información de una tarjeta de crédito para ser comprobada, pero esta información se guarda confidencialmente. CERTICAMARA S.A. no utiliza la información de las tarjetas de crédito en su proceso de confirmación.

Uso prohibido: CERTICAMARA S.A no venderá ni alquilará su información personal a terceros. En ciertos casos contemplados dentro de la DPC, se establece la posibilidad de ceder los datos personales a terceros. Cuando proceda, esta circunstancia podrá ser advertida a los suscriptores identificando la persona a quien los ceda, el tipo de actividades a las que se dedica y la finalidad a que responde la cesión. CERTICAMARA S.A no utilizará ni compartirá su información personal de un modo distinto al descrito, sin su consentimiento previo y expreso.

Acceso, cancelación, rectificación y oposición: Los visitantes/suscriptores tienen derechos reconocidos y podrán ejercitar los derechos de acceso, cancelación, rectificación y oposición, así como tienen reconocido el derecho a ser informados de las cesiones realizadas contactando con CERTICAMARA a través del correo electrónico o cualquier otro medio.

Revelación de información personal: CERTICAMARA S.A. puede revelar información personal con ocasión de una obligación legal, o por requerimiento de autoridad judicial o administrativa.

Uso de Cookies: En su primera visita CERTICAMARA envía una cookie a su computadora. Una cookie es información que le identifica como usuario único, en otras palabras un cookie es un archivo muy pequeño que un sitio web guarda en el disco duro de su computador el cual le permite almacenar la información que ha proporcionado sobre usted mismo y sus preferencias. CERTICAMARA usa cookies para mejorar la calidad de nuestro servicio y para entender mejor nuestra base de usuarios. Para ello, CERTICAMARA almacena las preferencias del visitante/suscriptor en cookies y rastrea las tendencias y los patrones de búsqueda de los usuarios. CERTICAMARA no revelará sus cookies a terceros, excepto si lo requiere un proceso legal válido como un permiso de búsqueda, una citación, un estatuto o una orden judicial.

La mayoría de los navegadores están inicialmente configurados para aceptar cookies. Puede reconfigurar su navegador para rechazar todas las cookies o para indicar que se envía una cookie. En necesario tener en cuenta, que es posible que algunas partes del servicio de CERTICAMARA no funcione correctamente si rechaza las cookies. CERTICAMARA S.A., puede utilizar cookies cuando un visitante/suscriptor navega por los sitios y páginas web de Certicámara. Las cookies que se puedan utilizar en los sitios y páginas web del Portal se asocian únicamente con el navegador de un ordenador determinado (un Usuario anónimo), y no proporcionan por sí el nombre y apellidos del visitante/suscriptor. Gracias a las cookies, resulta posible que CERTICAMARA reconozca a los navegadores de los visitantes/suscriptores registrados después de que éstos se hayan registrado por primera vez, sin que se tengan que registrarse en cada visita para acceder a las áreas y servicios reservados exclusivamente a ellos.

Actualización o corrección de datos de los certificados digitales

CERTICAMARA S.A. no puede corregir ni actualizar la información contenida en un Certificado Digital sin destruir su integridad. CERTICAMARA S.A. firma digitalmente cada Certificado como parte imprescindible del proceso de emisión del mismo. Si posteriormente se modificara o eliminara información contenida en un Certificado Digital, la firma digital de CERTICAMARA S.A. no podría verificar el nuevo contenido del mismo. En ese orden de ideas, si posteriormente el suscriptor firma digitalmente un mensaje con su clave privada, el receptor no estaría en condiciones de verificar la firma (creada utilizando su clave privada), debido a que el Certificado Digital podría haber sido alterado después de la creación del correspondiente par de claves. Para mayor información tenga en cuenta siempre lo establecido al respecto en la Declaración de Prácticas de Certificación (DPC) Si el suscriptor desea corregir o actualizar cualquier información contenida en la base de datos de CERTICAMARA S.A. que no está incluida en su Certificado Digital, debe contactarse con:

CERTICAMARA S.A.
Servicio al Cliente Av. Cra. 7 No 26-20 Piso 18 Edificio Seguros Tequendama
Bogotá

Cambios en la Política

Esta Política de privacidad fue hecha pública el 21 de marzo de 2006. Reservamos el derecho de cambiar, modificar o añadir a esta política en cualquier momento. CERTICAMARA S.A.

---------------------------------------------------------------------------------------------------------------------------------

[1] Importante: La página web de CERTICAMARA S.A. contiene vínculos (links) con otros sitios, pero por ello no asume algún tipo de responsabilidad con respecto a las prácticas relativas a la privacidad, ni formula ningún tipo de declaración sobre el tema, respecto de los titulares de esas otras páginas.


Política de Seguridad de la Información – EXTRACTO 

OBJETIVO

Proteger, preservar y administrar objetivamente la información de Certicámara S.A. junto con las tecnologías utilizadas para su procesamiento, frente a amenazas internas o externas, deliberadas o accidentales, con el fin de asegurar el cumplimiento de los atributos de confidencialidad, integridad, disponibilidad, legalidad, confiabilidad y no repudio de la información.

ALCANCE

Las diferentes políticas definidas en este documento, son mandatorios y de obligatorio cumplimiento para todos los funcionarios (Directos, Temporales) y partes interesadas que visitan a la Organización, cualquiera que sea la dependencia a la cual este adscrito y el nivel de las tareas que desempeñe.

Esta política está disponible para todos los funcionarios que hacen parte de Certicámara S.A. y para aquellos terceros que presten servicios a la organización y de acuerdo a los ANS que se encuentren establecidos. Para los terceros al momento o antes de hacer la prestación del servicio, se le hace envío de las políticas que éste debe cumplir.

DEFINICIONES

·  Confidencialidad. Propiedad de la información que la hace no disponible o sea divulgada a individuos, entidades o procesos no autorizados.

·  Disponibilidad. Propiedad de ser accesible y utilizable a demanda por una entidad autorizada.

·      Integridad. Propiedad de exactitud y completitud.

·   Seguridad de la información. Preservación de la confidencialidad, la integridad y la disponibilidad de la información.

4.MARCO LEGAL Y/O TECNICO

4.1 TECNICO

·  NTC – ISO – IEC 27001:2013 Sistema de gestión de seguridad de la información.

·   CEA-4.1-10 Criterios específicos de acreditación. Entidades de certificación digital.

·      Trust Service Principles and Criteria for Certificaction Authorities 2.0

4.2   LEGAL

Todo uso y seguimiento de uso a los recursos de TI de Certicámara S.A. se encuentra de acuerdo a las normas y estatutos internos así como a la legislación nacional, incluida pero no restringida a las referenciadas en el normograma de la Organización (Ver 0228-FO-JUR Normograma).

5.   ROLES Y RESPONSABILIDADES

Certicámara S.A. establece un esquema de seguridad de la información en donde existen roles y responsabilidades definidos entre las que se encuentra actividades de administración, operación y gestión de la seguridad de la información.

 

Ítem

Roles

Responsabilidades

1.

Presidente Ejecutivo (Alta Dirección)

1. Asegurar que se establezcan la política y los objetos del SGSI y que estos estén alineados a los objetivos estratégicos de Certicámara S.A.

2. Asegurar que todo el personal de Certicámara conozca, entienda y cumpla la política del SGSI.

3.  Revisar con frecuencia la eficacia de los controles implementados para que no se materialicen riesgos que afecten el funcionamiento del SGSI.

4.  Aprobar y asignar recursos (financieros, humanos, tecnológicos) necesarios para el SGSI.

5.Verificar que el SGSI logre los resultados esperados.

6. Evitar conflictos de intereses que puedan afectar el buen desempeño del SGSI.

7. Aceptar los riesgos que han llegado a nivel Bajo y de acuerdo a lo establecido en el procedimiento para tal fin.

8. Definir y establecer el proceso disciplinario o incluir en el proceso disciplinario existente de Certicámara S.A., el tratamiento de las faltas de cumplimiento a las políticas de seguridad o los incidentes de seguridad que lo ameriten.

9. Promover la importancia de la seguridad de la información entre los funcionarios de la organización y el personal provisto por terceras partes, así como motivar el entendimiento, la toma de conciencia y el cumplimiento de las políticas, normas, procedimientos y estándares para la seguridad de la información establecidos.

10. Definir y establecer los roles y responsabilidades relacionados con la seguridad de la información en niveles directivo y operativo.

11. Definir y establecer el procedimiento de contacto con las autoridades en caso de ser requerido, así como los responsables para establecer dicho contacto.

12. Revisar y aprobar las Políticas de Seguridad de la Información contenidas en este documento.

13. Promover activamente una cultura de seguridad de la información en la organización.

14. Facilitar la divulgación de las Políticas de Seguridad de la Información a todos los funcionarios de la organización y al personal provisto por terceras partes.

15. Asignar los recursos, la infraestructura física y el personal necesario para la Gestión de la Seguridad de la Información de Certicámara S.A.

 

2.

Director de Gobierno, Riesgo y Cumplimiento

1. Cabeza visible y responsable del SGSI.

2. Alinear los objetivos estratégicos con la política y objetivos del SGSI.

3. Reportar periódicamente a la Presidencia Ejecutiva el estado del SGSI y la necesidad de nuevos proyectos que ayuden a lograr los resultados esperados.

4. Programar pruebas de acuerdo al plan de continuidad del negocio.

5. Liderar la generación de lineamientos para gestionar la seguridad de la información de Certicámara S.A. y el establecimiento de controles técnicos, físicos y administrativos derivados de análisis de riesgos de seguridad.

6. Validar y monitorear de manera periódica la implantación de los controles de seguridad establecidos de acuerdo a lo definido en el procedimiento 0003-PR-SSI Gestión de Riesgos (Ver Procedimiento 0003-PR-GRC Gestión de Riesgos).

3.

Coordinador de Seguridad y Cumplimiento

1.Establecer jornadas de capacitación en temas de seguridad de la información a los colaboradores de la Certicámara.

2.Evaluar, monitorear y revisar periódicamente los riesgos de seguridad de la información identificados y reportados por los dueños de los activos de información, así como la actualización de la matriz de riesgos.

3. Participar en el programa de manejo y seguimiento de incidentes.

4. Crear y establecer una metodología de clasificación de la información según su importancia e impacto.

5. Revisar la eficacia de los controles implementados.

6.Definir las políticas de antivirus, Backup y del control de acceso a la información.

7.Autorizar y controlar los accesos a los centros de datos.

8.Aprobar los accesos a los sistemas de información y redes de comunicación solicitados por los colaboradores de Certicámara.

9. Liderar el comité de seguridad de la  información.

4.

Dueños de Activos de Información

1.Identificar y valorar sus activos de información que apoyan el SGSI.

2. Programar periódicamente mantenimientos a sus activos de información.

5.

Dueños de Riesgos

1.  Identificar periódicamente riesgos que pueda afectar la confidencialidad, disponibilidad e integridad de sus activos de información.

2. Informar al Coordinador de Seguridad y Cumplimiento los riesgos identificados


6.

Comité de SI

1. Revisar y evaluar la eficacia de los controles implementados por el Coordinador de Seguridad y Cumplimiento.

2. Aprobar los recursos requeridos por el Coordinador de Seguridad y Cumplimiento para lograr los resultados esperados.

3. Seguimiento y verificación de las políticas, programas y planes adoptados para la protección de los sistemas, recursos informáticos y servidores de la Red Interna, Centro de Cómputo y Zona Criptográfica de Certicámara.

4. Decisiones de carácter preventivo, correctivo y de mejora que apunten a la optimización de la seguridad de los procedimientos.

5.  Aplicar las medidas sancionatorias a los colaboradores que incumplan la política de SI.

6.  Actualizar y presentarante la Junta Directiva las Políticas de Seguridad de la Información, la metodología para el análisis de riesgos de seguridad y la metodología para la clasificación de la información, según lo considere pertinente.

7. Analizar los incidentes de seguridad que le son escalados y activar el procedimiento de contacto con las autoridades, cuando lo estime necesario.

8. Verificar el cumplimiento de las políticas de seguridad de la información aquí mencionadas.

9.  Así mismo, todas las demás funciones y aquello referente al Comité de Seguridad de la Información estará dispuesto en el reglamento de tal Comité (Ver Reglamento del Comité - Seguridad).

7.

Director TI – Sistemas

1. Administrar la Infraestructura que soportan los servicios que están dentro del alcance del SGSI.

2. Generar Backup de los sistemas de información.

3. Realizar pruebas periódicas de restauración de Backup.

4. Ejecutar las pruebas del plan de continuidad del negocio de acuerdo a la programación establecida por el Director de gobierno, riesgo y cumplimiento.

5. Instalar, configurar y administrar los servicios de redes y comunicaciones.

6. Administrar los canales de comunicación.

7. Administración de los equipos TI.

8. Administración de usuarios de dominio.

9. Gestionar y administrar la plataforma del Antivirus.

10. Atender y solucionar los incidentes de SI.

11. Administrar la seguridad perimetral a través de los firewall.

12. Garantizar la disponibilidad de los servicios que están dentro del alcance del SGSI.

13. Asignar las funciones, roles y responsabilidades, a sus funcionarios para la operación y administración de la plataforma tecnológica de Certicámara S.A. Dichas funciones, roles y responsabilidades son documentadas y apropiadamente segregadas, en la matriz de Administración de la PKI (Ver Matriz RACI Administración PKI).

8.

Abogados

1.Identificar los requisitos legales, normativos, obligaciones contractuales que puedan afectar el SGSI.

2.Definir los acuerdos de confidencialidad con las partes interesadas en el SGSI.

9.

Director de recursos humanos y administrativa

1.Informar de manera oportuna las novedades del personal que están involucrados en el SGSI.

2. Revisar que los colaboradores de Certicámara reciban capacitaciones que incentive la cultura de seguridad de la información.

3. Gestionar los acuerdos de confidencialidad con las partes interesadas en el SGSI.

10.

Responsables de Procesos

1. Medir la eficacia de sus procesos que están dentro del alcance del SGSI.

2.Identificar riesgos asociados a la continuidad de las actividades de sus procesos.

11.

Colaboradores y Contratistas de Certicámara

1. Aceptar las políticas de seguridad de la información y de protección de datos personales.

2. Reportar eventos inapropiados que puedan generar incidentes de seguridad.

3. Ser capacitados en buenas prácticas en materia de seguridad de la información.

4. Los funcionarios y personal provisto por terceras partes que realicen labores en o para Certicámara S.A., tienen la responsabilidad de cumplir con todas las políticas, normas, procedimientos y estándares referentes a la seguridad de la información definida por la organización.

12.

Encargados de la generación y entrega de las claves de los Certificados Digitales.

Los Encargados de la generación y entrega de las claves de los certificados digitales se comprometen a:

1. Garantizar al suscriptor del Certificado Digital, en todo tiempo, el pleno y efectivo ejercicio del derecho de habeas data.

2. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

3. Realizar oportunamente la actualización, rectificación o supresión de los datos otorgados por los suscriptores del Certificado Digital.

4. Notificar mediante correo electrónico oficial al jefe inmediato y al Coordinador de Seguridad y Cumplimiento las novedades que conozca o llegue a conocer tanto de sí mismo como de los demás operadores que intervienen en el proceso de generación y entrega de las claves públicas o privadas de los Certificados Digitales en relación con la manipulación y custodia de estas.

5. Abstenerse de manipular, usar, revelar, divulgar, compartir, exhibir, mostrar, comunicar, utilizar y/o emplear la información confidencial que reciban de los suscriptores de los Certificados Digitales y/o clave del Certificado Digital, con otras personas(s) natural(es) o jurídica(s), en favor propio o de terceros.

6. Custodiar bajo todas las medidas de seguridad que disponga Certicámara los Certificados Digitales, desde el inicio de emisión de la clave pública o privada hasta la entrega al propietario del Certificado Digital.

Nota. Los encargados de la generación y entrega de las claves de los certificados digitales que incumplan con las obligaciones antes descritas serán sancionados de acuerdo al Código Sustantivo del Trabajo y al Reglamento Interno de Trabajo de Certicámara S.A.

 

COMPROMISO DE LA PRESIDENCIA EJECUTIVA

La Presidencia Ejecutiva, promueve el buen uso de los recursos informáticos, con el fin de preservar la confidencialidad, disponibilidad e integridad de la información que es objeto de tratamiento. De igual forma, estas políticas son revisadas anualmente por el Comité de seguridad de la información y será objeto de modificación o ajustes cuando se produzcan cambios significativos en el contexto interno o externo de Certicámara, en la infraestructura tecnológica, cambio de normas que afecten la seguridad de la información o incidentes de seguridad de alto impacto y que pueda afectar la continuidad. La aprobación de las modificaciones o ajustes, se realiza por parte del Comité de Seguridad de la Información y el Presidente Ejecutivo de Certicámara.

Para conocer la totalidad de esta política, comuníquese en Certicámara con Ayda Graciela Castro Suárez – Coordinadora de Seguridad y Cumplimiento 379 0300 Ext 1707 o a través del correo electrónico ayda.castro@certicamara.com