POLÍTICA DE CONDICIONES TÉCNICAS MÍNIMAS Y DE SEGURIDAD DIGITAL WEB

 

INTRODUCCIÓN

La Política de Condiciones Técnicas Mínimas y de Seguridad Digital Web representa la responsabilidad de la FUNDACIÓN PARA EL DESARROLLO COMUNITARIO DE SAMANÁ con respecto a la protección de los activos de información que se manejan, estableciendo el deber y la responsabilidad de protegerlos y salvaguardarlos, garantizando su disponibilidad, integridad y confidencialidad, la cual es esencial para proporcionar servicios eficientes a los ciudadanos en nuestra labor.

Objetivos

Definir las políticas de seguridad digital que se deben seguir por parte de los empleados de la FUNDACIÓN PARA EL DESARROLLO COMUNITARIO DE SAMANÁ, con el fin de preservar la disponibilidad, integridad y confidencialidad de la información buscando:

  •  Establecer las directrices a seguir para el uso adecuado de los servicios y recursos de tecnología informática asignados a los usuarios de la FUNDACIÓN PARA EL DESARROLLO COMUNITARIO DE SAMANÁ, para el ejercicio y cumplimiento de sus funciones.
  •  Proteger la información de la FUNDACIÓN PARA EL DESARROLLO COMUNITARIO DE SAMANÁ de todas las amenazas, ya sean internas o externas, deliberadas o accidentales.
  •  Permitir el intercambio de información segura.
  •  Promover que todo empleado, funcionario, contratista y demás personas que tengan relación con la Fundación, tenga claro su rol en el uso y la protección de la información, con el fin de minimizar el riesgo de situaciones de responsabilidad legal ante un uso inadecuado de la información.
  •  Cumplir con los principios de seguridad de la información.
  •  Proteger los activos tecnológicos.

 

Alcance

Las políticas y directrices definidas en la La Política de Condiciones Técnicas Mínimas y de Seguridad Digital Web aplican para todos los empleados, pasantes, y contratistas de la FUNDACIÓN PARA EL DESARROLLO COMUNITARIO DE SAMANÁ que procesan y/o manejan información de la entidad, incluidas las operaciones de recopilación, análisis, procesamiento, disponibilidad, custodia, conservación y recuperación de la información.

De igual forma, esta política busca proteger los activos de información (grupos de valor, información, procesos, tecnologías de información incluido el hardware y el software), mediante el establecimiento de lineamientos generales para la aplicación de la seguridad de la información en la gestión de los procesos internos.

La política de seguridad de la información aplica a todas las formas de información, incluyendo:

  • Comunicaciones enviadas por correo electrónico.
  • La almacenada y procesada a través de servidores, computadores, portátiles, Tablet.
  • La almacenada en cualquier tipo de medios extraíbles, CD, DVD, cinta, memoria USB,
    tarjetas de memoria, cámaras digitales.

 

Glosario

  • Acceso a la Información Pública:

Derecho fundamental consistente en la facultad que tienen todas las personas de conocer sobre la existencia y acceder a la información pública en posesión o bajo control de sujetos obligados. (Ley 1712 de 2014).

  • Activo

En relación con la seguridad de la información, se refiere a cualquier información o elemento relacionado con el tratamiento de la misma (sistemas, soportes, edificios, personas…) que tenga valor para la organización. (ISO/IEC 27000).

  • Activo de Información

En relación con la privacidad de la información, se refiere al activo que contiene información pública que el sujeto obligado genere, obtenga, adquiera, transforme o controle en su calidad de tal.

  • Archivo

Conjunto de documentos, sea cual fuere su fecha, forma y soporte material, acumulados en un proceso natural por una persona o entidad pública o privada, en el transcurso de su gestión, conservados respetando aquel orden para servir como testimonio e información a la persona o institución que los produce y a los ciudadanos, o como fuentes de la historia. También se puede entender como la institución que está al servicio de la gestión administrativa, la información, la investigación y la cultura. (Ley 594 de 2000).

  • Amenazas

Causa potencial de un incidente no deseado, que puede provocar daños a un sistema o a la organización. (ISO/IEC 27000).

  • Análisis de Riesgo

Proceso para comprender la naturaleza del riesgo y determinar el nivel de riesgo. (ISO/IEC 27000).

  • Auditoría

Proceso sistemático, independiente y documentado para obtener evidencias de auditoría y obviamente para determinar el grado en el que se cumplen los criterios de auditoría. (ISO/IEC 27000).

  • Autorización

Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales (Ley 1581 de 2012).

  • Bases de Datos Personales

Conjunto organizado de datos personales que sea objeto de Tratamiento (Ley 1581 de 2012).

  • Control

Las políticas, los procedimientos, las prácticas y las estructuras organizativas concebidas para mantener los riesgos de seguridad de la información por debajo del nivel de riesgo asumido.

  • Datos Abiertos

Son todos aquellos datos primarios o sin procesar, que se encuentran en formatos estándar e interoperables que facilitan su acceso y reutilización, los cuales están bajo la custodia de las entidades públicas o privadas que cumplen con funciones públicas y que son puestos a disposición de cualquier ciudadano, de forma libre y sin restricciones, con el fin de que terceros puedan reutilizarlos y crear servicios derivados de los mismos (Ley 1712 de 2014, art 6).

  • Datos Personales

Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables. (Ley 1581 de 2012).

  • Datos Personales Públicos

Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva. (Decreto 1377 de 2013, art 3)

  • Datos Personales Privados

Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular. (Ley 1581 de 2012).

 

  • Datos Personales Sensibles

Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos. (Decreto 1377 de 2013).

  • Encargado del Tratamiento de Datos

Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento. (Ley 1581 de 2012)

  • Información Pública Clasificada

Es aquella información que estando en poder o custodia de un sujeto obligado en su calidad de tal, pertenece al ámbito propio, particular y privado o semiprivado de una persona natural o jurídica por lo que su acceso podrá ser negado o exceptuado, siempre que se trate de las circunstancias legítimas y necesarias sobre los derechos particulares o privados (Ley 1712 de 2014).

  • Información Pública Reservada

Es aquella información que estando en poder o custodia de un sujeto obligado en su calidad de tal, es exceptuada de acceso a la ciudadanía por daño a intereses públicos (Ley 1712 de 2014).

  • Ley de Habeas Data

Se refiere a la Ley Estatutaria 1266 de 2008; Modificada por Ley 2157 de 2021

  • Ley de Transparencia y Acceso a la Información Pública

Se refiere a la Ley Estatutaria 1712 de 2014; Reglamentado por Decreto 1081 de 2015 Sector Presidencia de la República; Reglamentado por Decreto 886 de 2014; Reglamentado por Decreto 1377 de 2013.

  • Mecanismos de protección de datos personales

Lo constituyen las distintas alternativas con que cuentan las entidades destinatarias para ofrecer protección a los datos personales de los titulares tales como acceso controlado, anonimización o cifrado.

  •  Privacidad

Se entiende el derecho que tienen todos los titulares de la información en relación con la información que involucre datos personales y la información clasificada que estos hayan entregado o esté en poder de la entidad en el marco de las funciones que a ella le compete realizar y que generan en las entidades la correlativa obligación de proteger dicha información en observancia del marco legal vigente.

 

  • Responsable del Tratamiento de Datos

Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos. (Ley 1581 de 2012).

  • Riesgo

Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información. Suele considerarse como una combinación de la probabilidad de un evento y sus consecuencias. (ISO/IEC 27000).

  • Seguridad de la información

Preservación de la confidencialidad, integridad, y disponibilidad de la información. (ISO/IEC 27000).

  • Titulares de la información

Personas naturales cuyos datos personales sean objeto de Tratamiento. (Ley 1581 de 2012).

  • Tratamiento de Datos Personales

Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión. (Ley 1581 de 2012).

  • Trazabilidad

Cualidad que permite que todas las acciones realizadas sobre la información o un sistema de tratamiento de la información sean asociadas de modo inequívoco a un individuo o entidad. (ISO/IEC 27000).

 

Mecanismos de Seguridad Aplicados en el Sitio Web

Esta Política está enfocada en salvaguardar y mantener disponible la información que maneja la Fundación, garantizando la continuidad de su operación. Para lograr este fin se diseñó el siguiente esquema de seguridad que busca proteger la información, tanto de agentes externos como internos:

  1. Certificado de seguridad SSL
  2. Encriptación punto a punto con cifrado SHA256
  3. Antivirus en el servidor
  4. Sistema de logueo de usuarios con contraseña 
  5. Sistema recaptcha V3 de google.
  6. Sistema de limitación de intentos de logueo para evitar ataques de fuerza bruta
  7. Sistema de IP’s por lista blanca y lista negra
  8. Software antispam 

 

Uso de la Tecnología y Propiedad de la Información

Los usuarios deben tener claridad acerca de que la información que tienen a su cargo y manejan a través de un sistema informático dentro del ejercicio de sus funciones, es propiedad de la FUNDACIÓN PARA EL DESARROLLO COMUNITARIO DE SAMANÁ.

  • Todos los usuarios son responsables del uso adecuado de la información que manejan y tienen el criterio suficiente para asumir las consecuencias de darle una destinación personal o en contra de lo ajustado a la Ley. De igual forma, los recursos tecnológicos asignados como el acceso a Internet y el correo electrónico son exclusivos para ejercer funciones de trabajo. 
  • Es responsabilidad de los usuarios que manejan información confidencial y sensible de la FUNDACIÓN PARA EL DESARROLLO COMUNITARIO DE SAMANÁ, dar el tratamiento que propenda por su protección. 
  • Solo tendrán acceso a los sistemas de Información aquellos usuarios que por sus funciones así lo requieran, con el visto bueno de su jefe inmediato.

Seguridad de la Información

La información que manejan los usuarios y que es crítica para llevar a cabo los objetivos de la FUNDACIÓN PARA EL DESARROLLO COMUNITARIO DE SAMANÁ, debe ser protegida y respaldada por procedimientos que son responsabilidad de los usuarios, por ende se custodiará la información almacenada en el computador asignado por la entidad.

Para cumplir con esta premisa, es importante tener en cuenta lo siguiente:

  • La interfaz de usuario para acceder a la información disponible en los sistemas debe tener restricciones de acceso y es responsabilidad de cada usuario prevenir el ingreso de personal no autorizado a los sistemas desde los recursos que le son asignados por la FUNDACIÓN PARA EL DESARROLLO COMUNITARIO DE SAMANÁ.
  • El usuario es responsable de la seguridad de las cuentas que le son asignadas y la confidencialidad de claves asociadas, así como de cumplir con las condiciones de cambio y conformación que imponga cada aplicativo. Todas las actividades que se realicen con una identificación son responsabilidad del funcionario al que le fue asignada. Por ello, está totalmente prohibido ceder y dar a conocer las claves a un tercero.
  • Todos los computadores portátiles y estaciones de trabajo de la Fundación deben ser objeto de esta politica.5
  • Debido a que la información contenida en computadores portátiles presenta un alto riesgo de vulnerabilidad, los usuarios se comprometen a tener especial cuidado tanto con el equipo, como con la información contenida en el mismo. 
  • Todos los equipos conectados a la red de comunicaciones de la la FUNDACIÓN PARA EL DESARROLLO COMUNITARIO DE SAMANÁ, aunque sea propiedad de la persona que lo utiliza, deben ejecutar esta politica y sus recomendaciones para porteger la base de datos de cualquier virus, así como tener legalizado el licenciamiento del sistema operativo y todas las aplicaciones contenidas en el equipo. 
  • La digitación de la clave, ya sea en el ingreso a un sistema o por cambio de la misma, debe realizarse de tal forma que no sea conocida por un tercero.

 

Usos Inadecuados de las Herramientas Tecnológicas (Prohibiciones)

Bajo ninguna circunstancia se justifica el uso de los recursos informáticos en la ejecución de actividades prohibidas por las normas jurídicas, nacionales o internacionales, incluyendo todas aquellas que protegen los derechos de autor.

Usos Inadecuados en los Sistemas y de la Red

  • Violaciones de los derechos de cualquier persona o institución protegidos por derechos de autor, patentes o cualquier otra forma de propiedad intelectual.
  • Emplear los computadores asignados para el ejercicio de sus funciones para almacenar material ofensivo contra la moral, la dignidad y el bienestar de terceros, como pornografía, injuria o cualquier información de amenazas.
  • Copia no autorizada de material protegido por derechos de autor que incluye, digitalización y distribución de imágenes o fotografías de cualquier origen (revistas, libros, páginas web, etcétera), digitalización y distribución de música, audio o video, distribución e instalación de software ilegales.
  • Exportar o copiar software elaborado o adquirido por la FUNDACIÓN PARA EL DESARROLLO COMUNITARIO DE SAMANÁ, información técnica o relevante de la operatividad diaria, sin previa autorización escrita de un superior o área responsable.
  • Instalación de software malicioso en los equipos de la red o en los servidores, así como software y tecnologías para criptografía en contra de leyes de controles.
  • Revelar la clave de su cuenta de acceso de las aplicaciones a otras personas (correo electrónico, aplicaciones internas, etc.) o permitir su uso a terceros para actividades ajenas a los objetivos de la FUNDACIÓN PARA EL DESARROLLO COMUNITARIO DE SAMANÁ a menos que exista explícitamente una autorización para ello, la cual debe formalizarse por escrito.
  • Utilizar la infraestructura de tecnología de información de la FUNDACIÓN PARA EL DESARROLLO COMUNITARIO DE SAMANÁ para conseguir o transmitir material con ánimo de lucro.
  • Se prohíbe el uso del sistema de comunicaciones de la FUNDACIÓN PARA EL DESARROLLO COMUNITARIO DE SAMANÁ con el fin de realizar algún tipo de acoso, difamación, calumnia o cualquier forma de actividad hostil hacia personas naturales o jurídicas, dentro o fuera del territorio nacional.
  • Hacer ofrecimientos fraudulentos de productos o servicios cuyo origen sean los recursos o servicios tecnológicos propios de la FUNDACIÓN PARA EL DESARROLLO COMUNITARIO DE SAMANÁ o entidades adscritas.
  • Realizar actividades que contravengan la seguridad de los sistemas o que generen interrupciones de la red o de los servicios. Entre las acciones que contravienen la seguridad de la red se encuentran, aunque no están limitadas a estas, acceder a datos cuyo destinatario no es usted, ingresar a una cuenta de un servidor o de una aplicación para la cual no está autorizado.
  • Intentar burlar los mecanismos de seguridad, autenticación, autorización o de auditoría de cualquier servicio de red, aplicación, servidor, o cuenta de usuario.
  • n)  Realizar cualquier acción cuya intención sea la de interferir, interrumpir o lesionar la continuidad de un servicio, la imagen de la FUNDACIÓN PARA EL DESARROLLO COMUNITARIO DE SAMANÁ o infringir alguna norma o restricción estipulada en esta política.
  • Proporcionar a terceros información sobre aplicaciones, configuraciones, y datos de manejo exclusivo de la FUNDACIÓN PARA EL DESARROLLO COMUNITARIO DE SAMANÁ, sin la debida autorización.
  •  
  • Uso inadecuado del correo electrónico y sistemas de comunicación

Está prohibido:

  • Enviar correos electrónicos cuyo contenido sea inapropiado, tales como
    mensajes que incluyan material comercial y/o publicitario no solicitado, sin
    importar el idioma, la periodicidad o tamaño del mensaje.
  • Retransmitir cadenas electrónicas sin propósito laboral.
  • Proporcionar la dirección de correo en las subscripciones a páginas Web de
    entretenimiento o de interés personal. Para este efecto se deben utilizar las
    cuentas de correo personales.
  •  Usar el correo de la entidad para enviar material pornográfico, o con cualquier
    contenido que viole derechos de autor o derechos humanos.
  • Expresar puntos de vista que puedan ser considerados como difamatorios o
    injuriosos.

Uso inadecuado de internet

  • El ingreso a sitios reconocidos y de inapropiada reputación, el acceso a sitios con contenidos no apropiados tales como juegos, apuestas, pornografía, etc., son inaceptables, más aún, acceder, ver, bajar o reenviar material obsceno, amenazador, acosador explícito, chistes o comentarios degradantes es un uso no apropiado del equipo suministrado por la FUNDACIÓN PARA EL DESARROLLO COMUNITARIO DE SAMANÁ.
  • Utilizar la red de la FUNDACIÓN PARA EL DESARROLLO COMUNITARIO DE SAMANÁ para conectar cualquier dispositivo, sin previa autorización.
  • Utilizar el acceso a Internet para publicar material difamatorio o injurioso.

Revisión

La revisión de la presente política estará a cargo de la Dirección Ejecutiva de la FUNDACIÓN PARA EL DESARROLLO COMUNITARIO DE SAMANÁ y esta será revisada cuando se considere necesario; sin embargo, el periodo no debe ser superior a un año.

 

POLÍTICA DE CONDICIONES TÉCNICAS MÍNIMAS Y DE SEGURIDAD DIGITAL WEB – PROTECCIÓN

La FUNDACIÓN PARA EL DESARROLLO COMUNITARIO DE SAMANÁ protege, custodia y preserva la información gestionada en sus procesos, mediante una adecuada gestión de riesgos de seguridad y privacidad de la información que permitan el adecuado acceso, procesamiento, transporte, intercambio, almacenamiento, presentación, comunicación y divulgación de la información, logrando los niveles de confidencialidad, disponibilidad e integridad requeridos para dar cumplimiento a los requisitos legales y reglamentarios y, a las necesidades del cliente interno y externo. 

La protección, custodia y preservación de la información respalda los objetivos misionales y estratégicos de la Fundación, por lo tanto, es responsabilidad de los funcionarios, colaboradores, contratistas, proveedores, pasantes y partes interesadas dar cumplimiento a la presente política. 

Validez de la Política

La presente política es aplicable a partir de su publicaci

Ir al contenido