PROTECCIÓN DE DATOS

 

Con objeto de cumplir con el principio de seguridad consagrado en el artículo 4 literal g) de la Ley Estatutaria 1581 de 2.012, de Protección de Datos, ESPACIOLEVE INGENIERIA LTDA, el responsable del tratamiento de datos personales, así como sus encargados del tratamiento, deben implementar medidas técnicas, humanas y administrativas necesarias para garantizar la seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

No se permite el registro de bases de datos personales que no reúnan las condiciones mínimas de seguridad expuestas en el presente informe.

Las medidas de seguridad se clasifican en tres niveles de seguridad según el tipo de datos: público- semiprivado, privado y sensible. Los niveles de seguridad son acumulativos, de forma que las medidas de seguridad para datos sensibles incluyen también las medidas de seguridad para los niveles, privado y público-semiprivado; y las medidas de seguridad para datos privados incluyen, a su vez, las del nivel público-semiprivado. La clasificación de los niveles de seguridad se realiza atendiendo a la tipología de los datos, la finalidad del tratamiento y la actividad del responsable del tratamiento (Tabla I).

Tabla I. Tipos de datos y el nivel de seguridad

 

TABLA I. TIPOS DE DATOS Y EL NIVEL DE SEGURIDAD

Tipos de datos  

Descripción

Nivel de seguridad
 

Público

Datos contenidos en documentos públicos, en sentencias judiciales debidamente ejecutoriadas no sometidas a reserva y los relativos al estado civil de las personas.  

Público-semiprivado

 

 

Semiprivado

Bases de datos que contengan Información financiera, crediticia, comercial, de servicios y la proveniente de terceros países (reportes positivos y negativos)  

Público

semiprivado

 

 

 

 

Privado

Números telefónicos y correos electrónicos personales; datos laborales, sobre infracciones administrativas o penales, administrados por administraciones tributarias, entidades financieras y entidades gestoras y servicios comunes de la Seguridad Social, bases de datos sobre solvencia patrimonial o de crédito, bases de datos con información suficiente para evaluar la personalidad del titular, bases de datos de los responsables de operadores que presten servicios de comunicación electrónica  

 

 

Privado

 

 

Sensible

 

Datos de salud, ideología, afiliación sindical, creencias, religión, origen racial o étnico, vida sexual, datos recabados sin consentimiento para fines policiales, datos biométricos (huellas, iris, etc.), datos derivados de la violencia de género

 

 

Sensible

 Las medidas de seguridad también varían según el sistema de tratamiento de la base de datos, que puede ser automatizada, no automatizada o parcialmente automatizada.

La siguiente tabla (Tabla II) indica el nivel de seguridad y el sistema de tratamiento de las bases de datos almacenadas y tratadas por ESPACIOLEVE INGENIERIA LTDA.

 

.TABLA II. BASES DE DATOS Y NIVEL DE SEGURIDAD

 

Base de datos

 

Nivel de seguridad

 

Sistema de Tratamiento tratamiento

 

Registros 

Empleados

Sensible Mixto

28

Clientes  y  facturación

Privado Mixto

8

Proveedores y cuentas por pagar Privado Mixto

20

 

TABLA III. MEDIDAS DE SEGURIDAD COMUNES PARA TODO TIPO DE DATOS

(PÚBLICOS, SEMIPRIVADOS, PRIVADOS, SENSIBLES) Y BASES DE DATOS (SISTEMATIZADAS, FISICAS)

Gestión de documentos y soportes:

  1. Medidas que eviten el acceso indebido o la recuperación de los datos que han sido descartados, borrados o destruido.
  2. Acceso restringido al lugar donde se almacenan los datos.
  3. Autorización del responsable para la salida de documentos o soportes por medio físico o electrónico.
  4. Sistema de etiquetado o identificación del tipo de información.
  5. Inventario de soportes.

Control de acceso:

  1. Acceso de usuarios limitado a los datos necesarios para el desarrollo de sus funciones.
  2. lista actualizada de usuarios y accesos autorizados.
  3. Mecanismos para evitar el acceso a datos con derechos distintos de los autorizados.
  4. Concesión, alteración o anulación de permisos por el personal autorizado.

Incidencias:

  1. Registro de incidencias: tipo de incidencia, momento en que se ha producido, emisor de la notificación, efectos y medidas correctoras.
  2. Procedimiento de notificación y gestión de incidencias.

Personal:

  1. Definición de las funciones y obligaciones de los usuarios con acceso a los datos.
  2. Definición de las funciones de control y autorizaciones delegadas por el responsable del tratamiento.
  3. Divulgación entre el personal de las normas y de las consecuencias del incumplimiento de las mismas.

Manual interno de seguridad:

  1. Elaboración e implementación del manual de obligado cumplimiento para el personal.
  2. Contenido mínimo: ámbito de aplicación, medidas y procedimientos de seguridad, funciones y obligaciones del personal, descripción de las bases de datos, procedimiento ante incidencias, procedimiento de copias y recuperación de datos, medidas de seguridad para el transporte, destrucción y re utilización de documentos, identificación de los encargados del tratamiento.


TABLA IV. MEDIDAS DE SEGURIDAD COMUNES PARA TODO TIPO DE DATOS (PÚBLICOS, SEMIPRIVADOS, PRIVADOS, SENSIBLES) SEGÚN EL TIPO DE BASES DE DATOS

 Bases de datos Físicas

 Bases de datos Sistematizadas

Archivo

Almacenamiento de documentos Custodia de documentos Identificación y autenticación

Telecomunicaciones

Archivo de documentación siguiendo procedimientos que garanticen una correcta conservación, localización y consulta y permitan el ejercicio de los derechos de los Titulares.

Dispositivos de almacenamiento con mecanismos que impidan el acceso a personas no autorizadas. Deber de diligencia y custodia de la persona a cargo de documentos durante la revisión o tramitación de los mismos. Identificación personalizada de usuarios para acceder a los sistemas de información y verificación de su autorización.

 

 

Acceso a datos mediante redes seguras.

Mecanismos de identificación y autenticación; Contraseñas: asignación, caducidad y almacenamiento cifrado.

 

TABLA V. MEDIDAS DE SEGURIDAD PARA DATOS PRIVADOS SEGÚN EL TIPO DE BASES DE DATOS  

Bases de datos sistematizadas y físicas:

Auditoria:

  1. Auditoria ordinaria (interna o externa) cada dos meses.
  2. Auditoria extraordinaria por modificaciones sustanciales en los sistemas de información.
  3. Informe de detección de deficiencias y propuestas de correcciones.
  4. Análisis y conclusiones del responsable de seguridad y del responsable del tratamiento.
  5. Conservación del informe a disposición de la autoridad.

Responsable de seguridad:

  1. Designación de uno o varios responsables de seguridad.
  2. Designación de uno o varios encargos del control y la coordinación de las medidas del manual interno de seguridad.
  3. Prohibición de delegación de la responsabilidad del responsable del tratamiento en el responsable de seguridad.

Manual interno de seguridad:

  1. Controles periódicos de cumplimiento.

 

Bases de datos sistematizadas

Gestión de documentos y soportes:

  1. Registro de entrada y salida de documentos y soportes: fecha, emisor y receptor, numero tipo de información, forma de envió, responsable de la recepción o entrega.

Control de acceso:

  1. Control de acceso al lugar o lugares donde se ubican los sistemas de información.

Identificación y autenticación:

  1. Mecanismo que limite el número de intentos reiterados de acceso no autorizados.

Incidencias:

  1. Registro de los procedimientos de recuperación de los datos, persona que los ejecuta, datos restaurados y datos restaurados y datos grabados manualmente.
  2. Autorización del responsable del tratamiento para la ejecución de los procedimientos de recuperación.

 


TABLA VI. MEDIDAS DE SEGURIDAD PARA DATOS SENSIBLES SEGÚN EL TIPO DE BASE DE DATOS

Bases de datos no sistematizadas

Control de acceso:

  1. Acceso solo para personal autorizado.
  2. mecanismo de identificación de acceso.
  3. Registro de accesos de usuarios no autorizados.

Almacenamiento de documentos:

  1. Archivadores, armarios u otros ubicados en áreas de acceso protegidas con llaves u otras medidas.

Copia o reproducción:

  1. Solo por usuarios autorizados
  2. Destrucción que impida el acceso o recuperación de los datos.

Traslado de documentación:

  1. Medidas que impidan el acceso o manipulación de documentos.

 

Bases de datos sistematizadas

Gestion de documentos y soportes:

  1. Sistema de etiquetado confidencial.
  2. Cifrado de datos.
  3. Cifrado de dispositivos portátiles cuando salgan fuera.

Control de acceso:

  1. Registro de accesos: usuario, hora, base de datos a la que accede tipo de acceso, registro al que accede.
  2. Control del registro de accesos por el responsable de seguridad.
  3. Informa casual
  4. Conservación de los datos: 2 años

Telecomunicaciones:

  1. Transmisión de datos mediante redes electrónicas cifradas.