Comunícate ahora con nuestros asesores al 6045903572 ext. 1

E-Misión Facturación y Nómina Electrónica
ENDOSO
FACTURADOR
E-Misión Facturación y Nómina Electrónica

Política de Seguridad

en la información

POLÍTICA DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN, PROTECCIÓN DE DATOS PERSONALES Y CONTINUIDAD DE NEGOCIO

CONFIDENCIALIDAD

Este documento es propiedad de NODEXUM y la información contenida en él hace parte del acuerdo de confidencial firmado entre las partes. La parte receptora se obliga a guardar absoluta reserva sobre toda la información que les sean suministrados, debe abstenerse de efectuar para sí o para terceros, copias, arreglos, reproducciones, adaptaciones o cualquier otra clase de mutilación, deformación o modificación del mismo. No obstante, lo anterior, la Parte Receptora podrá reproducir lo contenido en este documento solamente en la medida que sea esencial para cumplir con las actividades y negociaciones tendientes a establecer un posible acuerdo comercial y evitará la revelación de la Información a terceros.

INTRODUCCIÓN

En NODEXUM S.A.S., la seguridad de la información es fundamental para proteger nuestros activos, garantizar la confianza de nuestros clientes y cumplir con las regulaciones aplicables. Esta política establece las directrices y responsabilidades para asegurar la confidencialidad, integridad y disponibilidad de la información manejada por la empresa.

La seguridad de la información es responsabilidad de todos, desde la alta dirección hasta cada uno de los colaboradores. A través de esta política, buscamos crear una cultura de seguridad que minimice riesgos y asegure un entorno de trabajo seguro y confiable.

1. OBJETIVO GENERAL

El objetivo de esta Política de Seguridad de la Información es establecer las normas, directrices y principios para garantizar la protección, confidencialidad, integridad y disponibilidad de la información manejada por la organización, tomando como guía el estándar ISO/IEC 27001:2022.

2. ALCANCE POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Esta política se aplica a todos los empleados, contratistas, proveedores y terceros que tengan acceso a los sistemas y datos de la organización. También cubre todos los dispositivos, aplicaciones y plataformas utilizadas para el manejo de información.

3. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

Procesos de facturación y nómina electrónica, para la gestión de habilitación, puesta en producción y soporte como proveedor de servicios tecnológicos, de acuerdo con la matriz de aplicabilidad.

4. OBJETIVOS DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

  • Establecer un marco de responsabilidad, asignación de recursos y cumplimiento en todos los niveles de la organización para la implementación y mantenimiento del Sistema de Gestión de Seguridad de la Información (SGSI).

  • Garantizar el cumplimiento normativo y regulatorio, promoviendo una cultura organizacional de seguridad y asegurando la capacitación y concienciación de todos nuestros colaboradores.

  • Gestionar los riesgos de seguridad de la información mediante la implementación de controles adecuados.

  • Establecer y mantener un Sistema de Gestión de Seguridad de la Información (SGSI) eficaz, con procesos de monitoreo, auditoría, revisión, mejora continua y planes de contingencia para garantizar la operatividad y recuperación ante incidentes graves.

  • Garantizar la protección integral de la información y los sistemas críticos, asegurando su confidencialidad, integridad y disponibilidad.

5. PRINCIPIOS BÁSICOS DE SEGURIDAD

Los principios adoptados por NODEXUM S.A.S. para orientar las acciones de preservación de la seguridad de la información son:

  • Confidencialidad: La información debe ser accesible únicamente a aquellos que estén autorizados a verla o utilizarla, evitando divulgaciones no autorizadas.
  • Integridad: Asegurar que la información se mantenga precisa, completa y no sea alterada sin autorización, ya sea accidental o malintencionadamente.
  • Disponibilidad: La información debe estar disponible y accesible cuando sea necesario, de acuerdo con los requerimientos operacionales.

6. RESPONSABILIDADES

Alta Dirección:

  • Aprobar y revisar periódicamente esta política.
  • Asignar los recursos necesarios para la implementación de las medidas de seguridad.
  • Verificar que se cumplan las normativas y regulaciones aplicables relacionadas con la seguridad de la información.
  •  Fomentar una cultura organizacional que valore la seguridad de la información y que esté comprometida con su protección.

 

Oficial de Seguridad de la Información:

  • Verificar que la política de seguridad de la información se ejecute de manera efectiva en toda la organización.
  • Identificar riesgos emergentes y coordinar la implementación de medidas para mitigar dichos riesgos.
  • Desarrollar y mantener planes para garantizar la continuidad del negocio.
  • Supervisar continuamente los controles de seguridad y evaluar el desempeño de las medidas implementadas.
  • Gestionar el programa de concientización y sensibilización en Seguridad de la Información.
  • Liderar la respuesta a incidentes de seguridad, coordinando las acciones de contención, investigación y resolución.
  • Asegurarse que la organización cumpla con todas las leyes, normativas y estándares aplicables en materia de seguridad de la información.
  • Coordinar con los propietarios y custodios de la información para la elaboración del inventario de activos de la información y ejecución de la gestión de riesgos.
  • Establecer, implementar, mantener y mejorar continuamente el Sistema de Gestión de Seguridad de la Información de NODEXUM.
  • Informar periódicamente al Comité de Seguridad de la Información y a la alta dirección sobre el estado de la seguridad y cualquier incidente relevante.
  • Asegurarse de que la alta dirección esté informada de los riesgos y las implicaciones de seguridad en las decisiones empresariales.

 

Comité de Seguridad de la Información:

  • Revisar las políticas de seguridad de la información, asegurándose de que estén alineadas con las necesidades organizativas y las regulaciones externas.
  • Supervisar el cumplimiento de las políticas y procedimientos de seguridad y promover la mejora continua.
  • Monitorear posibles amenazas que puedan afectar la seguridad de la información.
  • Identificar oportunidades de mejora relacionadas a la seguridad de la información.
  • Promover la conciencia sobre la importancia de la seguridad de la información en toda la organización.
  • Coordinar y colaborar en las auditorías internas y externas relacionadas con la seguridad de la información.
  • Revisar y aprobar el programa anual de capacitación para el personal sobre el SGSI.
  • Revisar y aprobar los cambios significativos que puedan afectar el desempeño del SGSI.
  • Realizar seguimiento a los incidentes de seguridad de la Información.
  • Reunirse periódicamente para evaluar la situación en materia de seguridad de la información y el plan de acción para la mejora continua.

 

Responsable de Tecnología e Infraestructura:

  • Implementar controles técnicos, mantener la infraestructura segura, gestionar técnicamente los incidentes de seguridad y actualizar sistemas.
  • Proponer los procedimientos específicos para el resguardo de los activos de información y los controles operativos de los mismos.
  • Realizar copias de seguridad regulares y gestionar el acceso a los sistemas de manera segura.

 

Directores de Procesos:

  • Velar por el cumplimiento de las Políticas y lineamientos de Seguridad de la Información.
  • Realizar la identificación de los activos de información que generan, gestionan y/o almacenan en sus procesos, asegurando su adecuado resguardo y tratamiento.
  • Informar e involucrar al Oficial de Seguridad de la Información, respecto a todos los nuevos proyectos o servicios que se encuentren en evaluación y/o definición, de tal forma de asegurar el cumplimiento de los criterios de seguridad de la información.

 

Colaboradores:

  • Cumplir con las políticas, lineamientos y procedimientos de seguridad, reportar incidentes de seguridad y proteger la información confidencial.
  • Mantener en estricta confidencialidad y no compartir ni modificar información institucional de NODEXUM S.A.S. sin la debida autorización.
  • Informar inmediatamente sobre cualquier incidente de seguridad, sospecha de vulnerabilidad o pérdida de datos.
  • Participar en las formaciones de seguridad y concienciación sobre el manejo de la información y la protección de datos.
  • Utilizar los sistemas y recursos tecnológicos solo para fines laborales y siguiendo las normas de seguridad establecidas.

 

Proveedores y Terceros:

  • Cumplir con las políticas de seguridad cuando manejen o accedan a la información y recursos tecnológicos de la organización.
  • Garantizar que sus empleados y contratistas solo tengan acceso a la información necesaria para cumplir con sus tareas y que se mantenga la seguridad de esos accesos.
  • Informar de inmediato cualquier incidente de seguridad o violación de datos.

7. DIRECTRICES DE SEGURIDAD DE LA INFORMACIÓN

Con el fin de proteger los Activos de Información de cualquier pérdida de Confidencialidad, Integridad y/o Disponibilidad de forma accidental y/o intencionada, NODEXUM S.A.S. ha establecido las siguientes directrices fundamentales que soportan la implementación de la presente Política:

  • Deberá asegurar que las políticas y los objetivos del Sistema de Gestión de Seguridad de la Información, sean adecuados al propósito de la Compañía.
  • Dispondrá los recursos administrativos y financieros necesarios para alcanzar y mantener los objetivos del Sistema de Gestión de Seguridad de la Información.
  • Protegerá la información creada, procesada, transmitida o resguardada por sus procesos de negocio, para minimizar impactos financieros, operativos o legales por su uso incorrecto. Para ello es fundamental aplicar controles según la clasificación de la información de su propiedad o en custodia.
  • Gestionará los riesgos Seguridad de la Información, Protección de Datos Personales y Continuidad de Negocio acorde con la metodología de gestión de riesgos aprobada.
  • Controlará la operación de sus procesos de negocio garantizando la seguridad de los recursos tecnológicos.
  • Garantizará que la seguridad sea parte integral del ciclo de vida de los sistemas de información.
  • Garantizará a través de una adecuada gestión de los eventos de seguridad y las debilidades asociadas con los sistemas de información una mejora efectiva de su modelo de seguridad.
  • Garantizará la disponibilidad de sus procesos de negocio y la continuidad de su operación basada en el impacto que pueden generar los eventos.
  • Deberá velar por el cumplimiento de los requisitos legales o reglamentarios y las obligaciones contractuales en materia de Seguridad de la Información, Protección de Datos Personales y Continuidad de Negocio que le apliquen a la Compañía.

8. LINEAMIENTOS ESPECÍFICOS

NODEXUM SAS es una Compañía dedicada al desarrollo de sistemas informáticos (planificación, análisis, diseño, programación y pruebas), en cumplimiento de sus funciones y entendiendo la importancia de una adecuada gestión de la información, a través de la Alta Dirección, se ha comprometido con el establecimiento, implementación y mejora continua del Sistema de Gestión de Seguridad de la Información, como mecanismo para identificar y mitigar los riesgos asociados a la generación, almacenamiento y suministro de información, en el ejercicio de sus deberes con el Estado y sus clientes, enmarcado en el estricto cumplimiento de las leyes y en concordancia con la misión y visión de la Compañía.

El Sistema de Gestión de Seguridad de la Información establece los mecanismos para proteger, recuperar y conservar la información física y digital en el tiempo, asegurando su integridad, confidencialidad, disponibilidad, interacción y usabilidad, consolidando la cultura de seguridad de la información y protección de la propiedad intelectual de NODEXUM S.A.S.

Esto teniendo en cuenta que los principios sobre los que se basa el desarrollo de las acciones o toma de decisiones alrededor del sistema integrado estarán determinadas por las siguientes premisas:

  • Organización de la Seguridad de la Información

    NODEXUM S.A.S. asigno a la Auxiliar de Infraestructura y Seguridad en la Información quien toma el rol de Oficial de Seguridad de la Información, las funciones de planificación en materia de seguridad de la información y de supervisión de la investigación y monitoreo de los incidentes relativos a la seguridad de la información. La planificación comprende la propuesta de programas, proyectos y metodologías, su monitoreo y evaluación, así como la promoción de la difusión y apoyo a la seguridad de la información dentro de la organización.

  • Seguridad de los recursos humanos

    NODEXUM S.A.S. procurará que su personal se encuentre debidamente concientizado a través de planes de formación y capacitación. Así también, se procurará incluir en la etapa de inducción los aspectos de seguridad de la información.

    La dirección del área deberá mantener actualizada y custodiada toda la información personal de los colaboradores de NODEXUM S.A.S.

    NODEXUM S.A.S. requerirá a los colaboradores la firma de un acuerdo de confidencialidad.

    Al culminar sus labores en NODEXUM S.A.S. por cualquier motivo, la dirección de área deberá asegurar que el personal devuelva todos los activos de información y cualquier documentación que tenía bajo su responsabilidad

  • Protección de Datos Personales

    Los datos personales serán recolectados únicamente para fines legítimos y previamente informados al titular.

    Antes de recopilar, procesar o almacenar datos personales, se debe obtener el consentimiento explícito e informado de la persona titular de los datos, tal como se establece en la Ley 1581 de 2012.

    El acceso a los datos personales será restringido y se otorgará únicamente a personal autorizado.

    En caso de violación de seguridad que comprometa datos personales, se notificará de manera inmediata a la Superintendencia de Industria y Comercio (SIC) y a los titulares de los datos afectados, conforme a lo dispuesto en la Ley 1581 de 2012 y el Decreto 1377 de 2013.

    La organización garantiza a los titulares de los datos personales el ejercicio de sus derechos, tales como el derecho de acceso, corrección, supresión y revocación del consentimiento.

  • Propiedad Intelectual

    Tecnologías, marcas, metodologías y cualquier otra información que pertenezca a NODEXUM S.A.S. no se debe utilizar para fines particulares, ni transferir a otro, aunque hayan sido obtenidas o desarrolladas por el propio colaborador en su ambiente de trabajo.

  • Gestión de Activos y control de Acceso

    NODEXUM S.A.S. adoptará las medidas necesarias para contar con los activos de información inventariados, de forma tal que permita su clasificación en función de la criticidad.

    NODEXUM S.A.S. implementara controles de acceso que garanticen que a los usuarios sólo se les otorguen privilegios y derechos mínimos necesarios para desempeñar su función.

    Establecerá una Política de contraseñas adecuada y alineada con las buenas prácticas en seguridad.

    La gestión del ciclo de vida de la identidad deberá estar alineado con el área de Gestión Humana con el objetivo de verificar las identidades en función de las altas y las bajas de colaboradores y su relación en los sistemas de información.

    Los accesos serán revisados periódicamente y se revocarán cuando ya no sean necesarios.

    NODEXUM S.A.S. exige a todos los colaboradores que se desvinculan la devolución de los activos de información en su poder. En el mismo sentido, se compromete a establecer e implementar los procedimientos adecuados para la recepción de estos.

  • Escritorio y pantalla limpios

    NODEXUM S.A.S. Establece los siguientes requisitos con el objetivo de garantizar la seguridad en los puestos de trabajo:

    • Se deberá bloquear la sesión de los equipos cuando el colaborador se ausente del puesto.
    • Al finalizar la jornada, se deberá resguardar el entorno de trabajo, asegurando que todos los documentos o soportes de información queden fuera de la vista.
    • El puesto de trabajo deberá mantenerse ordenado y libre de documentos o soportes de información que puedan ser vistos o accesibles por personas no autorizadas.
    • Mantener el escritorio limpio en los equipos de cómputo, recordando que toda la información de la empresa deberá estar almacenada en el SharePoint.

  • Adquisición de sistemas, desarrollo y mantenimiento de sistemas de información

    NODEXUM S.A.S. Se compromete a adoptar medidas de seguridad por defecto y desde el diseño para proteger todas las aplicaciones que se desarrollen internamente. Además, se compromete a establecer, implementar e incorporar el uso de buenas prácticas en materia de desarrollo seguro.

  • Gestión de Riesgos e incidentes de seguridad

    NODEXUM S.A.S. Realizará evaluaciones periódicas de los riesgos relacionados con la seguridad de la información, identificando posibles amenazas y vulnerabilidades.

    Todos los colaboradores de NODEXUM S.A.S. Tienen la obligación y responsabilidad de identificar y notificar cualquier incidente que pueda comprometer la seguridad de los activos de información.

    Todos los incidentes de seguridad serán gestionados conforme al procedimiento de incidentes de la seguridad de la información.

    El Comité de Seguridad de la Información y la alta gerencia será informada sobre los incidentes más graves y tomará las decisiones pertinentes.

  • Seguridad en trabajo en la nube

    Con el objetivo de promover una adopción segura y eficiente de los servicios en la nube, maximizando sus beneficios y minimizando los riesgos asociados, y teniendo en cuenta la protección de datos, la privacidad y la seguridad de la información, la organización establece los siguientes lineamientos:

    • Los datos almacenados serán clasificados según su nivel de sensibilidad: Público, privado, Confidencial.
    • Se deberá almacenar datos en la nube de acuerdo con su clasificación, asegurando que los datos confidenciales y privados solo se almacenen en servicios en la nube aprobados y seguros.
    • Para la gestión de accesos para acceder a servicios en la nube se deberá utilizar los principios de mínimo privilegio y separación de deberes al asignar permisos de acceso.
    • Notificar inmediatamente a los responsables internos y al proveedor de servicios en la nube en caso de un incidente.
    • Se deberá asegurar que el uso de servicios en la nube cumpla con todas las leyes y regulaciones aplicables.

  • Relación con Proveedores

    La organización deberá asegurarse de que los servicios críticos adquiridos cumplan con las siguientes características esenciales:

    • La existencia de certificaciones relevantes (ISO 27001), cumplimiento de normativas refrentes a protección datos (Ley 1581 del 2012), existencia de políticas de seguridad de la información, canales disponibles para la gestión de incidentes y su resolución y la existencia de planes de continuidad en caso de interrupciones.
    • Los servicios en la nube deben en la medida de lo posible contar con disponibilidad y acceso remoto.
    • El proveedor contratado deberá ofrecer un servicio de soporte técnico confiable y receptivo para atender las consultas, problemas y solicitudes de los clientes.

  • Continuidad de Negocio

    NODEXUM S.A.S. Deberá contar con un Plan de Continuidad de Negocio como parte de su estrategia para asegurar la continuidad en la prestación de sus servicios esenciales. Este Plan deberá ser actualizado y probado de manera periódica.

  • Seguridad de la información en los proyectos

    Cada vez que la empresa NODEXUM S.A.S planee, desarrolle, ejecute e implemente nuevos proyectos de adquisición o mejora de recursos tecnológicos, físicos o de cualquier índole, analizará los riesgos de seguridad de la información y establecerá un plan de acción para tratarlos.

  • Cumplimiento y Mejora Continua

    NODEXUM S.A.S. Cumple con las disposiciones legales, normativas y contractuales aplicables, promoviendo además el cumplimiento de las políticas y normas de seguridad.
    Se realizarán auditorías periódicas para evaluar el cumplimiento de esta política. Asimismo, atenderá y dará cumplimiento a las recomendaciones derivadas de los hallazgos de las auditorías internas y externas, implementando las medidas correctivas pertinentes.

9. CUMPLIMIENTO Y SANCIONES

En caso de existir incumplimiento de la presente Política por parte de un colaborador de NODEXUM S.A.S., se comunicará a Gestión Humana y/o al área de seguridad de la información, para que conjuntamente tomen las medidas de sanción respectivas por incumplimiento de acuerdo con las normativas internas, incluyendo lo establecido en el Reglamento Interno de Trabajo.

10. VIGENCIA Y ACTUALIZACIÓN

Esta política es aprobada por la alta dirección y tiene vigencia a partir de la fecha de su aprobación. La revisión de la política se hará al menos una vez al año o cuando ocurra un cambio significativo en la organización o en el entorno normativo. Cualquier modificación de esta será comunicada a todos los empleados.