POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Introducción

Para Segurtronic, es fundamental dar cumplimiento a la normatividad, políticas y procedimientos establecidos en su Sistema de Gestión de Calidad, para garantizar procesos eficientes, la mejora continua y brindar soluciones integrales y confiables en seguridad electrónica, que permitan satisfacer con éxito las necesidades de nuestros clientes.
Teniendo en cuenta que somos una empresa de seguridad, es indispensable para nosotros mantener fortalecer e intensificar las buenas prácticas para el acceso, manejo y custodia de la información, relativa a la compañía, y entendiendo que actuamos como responsable de la información recibida,
también la de nuestros trabajadores, clientes, proveedores y demás grupos de interés, La Política de Seguridad de la información, está destinada en cualquier caso en asegurar la autenticidad, disponibilidad, integridad y confidencialidad de la información de la empresa, así como a garantizar la gestión responsable y transparente de la misma ante nuestros clientes y terceros.

Objetivo

Definir los lineamientos para garantizar la integridad y confidencialidad información relativa a la compañía y sus sistemas de información, así como la gestión responsable y transparente de la misma ante nuestros clientes, colaboradores y demás grupos de interés.

Alcance

La presente política tiene un alcance nacional, es aplicable a todos los miembros de la organización y sobre todo los niveles organizacionales; así mismo se considera de acatamiento obligatorio para .todos

Gestión de la Información

A continuación, se declaran las consideraciones generales relativas al manejo de la información en Segurtronic, y los lineamientos de gestión de la información en sus sistemas de información y sobre grupos de interés.

De la información general

Tipos de información según soporte

Segurtronic clasifica la información en función del soporte en el que está siendo utilizado:

• Soportes electrónicos: Información que esté siendo utilizada mediante medios ofimáticos, correo electrónico o sistemas de información desarrollados a medida o adquiridos a un tercero.
• Soportes físicos: Información que esté en papel, soportes magnéticos como USBs, DVDs, etcétera.

Categorización de la información

Segurtronic categoriza la información electrónica y física según los niveles de confidencialidad en:

Publica Restringida Confidencial Secreta
Es la información que no requiere medidas de protección especiales y que puede ser compartida, divulgada y socializada públicamente. Su utilización no supone un riesgo para los intereses de Segurtronic.

  • Información del portafolio de productos y servicios.
  • Información de la página web y publicitaria.
 Es la información que solo es accesible a ciertas áreas de la empresa por la competencia y el tratamiento específico que se le dará, así mismo puede ser de uso público siempre que sea autorizada su divulgación por la Gerencia General. Su utilización fraudulenta puede suponer un riesgo para los intereses de Segurtronic.

  • Correos electrónicos.
  • Políticas, programas, planes, procedimientos, registros y demás información de los Sistemas de Gestión.
  • Comunicaciones entre directivos y accionistas.
  • Informes de auditorias.
 Es aquella información que solo puede ser conocida por un número reducido de personas y para la que un uso fraudulento puede suponer un impacto grave para los intereses de Segurtronic.

  • Estrategias de la empresa, Información de naturaleza técnica, económica, financiera, operaciones, métodos, fórmulas, know-how, sistemas de cómputo, software, códigos fuente o códigos objeto, programas o sistemas de cómputo, historias clínica y diagnósticos de trabajadores, sistemas de información y de seguridad de clientes, datos personales de clientes, proveedores y trabajadores, planos de clientes.
 Es aquella cuya revelación no autorizada puede causar un perjuicio Es aquella cuya revelación no autorizada puede causar un perjuicio excepcionalmente grave a los intereses esenciales de Segurtronic.

  • Información sobre ventas de negocio adquisiciones o cualquier otra información que pueda poner en riesgo el valor de la acción o de las finanzas de la empresa.
  • La información confidencial puede volverse secreta cuando los directivos, accionista así lo consideren.

Información Confidencial y Secreta

La información confidencial y secreta de la empresa, así como la información confidencial de sus clientes, proveedores y trabajadores deberá ser tratada mediante protocolos seguros, definiendo medidas de seguridad adicionales para estos casos.

Todo trabajador de Segurtronic deberá acceder al Acuerdo de Confidencialidad de la empresa, en el cual se compromete y obliga a:

  • Se consideran información confidencial sin limitación alguna, todas las descripciones, datos, productos, procesos y operaciones, métodos,  fórmulas, know-how y cualquier otra información de naturaleza técnica, económica, financiera y de otra naturaleza perteneciente a las operaciones, estrategias, políticas y manejo de actividades, programas o sistemas de cómputo, software, códigos fuente o códigos objeto, programas o sistemas de cómputo que posea Segurtronic y a la cual tenga, por motivos de las labores y en forma directa o indirecta el trabajador con motivo de su relación contractual; negocios, algoritmos, fórmulas, diagramas, planos, procesos, técnicas, diseños, fotografías, registros, compilaciones, información de clientes o interna de los contratantes y en general, toda aquella información que esté relacionada con programas, inventos, marcas, patentes, nombres comerciales, secretos industriales y derechos de propiedad industrial o intelectual, licencias y cualquier otra información oral o escrita que revele directa o indirectamente Segurtronic al trabajador dentro del marco de su relación laboral.
  • Usar la información confidencial única y exclusivamente de manera interna o con destinación a terceros exclusivamente cuando sea autorizado por Segurtronic.
  • El trabajador se compromete a informar a Segurtronic sobre posible manejo irregular de la información confidencial por parte de empleados, contratistas u otros que pudiere causar perjuicio directo o indirecto a la empresa.
  • Segurtronic no está obligado a revelar al trabajador ningún otro tipo de información confidencial, salvo aquella información confidencial necesaria para que, de acuerdo a su cargo, desarrolle sus actividades diarias.
  • La información confidencial no será accesible, copiada, reproducida, distribuida o transmitida por ningún medio conocido o por conocer, en todo o en una parte, sin el previo y escrito consentimiento de Segurtronic.
  • Todas las personas a las cuales les sea comunicada la información, deberán ser informadas de su confidencialidad por parte de Segurtronic y quedarán igualmente vinculadas al acuerdo de confidencialidad como si fueren parte del mismo.
  • Segurtronic mantendrá una lista de las personas autorizadas de acceso a la información confidencial y secreta. en este sentido, Segurtronic solicitar a cualquier persona, antes de tener conocimiento de la información confidencial, suscribirse a un documento en el cual de manera expresa se acoge a todas y cada una de las manifestaciones establecidas en el acuerdo de confidencial.
  • En el evento que cualquiera de las partes (Empresa o trabajador) reciba un requerimiento u orden de revelar en todo o en parte la información confidencial o secreta en términos de una resolución válida y efectiva de un tribunal o autoridad competente, la parte (Empresa o trabajador) se obliga a comunicar de inmediato a la otra parte la existencia, términos y circunstancias de dicho requerimiento; y a efectuar su mejor esfuerzo para que la autoridad judicial o administrativa le dé un tratamiento de confidencialidad a la información confidencial requerida.
  • La información confidencial y secreta de la empresa en papel deberá ser destruida en lo posible con máquinas picadoras de papel, sin permitirse bajo ninguna circunstancia que estos se depositen finalmente sin destrucción previa. Cada trabajador responsable debe identificar este tipo de información y garantizar su destrucción.

Gestión de la información electrónica y de los sistemas de información

El sistema de información de Segurtornic brinda los siguientes servicios a sus trabajadores:

  • Servidor de almacenamiento: Cada usuario perteneciente a Segurtronic dispone de un espacio para almacenamiento, el acceso a los archivos almacenados está limitado por medio de usuarios de dominio.
  • Directorio activo: Permite la gestión de permisos a estaciones de trabajo, servicios de almacenamiento, gestión de usuarios y controles específicos, a los equipos agregados al dominio de Segurtronic.
  • Correo electrónico: Son asignados de acuerdo a las necesidades específica de cada cargo y son contratados sobre servidores de correo Google.
  • Acceso a internet: Los usuarios de Segurtronic disponen de un acceso a internet limitado a páginas específicas, restricciones a puertos y categorías de navegación propias de cada cargo.
  • Impresoras: Todos los usuarios Segurtronic disponen del acceso a impresión de documentos a blanco y negro, la impresión es retenida con fines de evitar posibles problemas referentes a impresión simultánea.

Tipos de perfiles

Existen varios tres perfiles de usuarios que interactúan con el sistema de información, los cuales por sus funciones dentro de la compañía tienen diferentes responsabilidades y permisos:

  • Usuarios: Se llama usuario del sistema a todo trabajador de la empresa, que por su labor dentro o fuera de Segurtronic tiene acceso al sistema de información. Cada usuario tiene un nombre de usuario y contraseña, la cual ha sido programada bajo una combinación de letras números y caracteres especiales y que además posee unos permisos o autorizaciones para poder realizar funciones asignadas por la compañía.
  • Administradores de la información: Es el responsable de las aplicaciones corporativas y de velar por la calidad de los datos que hacen parte del sistema de información. Esta responsabilidad esta fraccionada por aplicaciones y generalmente el responsable corresponde al jefe de área o líder del proceso a quien pertenece la información.
  • Administradores del sistema de información: Corresponde a la persona del área de Sistemas responsable por velar por la disponibilidad de la información y para que los usuarios puedan acceder a ella desde su puesto de trabajo o desde afuera de Segurtronic; en los casos que se autorizado por la Gerencia General de acuerdo modalidad de contratación o forma de trabajo.

Gestión de la seguridad

Toda la información contenida en los recursos informáticos de Segurtronic es propiedad de la compañía y esta se reserva sus diferentes usos; a no ser que contractualmente se especifique algo diferente. Basados en las responsabilidades de los diferentes actores del sistema y en las diferentes plataformas tecnológicas existentes en la empresa, se definen las siguientes directrices para el aseguramiento de la información de los sistemas de información de la empresa:

  • Equipos de dominio: Todos los equipos de los trabajadores de Segurtronic deberán están enlazados al dominio para poder acceder y tener control sobre ellos. Este dominio permite la gestión de reglas aplicadas por medio del Active Directory.
  • Convenios con terceros:
    • La red de datos corporativa de Segurtronic no debe ser modificada en sus políticas, normas y procedimientos de seguridad existentes, a menos que la Gerencia General lo autorice.
    • Los equipos de cómputo propiedad de terceros o visitantes ingresados a Segurtronic, deberán ser reportados en recepción, especificando los componentes de hardware que posea y licenciamientos.
    • Segurtronic no asume responsabilidad por perdida o daño de información almacenada en los computadores propiedad de terceros o visitantes
  • Copias de Seguridad
    • Todos los archivos críticos o valiosos deberán ser respaldados por los usuarios semanalmente, en la carpeta asignada para el backup.
    • Los datos, la información, las aplicaciones y la documentación deben contar con copias de respaldo suficientes y actualizadas, que garanticen la recuperación de los sistemas críticos, de tal manera que no se afecte en forma sustancial la operación de Segurtronic frente a un evento catastrófico.
    • La realización de las copias de seguridad de los datos críticos que se manejan en cada estación de trabajo es responsabilidad de cada usuario.
    • Las copias de seguridad de los datos críticos que se manejan en los servidores son responsabilidad del departamento de Informática.
    • Es responsabilidad de los líderes de proceso garantizar que la información institucional catalogada como critica “aquella necesaria para mantener operativos los procesos de la entidad”, sea almacenada en los servidores de la organización ubicados en el centro de datos.
    • Para la gestión de archivos compartidos de los usuarios, el departamento de informática creó carpetas compartidas en el servidor de archivos para cada una de las dependencias de la entidad.
    • No se permite alojar en los servidores de archivo información catalogada como personal: música, videos, documentos transitorios, documentos confidenciales, backups de equipos de escritorio, backups de correo electrónico y demás información que no sea relevante en el cumplimiento de los objetivos de la organización.
    • Es responsabilidad de los líderes de proceso identificar la información crítica a su cargo, los riesgos asociados y creación de un plan de continuidad, el cual deberá contener la solicitud de respaldo al administrador de copias de seguridad.
    • Los líderes de proceso son los únicos autorizados para solicitar el respaldo y/o recuperación de información.
    • El software de respaldo y restauración de información deberá estar instalado en los servidores para los cuales se haya hecho solicitud de backup. Se debe contar con las licencias necesarias que garanticen el cumplimiento de dicha solicitud.
    • La información corporativa electrónica a debe residir en las bases de datos de los servidores si por alguna razón esto no es posible y su manejo se realiza de forma local, el usuario debe documentar los desarrollos realizados.
  • Recursos informáticos:
    • Los recursos informáticos disponibles para cada usuario, serán para uso exclusivo de las labores contratadas con Segurtronic.
    • Al finalizar la jornada laboral los usuarios deberán necesariamente apagar el equipo de cómputo.
    • La manipulación física y lógica de la estructura de la red de datos de Segurtronic es responsabilidad exclusiva de los administradores del sistema, por tanto, se prohíbe a otros perfiles manipular los enlaces de red de datos de la empresa.
    • Se deberán tener identificados e inventariados los activos de información necesarios para la prestación de los procesos de negocio Segurtronic. Es responsabilidad del área de sistemas que los recursos informáticos estén inventariado, correctamente clasificado y adecuadamente protegido.
    • Se deberán actualizar periódicamente las configuraciones de los activos de Segurtronic para facilitar el seguimiento de estos y una correcta actualización de la información.
    • El área de sistemas es la encargada de realizar la gestión propia de los activos de información durante todo el ciclo de vida, en todo momento deberá mantener un registro formal de los usuarios con acceso autorizado a cada activo.
    • Para cada activo o elemento de información deberá existir un responsable o propietario, el cual tendrá la responsabilidad de asegurar que el activo este adecuadamente custodiado y gestionado conforme a las disposiciones de la presente política.
  • Instalación de Software:
    • Todo el software instalado en los equipos de cómputo de Segurtronic o en equipos de terceros y que funcionen dentro de las instalaciones de la compañía, deberá necesariamente contar la licencia de software.
    • La instalación de softwares y/o hardware en los equipos de cómputo de Segurtronic deberá ser autorizada, instalada y/o supervisada por el área de Sistemas.
    • Las aplicaciones que se instalen en el servidor deben producir registros de auditoría, que identifiquen las acciones realizadas por los usuarios sobre los datos o la información.
    • La instalación de Software en forma ilegal será catalogada como una falta al reglamento interno de trabajo.
  • Instalación de equipos de cómputo
    • La instalación y entrega de equipos de cómputo deberá ser realizada por el área de Sistemas, con previa capacitación al usuario autorizado.
    • Todo equipo que se conecte a la red de datos de Segurtronic, deberá tener instalado el programa antivirus debidamente licenciados, actualizado y aportado por la empresa. El programa debe residir en memoria y en los casos en que el usuario inhabilite esta funcionalidad será responsable por los daños causados al equipo.
    • Todo usuario se hace responsable del equipo de cómputo asignado; por tanto, debería necesariamente comprometerse con su cuidado y preservación a través del “Acta de asignación de equipo de cómputo”.
    • Los equipos de computados asignados a los usuarios deberán ser utilizados para fines exclusivamente laborales.
  • Correo electrónico
    • Evite abrir correos electrónicos de remitentes desconocidos con documentos adjuntos y siempre tener cuidado al hacer clic en enlaces incluidos en correos electrónicos de remitentes desconocidos.
    • Evite reenviar correos fácilmente identificables como correos cadena o SPAM.
    • Los correos entrantes y salientes a través de la red de internet de la empresa, no deberán exceder los 15 MB, para evitar que el desempeño del canal de conexión de internet se vea afectado.
    • Es responsabilidad del usuario mantener el correo electrónico con espacio suficiente para el manejo efectivo de la herramienta, a través de acciones limpieza y backup de información.
    • La información compartida y recibida a través de los correos electrónicos corporativos deberá obedecer a fines exclusivamente laborales.
    • Está prohibido utilizar el correo electrónico desde conexiones públicas.
  • Internet
    • Segurtronic restringe la red para el descargue de archivos Música (*.mp3), Videos (*.mpg, *.avi,), .EXE, .COM, .DAT, .PIF, etcétera, al ser altamente riesgosos con la seguridad de la red de datos y el desempeño del canal de comunicaciones de internet.
    • Solo está permitido acceder al chat de Gmail que nos ofrece el proveedor del correo electrónico.
    • Las conexiones a las redes inalámbricas de la empresa a través de los dispositivos móviles de trabajadores (BYOD) o terceros deberán ser autorizadas por la Gerencia General; en cualquier caso, estas serán controladas con restricciones en la red. Cualquier incidencia que pueda afectar a la confidencialidad, integridad o disponibilidad de estos dispositivos debe ser reportada al responsable de seguridad.
    • Antes de visitar una página web desde cualquier dispositivo es debe asegurarse de que sea legítima y esté protegida con un certificado de seguridad SSL. Es decir, comprobar si antes del nombre del dominio se encuentran las siglas HTTPS y el dibujo del candado.
    • Evita la opción de recordar contraseñas para minimizar el riesgo de un acceso indeseado a las aplicaciones plataformas o recursos corporativos.
  • Control de acceso

El control de acceso se entenderá desde la perspectiva tanto lógica enfocado a sistemas de la información, como física:

  • Lógico:
    • El control de acceso de todos los sistemas de información de Segurtronic deberán contar con un sistema de control de acceso a los mismos para asegurar el acceso de los usuarios y prevenir el acceso no autorizado a los sistemas de información, incluyendo medidas como la protección mediante contraseñas.
    • Las solicitudes de códigos de usuarios deben ser realizadas al área de sistemas, indicando el perfil asignado y autorizado por el correspondiente administrador.
    • La clave de acceso al sistema de información es personal e intransferible y es responsabilidad de cada usuario velar por el uso correcto de la misma.
    • Es responsabilidad del jefe de área notificar al área de sistemas el retiro de un trabajador o los cambios de permisos necesarios para estos usuarios.
    • Las claves deben tener seguridad como mínimo de 12 caracteres.
    • Se permiten claves repetidas luego de superar los 24 cambios.
    • Se permiten caracteres alfanuméricos y caracteres especiales.
    • Los usuarios son los responsables de clasificar la información de los equipos a su cargo, así como de colocar contraseña a los archivos que contengan información confidencial.
    • Se predetermina el bloqueo de la cuenta después de tres intentos de ingreso fallidos.
  • Físico:
    • Las normas de seguridad física de la empresa se encuentran contenidas en el Procedimiento de Sistemas, en este se estipulan las reglas que existen para el control de accesos no autorizados y la protección de la seguridad física.
    • Los espacios físicos donde se ubiquen los sistemas de información de Segurtronic deberán estar protegidos adecuadamente mediante controles de acceso perimetrales, sistemas de vigilancia y medidas preventivas de manera que puedan evitarse o mitigar el impacto de incidentes de Seguridad (accesos no autorizados, robo o sabotaje) y
      accidentes ambientales (incendios, inundaciones, cortes de suministro eléctrico, etc.).
    • Las conexiones remotas a los equipos de la empresa deben realizarse a través del sistema VPN (red privada virtual). Lo sistemas VPN solo se instalan en equipos y usuarios de Segurtronic o autorizados por la Gerencia General.
    • Segurtronic controlara el acceso remoto a la red de los diferentes trabajadores en las diferentes modalidades que se presenten (Teletrabajo, trabajo en casa o trabajo remoto). Los servicios de conexión al acceso remoto estarán destinados exclusivamente a personal del Segurtronic, su uso por parte de cualquier otro tipo de colaborador requerirá autorización del responsable de seguridad.
    • El equipo utilizado para la conexión en la modalidad de trabajo remoto, teletrabajo o trabajo en casa podrá ser propiedad del empleado o proporcionado Segurtronic. En cualquier caso, es obligatorio que el equipo cumpla unos requerimientos de seguridad mínimo como: Capacidad de realizar una conexión a través de una VPN, sistema operativo actualizado y licenciado y software antivirus actualizado.
    • Las medidas de la presente política aplican para todas las modalidades de trabajo incluidas trabajo remoto, teletrabajo o trabajo en casa.
    • No es permitido establecer conexión remota a los equipos de la empresa por ningún método de conexión, de así requerirlo se debe realizar a través del área de Sistemas.
  • Gestión de incidentes

Todos los empleados de Segurtronic tienen la obligación y responsabilidad de la identificación y notificación al responsable de seguridad de cualquier incidente o delito que pudiera comprometer la seguridad de sus activos de información. Así mismo, la empresa implementa en su Procedimiento de Sistemas la correcta gestión de atención y respuesta a incidentes detectados, categorización de incidentes, análisis de impactos de negocio, ciberseguridad y demás medidas relacionadas a los incidentes en el manejo y seguridad de la información.

  • Continuidad del negocio

Segurtronic cuenta con un Plan de Contingencias que cubre todos los casos posibles catastróficos que puedan afectar el sistema de información en su totalidad o a parte de él. Esto es responsabilidad del administrador de la información y debe ser ampliamente difundido entre todo el personal involucrado en el proceso.
Es responsabilidad de todos cumplir y hacer cumplir las políticas, normas y procedimientos de seguridad establecidos y el área de informática debe velar por su mantenimiento y evolución.

Gestión de la Información de los grupos de interés

Segurtronic garantiza mediante las salvaguardias de seguridad y mediante unos procesos internos gestionados al interior de su Sistema de Gestión de la Calidad, las circunstancias, que permitan la protección de los datos personales de los trabajadores, clientes y proveedores contra su pérdida y todo acceso, utilización, modificación o comunicación no autorizados.

  • Trabajadores:
    • El área de Gestión Humana con apoyo del área de Gestión Documental y en otras ocasiones del área de Seguridad y Salud en el Trabajo, velara por garantizar el aseguramiento de la información confidencial de los trabajadores de Segurtronic.
    • En principio, todo trabajador de Segurtronic es quien proporciona todos los datos personales. Segurtronic verifica periódicamente que los datos personales conservados sean exactos, actualizados y completos. Todo trabajador le asiste el derecho de conocer, actualizar, rectificar y suspender la información que se haya recogido sobre sí mismo.
    • Todo trabajador autoriza a Segurtronic a través de la firma de la Cláusula adicional al contrato de trabajo suscrito entre las partes y con el fin de dar cumplimiento a lo establecido en la ley de Habeas Data, el tratamiento de los datos personales de Habeas Data y de ser necesario la transferencia nacional e internacional de los
      mismos, para las finalidades y en los términos autorizados por la ley.
    • La información o los datos personales que un trabajador aporta con su hoja de vida, o durante la relación de trabajo, tiene el carácter de restringida y hace parte de las informaciones que son protegidas. Los datos personales solicitados a los trabajadores corresponden a información relacionadas a datos básicos, estudios y formación, grupo familiar, de seguridad social y demás relacionados al objeto de su contrato laboral.
    • La información relativa a los trabajadores se encuentra debidamente archivada en la carpeta física de cada trabajador en el Archivo Central, la gestión y tratamiento de sus datos se gestiona bajo las Políticas de Gestión Documental.
    • Los datos personales de los trabajadores de Segurtronic, se utilizarán de manera imparcial y lícita, y sólo por motivos directamente pertinentes a la relación laboral. Para cualquier otra finalidad se requiere expresamente autorización escrita por parte del titular la información.
    • Los datos personales y demás información asociada a los trabajadores no pueden circular deliberadamente al interior de la empresa, ni trascender hacia el público en general. La información como historias clínicas propia y de familiares, diagnósticos en salud, diagnostico de incapacidad y demás datos confidenciales que sean aportados por los trabajadores serán gestionado con absoluta reserva por la autoridad corporativa pertinente como lo son la Coordinación de Gestión Humana y la Coordinación de Seguridad y Salud en el trabajo, y en cualquier caso estos serán exclusivamente de conocimiento para los líderes de proceso y la Gerencia General.
  • Clientes y proveedores
    • Todas las áreas que intervienen directamente en el manejo de información confidencial de clientes y proveedores como: Comercial, Proyectos, Servicios, Servicio al Cliente, Compras, Seguridad y Salud en el Trabajo, Gestión Documental entre otras, velaran por garantizar el aseguramiento de la información confidencial de los clientes y proveedores de Segurtronic.
    • Segurtronic garantiza que la información y datos personales suministrados por sus clientes y proveedores naturales y jurídicos serán tramitados con reserva y confidencialidad y utilizados netamente para los fines por los cuales haya sido suministrada la información por los terceros.
    • La empresa garantiza que la información y datos personales proporcionados por sus clientes y proveedores se almacena a través un CRM corporativo, un servidor en la nube o físicamente en el archivo central. Que cada uno de los medios de almacenamiento electrónico o físico cuenta con un proceso debidamente estructurado y mejorado continuamente a través del Sistema de Gestión de la Calidad de la empresa, bajo las medidas de seguridad pertinentes establecidas en la presente política.
    • La empresa evalúa a sus proveedores desde los procesos de selección y vinculación, monitoriza los niveles de servicio, la devolución de datos y las medidas de seguridad implantadas por dicho proveedor, así como también establece medidas de control la
      vinculación y seguimiento de sus clientes; en cualquier caso, aplica la debida diligencia al garantizar que sus políticas en seguridad y otras relacionadas, sean al menos, equivalentes a las que se establece Segurtronic en su Política de Seguridad y demás reglamentarios.
    • Segurtronic garantiza la protección a la propiedad intelectual de sus clientes y proveedores en sus creaciones e invenciones, así como diseños industriales, símbolos, imágenes, documentos internos, patentes, derechos de autor entre otros. En ningún caso existirá apropiación por parte de Segurtronic del conocimiento por ellos generados.
    • Segurtronic garantiza a sus clientes el cumplimiento de los lineamientos de sus Políticas de Seguridad, de datos personales y manejo de información confidencial; específicamente en los casos en los cuales los trabajadores de Segurtronic tuvieran acceso a la información confidencial física o electrónica, de sus sistemas de información y de seguridad a mérito de la relación comercial o contractual entre las partes.
  • Seguimiento a la seguridad de la información

Para garantizar el cumplimiento de los lineamientos de la presente políticas, Segurtronic dispondrá también de los siguientes mecanismos de seguimiento:

    • Divulgación y reentrenamiento sobre la presente política de Seguridad.
    • Sensibilización constante sobre buenas prácticas en seguridad de la información.
    • Auditorias de seguridad, aplica también para los trabajadores que realizan labores en las instalaciones de los clientes.
    • Investigaciones en Seguridad de acuerdo a las disposiciones del Reglamento Interno de Trabajo, cuando se evidencia o notifique cualquier vulneración a la presente Política.
    • Prueba de Poligrafía de seguimiento o como apoyo a investigación disciplinaria.
    • Conocimiento y aceptación de la política de Seguridad de sus proveedores y clientes, en los casos en los que sea mandatorio cobijarse a estas por la relación comercial entre las partes, siempre que sean coherente con el propósito de toda política de Seguridad y no cause perjuicios a los intereses de la empresa.

Responsabilidades

Es responsabilidad de todos los empleados notificar a la Coordinación de Sistemas, cualquier evento o situación que pudiera suponer el incumplimiento de alguna de las directrices definidas por la presente Política con relación a los sistemas de información que provee la empresa. Por su parte trabajadores, clientes, proveedores y demás colaboradores podrán notificar consciente y libremente a través de la línea ética de Segurtronic lineaetica@segurtornic.com, cualquier vulneración su privacidad o manejo de información confidencial.
Desde los líderes de proceso de las áreas de gestión humana, compras, comercial, de proyectos, de servicios y demás relacionadas, se garantizará el tratamiento adecuado de la información confidencial de los trabajadores, proveedores y clientes, en concordancia con el Sistema de Gestión de Calidad y
la articulación adecuada, oportuna y de mejora continua de cada uno de sus procesos.

Incumplimientos

En cualquier caso, Segurtronic investigará toda notificación, solicitud o queja asociada a vulneraciones a la presente política, lo cual puede resultar en la toma de las acciones disciplinarias correspondientes de acuerdo con el proceso interno Segurtronic y las disposiciones de su Reglamento Interno de Trabajo.

En concordancia con el Acuerdo de Confidencialidad acordado entre las partes (Segurtronic y Trabajador) el incumplimiento del deber de confidencialidad e información secreta por parte del trabajador, dará lugar al pago de una multa a favor de Segurtronic proporcional a los daños y perjuicios que el hecho genere, así como al pago de indemnizaciones por los daños y perjuicios que guardan relación causal con el incumplimiento.