POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE CERDOS DEL VALLE S.A

 

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE CERDOS DEL VALLE S.A

 

CONTENIDO

 

1 DEFINICIONES 3

2 ALCANCE DE LA POLÍTICA 3

3 RESPONSABILIDADES 3

4 LINEAMIENTOS DE SEGURIDAD DE LA INFORMACIÓN 4

4.1 Política de gestión de activos 4

4.2 Política de seguridad del personal 6

4.3 Política de seguridad física y del entorno 7

4.4 Política gestión de acceso . 7

4.5 Disposición de activos 8

5 DOCUMENTACIÓN RELACIONADA 8

 

POLÍTICA DE SEGURIDAD 

 

Cerdos del Valle S.A (en adelante CERVALLE S.A o la empresa) se ha comprometido con la protección de la información propia y de terceros, a través de este documento define los lineamientos y directrices de obligatorio cumplimiento para todos los colaboradores y terceros que realizan actividades para la empresa y/o usan sus activos de información.

Esta política establece la estructura organizacional y operativa para gestionar, controlar y asegurar la preservación de la confidencialidad, integridad, disponibilidad y privacidad de la información propia, de colaboradores y de terceros.

  • DEFINICIONES

 

Confidencialidad Característica que indica que el activo de información solo sea accedido por el personal, procesos, sistemas o entidades que se encuentran autorizadas.
Disponibilidad Característica que indica que el activo de información sea oportuno, es decir, que pueda ser consultado y usado por la persona, entidad o proceso autorizados cuando sea requerido.
Integridad Característica que garantiza la precisión, calidad y veracidad del activo de información.
Privacidad: Las medidas que se deben adoptar frente a la protección de datos dependen de la posición que se ocupe frente a la información, ya que puede estar a cargo de una persona física titular de la información; por otro lado, puede ser una persona natural o jurídica como encargada del tratamiento de datos y/o responsable del mismo.
Sistema de Gestión de Seguridad de la Información (SGSI) Conjunto de procesos y procedimientos encaminados a la planeación, construcción, monitoreo y mejora continua de la seguridad de la información de una organización.
Activo de información: Todo aquello que tiene valor para la organización y por tanto debe protegerse, como por ejemplo: Información física y digital, software, hardware, servicios y/o personas.
Incidente de seguridad : Un único evento o serie de eventos de seguridad de la información inesperada o no deseada, que tienen una probabilidad significativa de comprometer las operaciones empresariales y de amenazar la seguridad de la información.

  • ALCANCE DE LA POLÍTICA

 

La presente política debe ser cumplida por los colaboradores y terceros que desempeñen actividades para la empresa y/o usen sus activos.

  • RESPONSABILIDADES

 

  • Otorgar el adecuado nivel de tratamiento a la información cuyo nivel de sensibilidad sea determinada como “CONFIDENCIAL” y/o “USO INTERNO” según lo establecido en el procedimiento de clasificación y etiquetado de activos de información.
  • Aceptar, comprender y aplicar las políticas y procedimientos definidos para preservar de seguridad de la información.
  • Reportar al oficial de privacidad el incumplimiento a las políticas de seguridad de la información.
  • Participar en las jornadas de sensibilización.
  • Utilizar la información y recursos de la empresa de forma ética y responsable.
  • Preservar la seguridad de la información y la protección de los datos personales.
  • Contribuir a la mejora del desempeño de seguridad de la información y el programa de protección de datos personales. 
  • Aceptar, comprender y aplicar las actividades incluidas en los procesos que participa para proteger la información confidencial, personal y sensible.
  • Reportar eventos o incidentes de seguridad de la información que puedan afectar la confidencialidad, la disponibilidad, la integridad o la privacidad de la información.

  • LINEAMIENTOS DE SEGURIDAD DE LA INFORMACIÓN 


  • Política de gestión de activos 

 

Todos los colaboradores y terceros que presten sus servicios en las instalaciones de la empresa y que tengan acceso a los activos de información, instalaciones de procesamiento de información y recursos, deben conocer su responsabilidad sobre los mismos.

 

El uso de los recursos tecnológicos y servicios de comunicación suministrados por la empresa, son herramientas de apoyo de las funciones y responsabilidades de los colaboradores, por tanto su utilización debe cumplir con las directrices expuestas a continuación:

  • Correo electrónico:

 

Las comunicaciones a través de correo electrónico entre la empresa y sus partes interesadas deben hacerse a través del correo proporcionado por la empresa, no es permitido utilizar cuentas personales para tal fin, ni para transmitir cualquier otro tipo de información relacionada con la empresa.

 

La información adjunta a los correos electrónicos es monitoreada y filtrará, para verificar la ausencia de virus. La entrega de los correos a su destinatario final está sujeta e este monitoreo.

 

Todos los mensajes enviados a través de correo electrónico deben contar con el siguiente mensaje para evitar denuncias y reclamaciones. “Cerdos del Valle S.A (CERVALLE S.A.) tiene una la política de protección de datos personales según lo previsto en la constitución y la ley 1581 de 2012. Puede consultar nuestra política de protección de datos en www.cervalle.com. La información de este mensaje y sus anexos son propiedad de CERVALLE S.A, es de uso exclusivo de su destinatario intencional y puede contener información de carácter privado o confidencial, por lo tanto, el destinatario tomará, con respecto a su personal y a sus sistemas de información, todas las medidas necesarias para asegurar, bajo su responsabilidad, el secreto y la confidencialidad de los documentos e informaciones aquí contenidos. Si usted no es el destinatario intencional del mensaje, por favor infórmenos de inmediato y elimine el mensaje y sus anexos de su computador y sistema de comunicaciones. Cualquier revisión, retransmisión, divulgación, copia o uso indebido de este documento y/o sus anexos, está estrictamente prohibida y será sancionada legalmente. Al leer este correo, el destinatario reconoce y acepta que cualquier violación o incumplimiento a lo aquí estipulado y el uso de este mensaje y/o su anexos que no sea para el beneficio exclusivo de CERVALLE S.A., causará perjuicio, y por lo tanto esta estará facultada para reclamar su indemnización por las vías que la ley consagra. En este sentido, CERVALLE SA., sus empleados y/o subordinadas no se hacen responsables por las consecuencias y/o perjuicios generados directa y/o indirectamente por el uso de la información contenida en este mensaje y/o sus anexos. ” 

El buzón de correo es personal e intransferible y es responsabilidad del colaborador proteger su clave de acceso y no compartirla. El colaborador es el único responsable por el uso y manejo de su cuenta de correo electrónico. Es responsabilidad del colaborador:

 

  • El servicio de correo electrónico debe ser empleado únicamente para enviar y recibir mensajes correspondientes a las funciones de la empresa. En consecuencia, no puede ser utilizado con fines personales, económicos, comerciales y/o cualquier otro ajeno a los propósitos de la empresa. En su uso el colaborador actuará siempre con respeto y cortesía; no podrá crear, distribuir o reenviar mensajes que ofendan la dignidad, intimidad y buen nombre de las personas, de las instituciones, o para realizar algún tipo de acoso, difamación, calumnia, con intención de intimidar, insultar o cualquier otra forma de actividad hostil; de igual forma se prohíbe difundir ideas políticas, religiosas, propagandas entre otros.
  • Respetar la privacidad de las cuentas de correo de los demás colaboradores. El colaborador no podrá utilizar identidades ficticias o pertenecientes a otros usuarios para el envío de mensajes.  
  • Todo mensaje sospechoso respecto de su remitente o contenido debe ser inmediatamente reportado al área de sistemas, no debe ser abierto ni reenviado, ya que puede ser contenedor de virus, en especial si contiene archivos adjuntos con extensiones .exe, .bat, .prg, .bak, .pif y tengan explícitas referencias eróticas o alusiones a personajes famosos.
  • Los colaboradores de la empresa se abstendrán de utilizar la cuenta para el envío o reenvío de mensajes spam (no solicitados, no deseados o de remitente desconocido, habitualmente de tipo publicitario, enviados en grandes cantidades), hoax (es un intento de hacer creer que algo falso es real), con contenido que pueda resultar ofensivo o dañino para otros usuarios (como virus o pornografía), o que sea contrario a las políticas y normas institucionales.
  • Evitar el envío desde su buzón de elementos (textos, software, música, imágenes o cualquier otro) que contravengan lo dispuesto en la legislación vigente y en los reglamentos internos, sobre propiedad intelectual y derechos de autor. En especial, es necesario evitar la distribución de software que requiera licencia, claves ilegales de software, programas para romper licencias (crackers), y en general, cualquier elemento u objeto de datos sin permiso específico del autor cuando este sea requerido. La violación de esta obligación origina automáticamente la suspensión del servicio y puede ser causa de sanciones al usuario, con perjuicio de las responsabilidades que eventualmente puedan surgir ante la ley.
  • Evitar el envío de respuestas con copia a todos los destinatarios de un mensaje recibido, y en particular cuando se trata de mensajes que originalmente hayan sido dirigidos a un grupo grande de usuarios; salvo cuando se trate de una respuesta que por su naturaleza o contenido necesariamente requiera ser conocida por todos ellos.
  • No está autorizado el envío de correos masivos, las necesidades de comunicación masiva deben ser aprobadas por las coordinaciones de Sistemas y Mercadeo, en caso de ser necesario el envío masivo de correos no deberá estar visible las direcciones de correo electrónico de los destinatarios.

  • Navegación en Internet:

 

El uso del servicio de internet suministrado por la empresa, es una herramienta de apoyo a las funciones y responsabilidades de los colaboradores, por tanto su utilización debe cumplir las siguientes directrices:

 

  • El uso con fines comerciales, políticos, particulares o cualquier otro que no sea el laboral, no está permitido.
  • La descarga de música y videos no está permitido. 
  • Está prohibido el envío y/o descarga y/o visualización de páginas de contenido insultante, ofensivo, injurioso, obsceno, y/o que atenten contra la integridad moral de las personas o de la empresa.
  • Abstenerse de coleccionar, almacenar, divulgar, transmitir o solicitar cualquier material, información, mensaje o comunicación que viole la ley o de la cual puedan surgir responsabilidades u obligaciones de carácter criminal o civil bajo cualquier ley estatal, local, nacional o internacional; incluyendo, pero no limitado, las leyes y regulaciones de control y exportación de Colombia y de los decretos sobre fraudes de computación.
  • Coleccionar, almacenar, divulgar, transmitir o solicitar información personal (incluyendo sin limitación alguna, información biográfica, habitacional, social, marital, ocupacional, financiera, y de salud), sin su consentimiento o conocimiento, son prácticas no permitidas por la empresa.
  1. Recursos compartidos:

 

El uso de carpetas compartidas en los equipos de cómputo de los usuarios es una práctica que tiene implícitos algunos riesgos que pueden afectar la seguridad de la información, por lo tanto su creación y uso debe ser controlado, por lo cual se han definido los siguientes lineamientos:

 

  • Los administradores de la red establecen e implementan, en los casos aprobados, la configuración de acceso a la carpeta, previo requerimiento formal.
  • El colaborador que autoriza y dispone el recurso compartido es el responsable por las acciones y los accesos sobre la información contenida en dicha carpeta.
  • Se debe definir y aplicar el tipo de acceso y los roles estrictamente necesarios sobre la carpeta (lectura, escritura, modificación y borrado).

  • Uso equipos móviles y portátiles.

 

Los colaboradores y terceros se comprometen a hacer uso adecuado de los dispositivos para el acceso a los servicios corporativos proporcionados por la empresa atendiendo lo siguientes lineamientos:

 

Computadores

  • En sitios públicos, adopte precauciones con los dispositivos, asegurándose que no estén expuestos.
  • El dispositivo debe estar configurado para bloqueo automático por un tiempo de inactividad a través de medios disponibles de configuración tales como contraseña, patrón huella dactilar, reconocimiento de voz, guaya, entre otras. 
  • Uso de canales seguros y cifrados cuando se conecte a redes compartidas de acceso libre, no seguras.

 

Celulares

  • Los colaboradores que tengan en su poder celulares con líneas corporativas en ningún caso podrán realizar publicaciones de aspecto personal.
  • Todos los colaboradores tendrán en su perfil en líneas corporativas el logo de la compañía y el área que pertenecen (ejemplo conductor: el logo y logística)

 

  • Desde la líneas corporativas no se realizaran publicaciones en ESTADOS, ni de aspecto personal (fotos de sus familias, lugares) ni de aspecto laboral.

  • Política de seguridad del personal


  • Seguridad previa a la contratación del personal.

 

Para toda persona que ingrese a la empresa, Gestión Humana debe asegurar las responsabilidades sobre seguridad de manera previa a la contratación. Esta tarea debe reflejarse en una adecuada descripción del cargo y en los términos y condiciones de la contratación.

 

  1. Seguridad durante el contrato.

 

Gestión Humana en conjunto con el oficial de privacidad debe desarrollar un programa efectivo y continuo de concientización de protección de la información y la protección de los datos personales para todo el personal, siendo deber de los colaboradores asistir y/o participar en las actividades de sensibilización.

  • Finalización o cambio de puesto.

 

Gestión Humana debe asegurar la comunicación al área de sistemas de todos los colaboradores que finalicen su relación contractual con la empresa o cambien de rol, para que se retiren de manera oportuna los accesos y se proteja la información.

  • Política de seguridad física y del entorno 

 

Todas las áreas destinadas al procesamiento o almacenamiento de información sensible, así como aquellas en las que se encuentren los equipos y demás infraestructura de soporte a los sistemas de información y comunicaciones, se consideras áreas de acceso restringido, así como También se consideran áreas restringidas las plantas de producción. Para las áreas restringidas se han definido las siguientes directrices:

 

  • Se prohíbe el ingreso de personal diferente a quienes por su rol deben realizar sus actividades en estas áreas, de ser necesario el ingreso este debe ser previamente autorizado. 
  • Se prohíbe el uso de elementos de fotografía o grabación.
  • Se prohíbe el consumo de bebidas o alimentos.

 

Los usuarios deben tener en cuenta cuando impriman, escaneen y saquen copias, verificar las áreas adyacentes para asegurarse que no quedaron documentos relacionados o adicionales; asimismo, recoger de las impresoras, escáneres y fotocopiadoras, inmediatamente los documentos para evitar su divulgación no autorizada.

 

Los colaboradores deben asegurarse que en el momento de ausentarse de su puesto de trabajo, sus escritorios se encuentren libres de documentos y medios de almacenamiento, utilizados para el desempeño de sus labores; estos deben contar con las protecciones de seguridad necesarias de acuerdo con su nivel de clasificación.

 

La información que se encuentra en documentos físicos debe ser protegida, a través de controles de acceso físico y las condiciones adecuadas de almacenamiento y resguardo.

  • Política gestión de acceso.

 

El área de sistemas establecerá procedimientos formales para controlar la definición de perfiles y la asignación de derechos de acceso a los colaboradores. Dichos procedimientos deben cubrir todas las etapas del ciclo de vida del usuario, desde su registro inicial hasta la eliminación o desactivación del registro a quienes no necesiten el acceso. 

 

  • Todos los usuarios deben tener una identificación única personal, que se utilizará para el seguimiento de las actividades de responsabilidad individual.
  • Los usuarios de la plataforma tecnológica, los servicios de red y los sistemas de información deben hacerse responsables de las acciones realizadas en los mismos, así como del usuario y contraseña asignados para el acceso a estos. Los colaboradores no deben compartir sus cuentas de usuario y contraseñas con otros funcionarios o con personal provisto por terceras partes.
  • Se debe verificar que el nivel de acceso otorgado sea adecuado para los propósitos de la empresa y conserven una adecuada segregación de funciones. 
  • Únicamente se debe proporcionar a los colaboradores el acceso a los servicios para los que específicamente se les haya autorizado su uso según las responsabilidades asignadas a su rol. 
  • Se deben utilizar métodos apropiados de autenticación para el control de acceso a los usuarios remotos.
  • Las actividades habituales de usuario no deben ser desempeñadas a través de cuentas privilegiadas.

 

  1. Control de acceso a las aplicaciones.

 

  • Después de un periodo de inactividad las sesiones deben cerrarse y se deben usar restricciones en los tiempos de conexión para proporcionar una seguridad adicional a las aplicaciones de alto riesgo.
  • Los accesos de herramientas o productos que vengan por defecto se deben deshabilitar inmediatamente después de la instalación de los sistemas o software.
  • Se deben cambiar las contraseñas predeterminadas por el proveedor inmediatamente después de la instalación de los sistemas o software.

  • Disposición de activos

 

La información física y digital debe tener un periodo de almacenamiento que puede ser determinado por requerimientos legales u operativos; de tal forma que cuando cumpla el periodo de expiración, toda la información sea eliminada adecuadamente.

 

El área de sistemas debe implementar controles que permitan garantizar que la eliminación de cualquier dispositivo o componente tecnológico que contenga información sensible o confidencial, sean destruidas físicamente, o bien que la información sea destruida, borrada o sobrescrita, mediante técnicas que no hagan posible la recuperación de la información original.

  • DOCUMENTACIÓN RELACIONADA

 

  • Política de protección de datos personales 
  • Reglamento interno del trabajo
  • Código de ética y buena conducta 

 

;

Elige tu Barrio de entrega.

¡Envió Disponible!

Tu envió se hará desde la sede:

Aquí podrás comprar los mejores cortes de cerdo Cervalle.
Ingresa tu barrio para validar cobertura.

Envíos disponibles únicamente en Cali, Yumbo y Jamundí.



¿Tu barrio no aparece en la lista? Elige tu sede mas cercana aquí.
Conoce nuestras Zonas de Cobertura
También puedes comprar en nuestros: Puntos de Venta o en Almacenes de Cadena