Politica de Privacidad y Tratamiento de Datos2023-06-14T19:23:43-05:00

 

POLÍTICAS DE SEGURIDAD Y CONFIDENCIALIDAD DE DATOS PERSONALES DE GLYA SALUD S.A.S.

ENTRADA EN VIGENCIA: 01 de marzo del 2023

  1. Propósito y alcance de las Políticas de seguridad y confidencialidad de Datos personales de GLYA SALUD S.A.S. (en adelante, “Glya”)

El artículo 15 de la Constitución Política de Colombia consagra el derecho fundamental a la protección de los datos personales o habeas data, así: “Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas. En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución”.

Por su parte el artículo 4 de la Ley 1581 de 2012, establece los principios para el Tratamiento de los datos personales, entre los cuales se encuentran el principio de acceso y circulación restringida, el de seguridad y el de confidencialidad que señalan lo siguiente:

“(…)

  1. f) Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la presente ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la presente ley;

Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la presente ley;

  1. g) Principio de seguridad: La información sujeta a Tratamiento por el responsable del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
  1. h) Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma.

(…)”

Como se advierte, tanto el principio de acceso y circulación restringida como el de seguridad deben ser cumplidos por los actores (responsables y encargados) para garantizar el derecho de habeas data de los titulares, pues de la adopción de medidas de conservación de la información y de los controles de seguridad implementados depende que se minimicen los riesgos de filtración de los datos personales.

En consonancia con los principios anteriores, en virtud del principio de confidencialidad, se obliga a los actores a garantizar la reserva de la información de los titulares de los datos personales que estén a su cargo durante su tratamiento, e inclusive tras la finalización de la relación, teniendo a su cargo la implementación de las medidas que sean necesarias para mantener dicha reserva.

En desarrollo de lo anterior, la Ley 1581 de 2012 y sus normas reglamentarias establecen ciertas obligaciones y derechos para proteger y garantizar este derecho a las personas que suministran sus datos a personas jurídicas privadas como Glya. Como consecuencia de lo anterior, Glya es responsable de proteger y garantizar los derechos de los titulares de los datos personales que recopila y usa en sus actividades.

Con el propósito de dar a conocer y lograr el estricto cumplimiento a las referidas normas por parte de Glya y de sus clientes, contratistas, trabajadores, colaboradores y los demás actores que se mencionan en sus políticas de protección de datos personales, se ha elaborado la presente Política de Seguridad y Confidencialidad de Datos Personales de Glya en la cual se explican las políticas internas para garantizar la seguridad y confidencialidad en el tratamiento de los datos personales por parte de Glya.

Las presentes Políticas, representan compromisos de obligatorio cumplimiento para todos los empleados, contratistas o colaboradores de Glya y aquellos agentes que se mencionan en sus políticas de protección de datos personales.

Se resalta que los sistemas de información, los recursos tecnológicos, las bases de datos son accesibles únicamente por las personas designadas por Glya, y Glya velará porque ningún tercero no autorizado tenga acceso a estos.

Los responsables de los datos de Glya se encargan de gestionar los permisos de acceso a los usuarios, el procedimiento de asignación y distribución que garantiza la confidencialidad, integridad y almacenamiento durante su vigencia, así como la periodicidad con la que se cambian.

  1. Definiciones

La información es un recurso fundamental para el cumplimiento de objetivos de Glya y por consiguiente debe ser debidamente protegida.

Glya ha establecido la presente Política, en donde se definen los lineamientos principales para el establecimiento de la gestión de Seguridad de la Información, con el fin de establecer una cultura de seguridad de la información en los procesos misionales de la entidad.

La información puede existir en muchas formas. Puede estar impresa o escrita en papel, almacenada electrónicamente, transmitida por correo o utilizando medios electrónicos, presentada en imágenes o expuesta en una conversación. Cualquiera que sea la forma que adquiera la información, o los medios por los cuales se distribuya o almacene, siempre debe ser protegida en forma adecuada.

En cumplimiento del propósito de la política y de los requerimientos legales a los que Glya debe acogerse, se determinan las siguientes definiciones acerca de la administración de la información:

2.1. Confidencialidad: Hace referencia a la protección de información cuya divulgación no está permitida sin autorización previa.

2.2. Integridad: La información debe ser precisa, coherente y completa desde su creación hasta su destrucción.

2.3. Disponibilidad: La información debe estar en el momento y en el formato que se requiera ahora y en el futuro, al igual que los recursos necesarios para su uso.

2.4. Criterios de calidad de la información: Los criterios de calidad de la información, serán los siguientes:

  • Eficiencia: El procesamiento y suministro de información debe hacerse utilizando de la mejor manera posible los recursos.
  • Confiabilidad: La información debe ser la apropiada para la administración de la entidad y el cumplimiento de sus obligaciones.
  • Cumplimiento: Tiene que ver con estar de acuerdo con aquellas leyes, regulaciones, y obligaciones contractuales a las cuales está sujeto el proceso del negocio; ya sean internos o externos, y que se ven reflejados en el tratamiento y presentación de la información. Glya por medio de sus responsables de procesos, debe establecer estos controles para garantizar que se logren los objetivos específicos de seguridad.
  1. Objetivos de seguridad

Los objetivos de seguridad de Glya deben ser conocidos y entendidos por todo el personal involucrado en la gestión de la seguridad de los activos de información. Los siguientes objetivos de seguridad son los definidos por Glya:

  • Proteger la información del negocio y la información personal y sensible de los clientes para salvaguardar su confidencialidad, integridad y disponibilidad mediante la implementación de los controles adecuados.
  • Incrementar y fomentar, en los colaboradores de Glya un nivel apropiado en la toma de conciencia, conocimientos y habilidades que le permita a la organización mantener en niveles mínimos la ocurrencia y la severidad de los incidentes de seguridad.
  • Mantener en Glya el cumplimiento de la legislación y reglamentación vigente y los requerimientos contractuales dentro del marco de la seguridad de la información.
  • Asegurar que Glya sea capaz de continuar con sus actividades de negocio en la eventualidad de un incidente importante de seguridad que afecte su infraestructura tecnológica, dentro del marco de análisis y evaluación de impacto para la organización.
  1. Roles y Responsabilidades

El Área de Seguridad de la Información de Glya establece directrices claras para dar soporte a la seguridad de la información, a través de la puesta en vigencia y mantenimiento de las políticas de seguridad.

El Oficial de Seguridad de la Información, es responsable por la seguridad de la información de Glya, y debe asegurar el mantenimiento permanente de los niveles de seguridad requeridos, además de la seguridad de los distintos sistemas informáticos y de las redes de telecomunicaciones soportadas. Tal cargo, puede estar en cabeza del OFICIAL DE PROTECCIÓN DE DATOS DE GLYA.

En consecuencia, tiene el compromiso de prevenir la ocurrencia de acciones inapropiadas o comportamientos ilegales de los distintos usuarios tanto internos como externos que utilizan los recursos informáticos.

Estas responsabilidades no sólo competen a la disposición de los distintos intereses que persigue Glya, sino también a las obligaciones legales y éticas que conciernen al buen funcionamiento y privacidad de la información de la organización.

El OFICIAL DE PROTECCIÓN DE DATOS, tiene la responsabilidad primaria de documentar, actualizar e implementar las políticas de tratamiento de datos personales y supervisar que las mismas estén alineadas con las políticas y procedimientos de seguridad de la información. Así mismo, deberá realizar evaluaciones periódicas acerca de la efectividad de estas y definir las modificaciones que considere necesarias para asegurar la protección de información y los activos relacionados.

  1. Flujo de información

Cada sistema o aplicación utilizado en la operación de Glya, necesariamente deberá tener uno o más custodios designados. Estos custodios son responsables del cuidado de la información, incluyendo la implementación de sistemas de control, acceso y mantenimiento de las copias de seguridad de acuerdo con lo definido por el encargado de los datos. Asimismo, los usuarios de estos sistemas o aplicaciones son responsables de cumplir las políticas de manejo de la información de acuerdo con su nivel de clasificación.

Es importante dejar establecido el hecho de que, en el flujo de información, hay terceros involucrados que no hacen parte de Glya, más sin embargo es personal médico capacitado que en la mayoría de las situaciones, son los encargados de la instalación del dispositivo e inducción al paciente. Estos terceros deberán cumplir con las políticas en materia de protección de datos de Glya y las normativas legales establecidas.

A continuación, se presentará el flujo de la información, dependiendo del software de la correspondiente línea de negocio de Glya que está recabando los datos, a saber:

  • Flujo de información del sistema de monitoreo Gateway

Inicialmente el dispositivo médico realiza la medición del parámetro médico de interés y lo envía a través de comunicación Bluetooth al Gateway. Este último tras recibir la información la decodificada encontrando el valor de la medición tomada. Posteriormente el Gateway crea un mensaje tipo JSON en el cual incluye el parámetro medico medido, su valor y el dispositivo que lo tomó, para enviarlo por WiFi o red móvil al servidor IOT de Glya. Cuando el mensaje llega al servidor, esta valida la información y la almacena en la base de datos propia y finalmente reenvía dicha información al servidor del cliente.

  • Intervención Domicilio Telegestionada

Para el inicio de sesión, la aplicación móvil solicita al servidor central de Glya la lista de entidades, cada una conformada por el nombre y la URL de su respectivo servidor.

El usuario ingresa el número de usuario y la clave para su entidad correspondiente, así como la entidad a la que pertenece. La aplicación valida las credenciales enviándolas al servidor respectivo, y espera de regreso un Token de seguridad. Paralelamente, realiza la misma acción con el servidor central de Glya, empleando credenciales fijas.

Para la gestión de pacientes, el usuario ingresa el número y el tipo de documento del paciente, datos que son empleados por la aplicación para solicitar al servidor de la entidad el perfil del paciente, compuesto por el nombre, el documento de identidad y el serial del Gateway asignado (pudiendo ser un campo vacío). Al momento de actualizar el perfil del paciente, la aplicación móvil envía al servidor correspondiente el perfil del paciente con el campo del serial del Gateway actualizado.

Para la gestión del Gateway, el usuario hace uso de la cámara de su celular para escanear el QR del Gateway, el cual contiene el respectivo serial, que luego es empleado por la aplicación para solicitar al servidor central de Glya el perfil del Gateway, que contiene el serial, la lista de dispositivos médicos asignados (pudiendo ser una lista vacía), el SSID y el Password del Wifi del paciente (pudiendo ser campos vacíos), y la disponibilidad de conexión GSM.

Desde la interfaz de gestión del Gateway el usuario asigna/desasigna dispositivos médicos, asigna/desasigna credenciales para la conexión WiFi del Gateway, y solicita información sobre las señales de vida del Gateway, todos estos, procedimientos realizados entre la aplicación móvil y el servidor central de Glya.

Para la gestión de dispositivos médicos, el usuario hace uso de la cámara de su celular para escanear el QR del dispositivo médico, el cual contiene el respectivo serial, que luego es empleado por la aplicación para solicitar al servidor central de Glya el perfil del dispositivo médico, que contiene el serial, el estado de asignación y la entidad a la que pertenece. Desde la interfaz de gestión del dispositivo médico, el usuario cambia el estado del dispositivo, mediante interacciones entre la aplicación móvil y el servidor central de Glya.

  • Puntos de vacunación

Los niveles de seguridad se aplicarán dependiendo del tipo de información y su correspondiente clasificación. No obstante, en términos generales Glya usa el protocolo de cifrado de encriptación SSL, así como los correspondientes certificados SSL de ser el caso, en los momentos en que la información es transmitida por los titulares a Glya y posteriormente, cuando Glya hace que la misma fluya a lo largo de su infraestructura tecnológica en la nube con apoyo de sus proveedores (i.e., Amazon Web Services[1]). Finalmente, la información es guardada en el repositorio de almacenamiento y sigue los mismos protocolos SSL y TLS tanto al viajar desde y hacia a los servidores, como al ser almacenada.

La clasificación de la información es la siguiente:

4.1. Sensible: Información de naturaleza íntima que no está autorizada para su divulgación, que se encuentra sujeta a reserva y a cuidados particulares en materia de seguridad. Como, por ejemplo, la información sobre las emociones de los titulares.

4.2. Confidencial: Información que no está autorizada para divulgación a nivel interno de la organización y que se encuentra en reserva, como por ejemplo la información demográfica.

4.3. Privada: Información que está autorizada para ser divulgada a nivel interno de la organización y que no se encuentra sujeta a reserva.

4.4. Pública: Información que puede ser divulgada a nivel externo de la organización y que no se encuentra sujeta a reserva.

  1. Políticas de seguridad del recurso humano y del acceso de información a terceros

Los funcionarios de Glya, sus colaboradores, aliados y/o proveedores reciben un estudio de seguridad previo, antes de acceder a información que la organización considera confidencial. En este sentido, bajo los parámetros de las buenas prácticas en seguridad de la información, se estudian los antecedentes del personal y su idoneidad profesional y ética. Así mismo, de acuerdo con dichos estudios, se establecen roles, e igualmente, en un sistema de acceso restringido se generan usuarios con privilegios para el acceso a la información.

Los siguientes gráficos ilustran como colaboradores, terceros y titulares tienen acceso a la información:

  • Tecnología IoT
  • Intervención Domicilio Telegestionada
  • Puntos de vacunación

El Comité de Seguridad bajo de la administración del OFICIAL DE PROTECCIÓN DE DATOS personales, establecen los siguientes procedimientos:

  • El procedimiento para la gestión de roles, usuarios y contraseñas de los funcionarios de Glya:
  • Gerente del área: Se encargará de custodiar la información general del área que esté a su cargo, por lo cual, tendrá un usuario de administrador que le permitirá ingresar a la totalidad de la información del área, con una contraseña que le será asignada para tales efectos. Dentro de sus labores, tendrá que supervisar y custodiar la información de su gerencia.
  • Oficiales: Se encargará de custodiar la información general del área que esté a su cargo, por lo cual, tendrá un usuario de administrador que le permitirá ingresar a la totalidad de la información del área, con una contraseña que le será asignada para tales efectos. Dentro de sus labores, tendrá que rendir informes, revisar políticas y procedimientos, y capacitarse en su área. Será el Subject Expert Matter.
  • Empleado del área: Se encargará de custodiar la información bajo su cargo, referida a la operación del empleo que tenga asignado, por lo cual, tendrá un usuario que le permitirá el ingreso a dicha información, excluyendo la información de carácter gerencial, directiva y de la coordinación, con una contraseña que le será asignada para los efectos. Dentro de sus labores, tendrá que supervisar y custodiar la información referida a las labores que le fueron asignadas.
  • Procedimiento para la contratación y monitoreo a proveedores, así como para el relacionamiento con aliados y/o colaboradores:
  • Al margen de la política comercial y financiera que disponga la gerencia encargada para los efectos, cuando los proveedores y aliados comerciales y/o colaboradores sean vinculados a un proceso con Glya, se realizará un estudio de seguridad previa a su contratación, donde se estudiarán los antecedentes disciplinarios, judiciales, de lavados de activos y ley anticorrupción, entre otros.
  • Una vez, se hayan cumplido los filtros de seguridad mencionados, y de ser necesario, a cada proveedor, aliado y/o colaborador se le permitirá el ingreso a la información de Glya que sea fundamental para las operaciones que requiera. Para los efectos, el proveedor, aliado, y/o colaborador deberá suscribir los acuerdos de confidencialidad de la compañía y las actas de cadena de custodia que se requieran para el manejo de la información.
  • El área encargada, será aquella que haya solicitado la contratación de los servicios y/o la compra de productos, la cual, deberá supervisar los actos del tercero en mención, solicitando un informe final de cada operación que este realice, donde se evidencie que se tomaron las medidas adecuadas en relación con la cadena de custodia de la información. Así mismo, en compañía del OFICIAL DE PROTECCIÓN DE DATOS PERSONALES se realizará la supervisión y monitoreo de las operaciones del actor, en el sistema de Glya.
  • El Procedimiento para la clasificación de la información para el acceso de información frente a terceros:
  • Las cuentas incluirán las siguientes facilidades tecnológicas [insertar] y permitirán al acceso al servidor de manera limitada.
  • Los usuarios de las cuentas se constituirán bajo una letra inicial C (contratista) y el nombre del proveedor, aliado y/o colaborador.
  • Las contraseñas no serán menores a ocho (8) dígitos, y deberán incluir números y mayúsculas y signos especiales. Igualmente, se realizará su cambio trimestralmente.
  • El Procedimiento de revisión gerencial:
  • El equipo de tecnología y seguridad de la información tendrá a su cargo la custodia general de su área. Razón por la cual, supervisará los procedimientos de seguridad y confidencialidad de la información.
  • Procedimiento cifrado de la información:
  • Se usa el protocolo de cifrado SSL/TLS y se siguen los estándares de seguridad en la nube de los proveedores indicados anteriormente.
  1. Política de seguridad física

Glya implementa medidas de seguridad física, con el fin de garantizar la seguridad y confidencialidad de la información, las cuales se identifican en los siguientes procedimientos:

  • Procedimiento de acceso físico:
    • La información de Glya, y sus bases datos se encuentra en la nube, y se almacena en los servidores de AMAZON WEB SERVICES, por lo cual, se encuentra encriptada y está sujeta a los estándares de seguridad de tales servidores. No obstante, se toman medidas de seguridad para el acceso físico a la información, tales como suscripción de acuerdos de confidencialidad y de no competencia con quienes eventualmente accedan a la información físicamente, sean estos colaboradores, aliados o terceros.
    • No podrá utilizarse medios magnéticos para la manipulación de la información, tales como CDs, USBs, y/o similares.
    • Toda la información se manejará en la nube y no podrán enviarse copias de esta a otros medios tecnológicos, como servidores y correos electrónicos ajenos a Glya y similares.
    • La información podrá ser impresa o consignada en medios físicos o magnéticos de manera excepcional y bajo la autorización de la Dirección y/o Coordinación del área, quienes desarrollan los protocolos de cadena de custodia para realizar la trazabilidad pertinente.
  1. Política de gestión de comunicaciones y operaciones

Glya exige a sus funcionarios y colaboradores, aliados, asociados y proveedores, que ejerzan una debida diligencia al momento de realizar las comunicaciones de información sensible a terceros y al momento de efectuar operaciones con dicha información, para lo cual, implementa las siguientes medidas:

  • Software estandarizado.
  • Computadores PC y portátiles estándar.
  • Antivirus estándar.
  • Instrucción de estándares con leyendas y advertencias en seguridad y confidencialidad para las comunicaciones vía correo o físicas o telefónicas o por celular.
  • Utilización de cláusulas tipo en materia de confidencialidad a nivel de la contratación laboral, civil y comercial.
  • Servidores estándar encriptados.
  • Correos corporativos con acceso restringido.
  • Seguimiento de la cadena de custodia y trazabilidad de la información en tránsito y/o stand-by.

Política de incidentes de seguridad y de manejo de vulnerabilidades

Los incidentes de seguridad de la información en Glya se administran en forma efectiva para minimizar el riesgo de pérdida de disponibilidad, confidencialidad e integridad de los activos de información y para identificar los controles a implementar.

Glya implementa los siguientes procedimientos:

  • Procedimiento gestión de incidentes y de gestión de vulnerabilidades:

Los usuarios son los responsables de reportar los incidentes de seguridad. La Alta Gerencia es responsable de velar por que los incidentes de seguridad del área respectiva sean reportados.

El Área de Seguridad de la Información debe hacer seguimiento a los incidentes de seguridad baja, media y alta, las atenciones a dicho procedimiento dependerán de las instrucciones del Oficial de Seguridad de la Información, y/o Comité de Seguridad. Dicha persona debe trabajar junto con el Oficial de Protección de Datos Personales, en caso de que dicho rol no recaiga sobre el mismo individuo.

Teniendo en cuenta que puede haber fallas humanas y que existen riesgos en la gestión de la información confidencial, Glya implementa medidas y procedimientos para mitigar tales fallas, que se representan en incidentes de seguridad y en vulnerabilidades.

Sobre el particular, se tiene estipulado el siguiente procedimiento:

  1. El OFICIAL DE PROTECCIÓN DE DATOS PERSONALES monitorea periódicamente el manejo de la información, mediante auditorias y requerimientos de información, evaluando las posibles vulnerabilidades o fallas humanas que pueden presentarse en la seguridad de la información.
  1. Si se encuentra alguna vulnerabilidad o se reporta algún incidente de seguridad de la información, se procede a realizar un diagnóstico y a investigar las razones y condiciones que conllevaron a dicha vulnerabilidad o incidente. Una vez se realiza el diagnóstico, se toman las medidas de mitigación, las cuales varían dependiendo el caso concreto.
  1. Sobre cada incidente de seguridad y/o vulnerabilidad hallada se generan actos de lección aprendida, donde se retroalimenta al funcionario y/o proceso afectado por la situación para prevenir que eventos similares vuelvan a ocurrir.
  1. Implementación y difusión de la Política de Seguridad y Confidencialidad de datos personales.

Con el fin de adoptar la presente política, se sugiere tomar las medidas que se señalan a continuación:

  1. Incluir la presente Política dentro de los demás manuales y/o protocolos de
  1. Entregar una copia física o electrónica de la presente Política a cada trabajador, contratista o colaborador y guardar constancia de su entrega, o ubicarlo en sistemas o plataformas comunes e informar de su disponibilidad a cada uno.
  1. Incluir la presente Política en los futuros contratos que vayan a suscribirse con trabajadores o colaboradores, en lo que se refiere a las obligaciones de privacidad, seguridad, confidencialidad y cumplimiento, en los términos que se exponen en este documento. En el caso de los contratos actualmente vigentes, se debería incluir como un otrosí o modificación a los mismos.

[1] Cuyas políticas de seguridad de la información pueden ser visualizadas en:

https://docs.aws.amazon.com/whitepapers/latest/aws-overview/security-and-compliance.html%5C

Go to Top