Política de Seguridad de la Información
Los activos de información y los equipos informáticos son recursos importantes y vitales de Susuerte S.A. Todo el personal tiene el deber de preservarlos, utilizarlos y mejorarlos. Esto significa que se deben tomar las acciones apropiadas para asegurar que la información y los sistemas informáticos estén apropiadamente protegidos de amenazas y riesgos tales como fraude, sabotaje, espionaje industrial, extorsión, violación de la privacidad, intrusos, atacantes, interrupción de servicio, indisponibilidad de los datos, accesos no autorizados (internos o externos), perdida de datos por negligencia o desconocimiento, accidentes y desastres naturales.
La información perteneciente a la empresa debe protegerse de acuerdo a su valor e importancia para garantizar la Confidencialidad, Integridad y Disponibilidad (CID). Deben emplearse medidas de seguridad sin importar cómo la información se guarda (en papel o en forma electrónica), o cómo se procesa (computadores, servidores, etc.), o cómo se transmite (correo electrónico, medios físicos, conversación oral incluida la telefonía fija y/o móvil). Tal protección incluye restricciones de acceso a los usuarios de acuerdo a su cargo.
Establecer los lineamientos que garanticen la protección, aseguramiento y salvaguarda de los activos de información de Susuerte S.A., velando por preservar la confidencialidad, integridad y disponibilidad de los mismos, de conformidad con los objetivos del negocio y los requisitos legales vigentes.
La presente política aplica para el ciclo de vida de los activos de información de Susuerte S.A., incluyendo así a todos los procesos internos, colaboradores y terceros que tengan implicación alguna en el Sistema de Gestión de Seguridad de la Información.
Amenaza: Causa potencial de un incidente no deseado, que puede causar daños a un sistema u organización.
Ataque: Intentar destruir, exponer, alterar, deshabilitar, robar u obtener acceso no autorizado o hacer un uso no autorizado de un activo.
Autenticación: Es un proceso que garantiza y confirma la identidad de un usuario. la autenticación es uno de los aspectos básicos en la seguridad de la información, junto con los tres pilares, a saber: la integridad, disponibilidad, y confidencialidad.
Codesa: Es el proveedor tecnológico de Susuerte S.A.
Confidencialidad: Propiedad por la que la información no se pone a disposición o se divulga a personas, entidades o procesos no autorizados.
Control: Medidas de seguridad técnicas o administrativas para evitar, contrarrestar o minimizar la pérdida o falta de disponibilidad debido a las amenazas que actúan por una vulnerabilidad asociada a la amenaza.
Control de acceso: Medios para garantizar que el acceso a los activos esté autorizado y restringido según los requisitos comerciales y de seguridad.
Dato: Es una representación simbólica (numérica, alfabética, espacial, etc.) de un atributo o variable cuantitativa o cualitativa.
Disponibilidad: Capacidad de un usuario para acceder a información o recursos en una ubicación específica y en el formato correcto.
Evento de seguridad de la información: Ocurrencia identificada de un sistema, servicio o estado de red que indica un posible incumplimiento de la política de seguridad de la información o falla de los controles o una situación desconocida que puede ser relevante para la seguridad.
Incidente de seguridad de la información: Un evento o una serie de eventos de seguridad de la información no deseados o inesperados que tienen una probabilidad significativa de comprometer las operaciones comerciales y amenazar la seguridad de la información.
Integridad: Ausencia de alteración cuando se realice cualquier tipo de operación con los datos, lo que significa que los datos permanecen intactos y sin cambios.
Política: Intenciones y dirección de una organización, según lo expresado formalmente por su alta dirección.
Riesgo: Efecto de la incertidumbre sobre los objetivos. Un efecto es una desviación de lo esperado – positivo o negativo.
Seguridad de información: Preservación de la confidencialidad, integridad y disponibilidad de la información, además hay que considerar otras propiedades, como la autenticidad, la responsabilidad, el no repudio y la confiabilidad también pueden estar involucrados.
Seguridad digital: Es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la información contenida o circulante, incluye la seguridad de la información (Políticas, Procedimientos y demás controles) y la seguridad informática (Herramientas de seguridad).
Sistema de información: Conjunto de aplicaciones, servicios, activos de tecnología de la información u otros componentes de manejo de información.
Vulnerabilidad: Debilidad de un activo o control que puede ser explotado por una o más amenazas.
Susuerte S.A., conoce el valor de la información y la importancia de proteger la confidencialidad, integridad y disponibilidad de la misma, por esto, se compromete a salvaguardar los datos e información de las diferentes partes interesadas, además de dar cumplimiento a las obligaciones legales, normativas y contractuales aplicables, fomentando la mejora continua del sistema de gestión de seguridad de la información y apuntando a la transformación digital.
Los empleados y usuarios de partes externas que usan activos de la organización o tienen acceso a ellos deben tomar conciencia de los requisitos de seguridad de la información de los activos de la organización asociados con información.
También son responsables del uso que hacen de cualquier recurso de procesamiento de la información, y de cualquier uso ejecutado bajo su cargo. Todo de conformidad con lo establecido en el presente documento. Así mismo se deben tener en cuenta los diferentes procedimientos internos y las buenas prácticas establecidas por el área de Tics. Según lo anterior, a continuación, se detallan las políticas generales que cualquier usuario debe poner a consideración:
- Conocer y aplicar las políticas y procedimientos apropiados en relación al manejo de la información y de los sistemas informáticos.
- Reportar inmediatamente a través del Correo electrónico y/o Soporte de Servicios cualquier anomalía, falla en los equipos o en la red que puedan comprometer la seguridad de la empresa, sus recursos informáticos, ocasionar pérdida de la información o indisponibilidad de los servicios.
- Se prohíbe utilizar los recursos informáticos (hardware, software o datos) y de telecomunicaciones (celular, teléfono, internet) para actividades que no estén directamente relacionadas con las labores de la empresa. Se prohíbe expresamente su uso para actividades comerciales privadas o con fines tales como juegos, pasatiempos, redes sociales, televisión, radio u otros usos inapropiados del internet.
- Deben estar guardando los documentos en periodos inferiores a 5 minutos para evitar perdida de información ante un evento de corte de energía e inminente apagado de los equipos.
- No se podrá mantener sobre el escritorio información en papeles o en medios de almacenamiento que correspondan a la empresa, para evitar pérdida o acceso indebido a dicha información.
- No desatender los equipos en los que se está laborando. Al retirarse del puesto de trabajo, debe cerrar sesión en todos los aplicativos, bloquear o apagar el equipo.
- La información de la empresa debe etiquetarse como pública, restringida o confidencial (la pública no requiere etiquetado). Esto aplica para archivos físicos y digitales. La clasificación se hace teniendo en cuenta lo siguiente:
– Pública: Es toda aquella información de libre acceso y difusión y que no genera un riesgo para Susuerte S.A.
– Restringida: Es toda aquella información de uso interno de Susuerte S.A. y se considera de uso exclusivo por parte de los empleados de la organización en el desarrollo rutinario de los procesos del negocio.
– Confidencial: Es toda aquella información que de ser difundida puede causar un daño significativo al negocio o a la imagen de la organización, solo puede ser utilizada por el propietario.
La presente política aplica a todos los funcionarios y terceros que se puedan ver involucrados en la seguridad de la información de Susuerte S.A., por esto, a continuación, se definen las responsabilidades adquiridas al formar parte de la organización.
a. Empleados en General
- Son responsables de conocer, comprender, y cumplir las políticas estipuladas en el presente documento y los procedimientos y protocolos que apliquen a su trabajo.
- Utilizar los activos de información exclusivamente para el desempeño de sus funciones y obligaciones.
- Conocer la clasificación de los activos de información que maneja.
- Deben llevar a cabo sus labores asegurándose que sus acciones no causan incumplimientos o generen vulnerabilidades para la seguridad de la información.
- Comunicar los eventos e incidentes de seguridad de la información a quien corresponda.
- Cumplir con el acuerdo de confidencialidad.
La dirección y el Comité de Seguridad de la Información (Comité SIG), a intervalos planificados, revisarán los Sistemas de Gestión de la organización, para asegurarse de su conveniencia, adecuación y eficacia. La revisión debe incluir la evaluación de las oportunidades de mejora y la necesidad de efectuar cambios en los sistemas, incluyendo las políticas y los objetivos.
Aviso de privacidad
El presente Aviso de Privacidad establece los términos y condiciones en virtud de los cuales SUSUERTE S.A. identificado con NIT. 810.000.317 – 8 y con domicilio en la Carrera 23C No. 64 – 32 barrio Palogrande de Manizales, realizara el tratamiento de sus datos personales.
Los datos personales que SUSUERTE S.A. recolecte, almacene, use, circule, suprima, procese, compile, serán utilizados para las siguientes finalidades:
Ofrecer servicios y campañas comerciales; ofertar servicios de valor agregado, publicidad, participar en programas de beneficios y fidelización; consultar en centrales de información para fines comerciales y de servicios de crédito; consultar hábitos de consumo y aficiones para ofertas, promociones, servicios, entre otros; contactarlo para realizar estudios de mercado y encuestas de satisfacción; gestionar y tramitar (peticiones, quejas, reclamos y sugerencias), compartir con empresas aliadas, asociados, sucursales, filiales y subsidiarias para la oferta de servicios.
El Titular de los datos personales tendrá los siguientes derechos:
a) Conocer, actualizar y rectificar sus datos personales frente a los Responsables del Tratamiento o Encargados del Tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.
b) Solicitar prueba de la autorización otorgada al Responsable del Tratamiento salvo cuando expresamente se exceptúe como requisito para el tratamiento, de conformidad con lo previsto en la normatividad aplicable.
c) Ser informado por el Responsable del Tratamiento o el Encargado del Tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos personales.
d) Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la ley y las demás normas que la modifiquen, adicionen o complementen.
e) Revocar la autorización y/o solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias a esta ley y a la Constitución.
f) Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento.
El titular puede acceder a nuestra Política de Tratamiento de Datos Personales, las cuales puede consultar a través del siguiente link: http://www.susuerte.com
Contáctenos: Carrera 23C No. 64 – 32 barrio Palogrande de Manizales, correo electrónico servicioalcliente@susuerte.com., teléfono (6) 8984848, EXT. 100.
Métodos de pago
Los métodos de pago disponibles en el sitio web de Susuerte.com son:
Pagos en línea (tarjeta débito, PSE, pagos en efectivo en tiendas aliadas) mediante la pasarela de pagos Openpay.
Desde nuestro Ecommerce no capturamos, almacenamos ni transmitimos datos transaccionales. Para esto contamos con los servicios de Openpay, que es una plataforma de pagos certificada; que garantiza la seguridad de todas las transacciones por medio de software de encriptación, procedimientos de validación y medidas robustas de protección de datos a nivel bancario (certificación PCI nivel 1). Por eso realizar los pagos en nuestro sitio web es seguro.
Si su pago es con PSE, la pasarela de pagos Openpay se encarga de comunicarlo directamente con su banco a través de ACH, al pagar a través de este canal, está utilizando los procesos de seguridad de su propio banco quien es el que valida su clave principal y segunda clave si es el caso.
Para cualquier solicitud, puede contactarnos a través de los diferentes medios:
Teléfono: 57 (6) 898 48 48 ext. 100
Correo electronico: servicioalcliente@susuerte.com
Dirección: Cra. 23 C N° 64 – 32 Barrio Palogrande Manizales