PROYECTOS E INVERSIONES DUBAI S.A.S., sociedad identificada con NIT. 860.035.782-2 se encuentra comprometida con el adecuado tratamiento de los datos personales que administra y trata de manera directa o a través de terceros en calidad de proveedores o encargados. En virtud de lo anterior, la empresa establece la presente Política de seguridad de la información, la cual contiene medidas técnicas, humanas y tecnológicas necesarias para impedir incidentes de seguridad por parte de proveedores o terceros durante la prestación de un servicio a favor de  la empresa.

1. OBJETIVO

La presente Política establece las directrices generales para la Seguridad de la Información que deben cumplir los proveedores o contratistas que presten servicios a favor de PROYECTOS E INVERSIONES DUBAI S.A.S., lo anterior con el objetivo de brindar las condiciones de seguridad necesarias que impidan la adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento a la información que es tratada por el tercero en virtud de un mandato o encargo.

2. ALCANCE

Esta Política de Seguridad de la Información será aplicada en todos los aspectos administrativos, de gestión, logísticos y de control fijados por la empresa, por lo que debe ser cumplida por los proveedores y contratistas de la organización, so pena de incurrir en un incumplimiento contractual grave que faculta a la empresa para terminar el contrato celebrado entre las partes de manera unilateral.

 En caso de que el proveedor cuente con personal a cargo o sub-contratado para cumplir con el objeto contractual, este deberá garantizar que dicho personal cumplan con las presentes políticas de manera integral, de igual manera deberá suscribir un acuerdo de confidencialidad y reserva de la información que así lo constate.

3. POLÍTICAS ESPECÍFICAS PARA EL TRATAMIENTO DE DATOS PERSONALES.

• ACCESO A LA INFORMACIÓN CONFIDENCIAL:
• Todas las personas designadas por EL CONTRATISTApara la ejecución de un contrato o la prestación del servicio requerido por PROYECTOS E INVERSIONES DUBAI S.A.S. en calidad de CONTRATANTE, deben tener acceso sólo a la información necesaria para el desarrollo de sus actividades.  
• Todas las prerrogativas para el uso de los sistemas de información de EL CONTRATANTEdeben terminar inmediatamente después de que  EL CONTRATISTA cesa de prestar sus servicios. 
• Los Proveedores de EL CONTRATANTEo terceras personas, solamente deben tener privilegios de acceso a la información durante el periodo del tiempo requerido para llevar a cabo las funciones aprobadas. 
• Para dar acceso a la información, se tendrá en cuenta la clasificación de la misma al interior de la empresa de EL CONTRATANTE, la cual deberá realizarse de acuerdo con la importancia de la información en la operación normal de EL CONTRATISTA.

3.2   SEGURIDAD DE LA INFORMACION: 

• Todas las personas designadas por EL CONTRATISTApara la ejecución o prestación de un servicio son responsables de la información que manejan y deberán cumplir los lineamientos generales y especiales dados por EL CONTRATANTE y por la Ley para protegerla y evitar pérdidas, accesos no autorizados, así como exposición y utilización indebida de la misma. 
• Las personas designadas por EL CONTRATISTA para la ejecución o prestación de un servicio no deben suministrar cualquier información de EL CONTRATANTE a ningún ente externo sin las autorizaciones respectivas de EL CONTRATANTE.
• Todas las personas designadas por EL CONTRATISTAque en ejecución o prestación de un servicio utilice los Recursos Informáticos de EL CONTRATANTE, tiene la responsabilidad de velar por la integridad, confidencialidad, disponibilidad y confiabilidad de la información que maneje, especialmente si dicha información está protegida por reserva legal o ha sido clasificada como confidencial y/o crítica por parte de EL CONTRATANTE. 
• Cuando se trate de información confidencial en medios magnéticos, ésta se debe entregar y recibir en forma cifrada o con contraseña de acceso, de tal manera que en caso de extravío se dificulte la manipulación o revelación de la misma. Este ciframiento aplica para el intercambio de datos sin importar el medio utilizado para ello (mail, CD, Memoria USB, DVD, SFTP, Discos duros extraíbles, etc.). La información confidencial de EL CONTRATANTE debe ser mantenida bajo adecuadas medidas de seguridad y protección en las dependencias de EL CONTRATISTA.
• EL CONTRATISTA deberá contar con una política de seguridad de la información interna que cuente con todas las medidas tecnicas, administrativas y humanas necesarias para salvaguardar la información de EL CONTRATANTE. 

3.3. SEGURIDAD PARA LOS SERVICIOS INFORMATICOS: 

Las personas designadas por EL CONTRATISTA que hayan recibido aprobación para tener acceso a Internet a través de las herramientas brindadas por EL CONTRATANTE para la ejecución del servicio contratado deberán aceptar, respetar y aplicar las políticas y prácticas de uso de Internet que éste ha impartido. 

El intercambio electrónico de información se realizará con base en estándares de documentos electrónicos y mensajes de datos de dominio público, regidos por organismos idóneos de carácter nacional e internacionales.  Los ambientes de desarrollo de sistemas, pruebas y producción deben permanecer separados para su adecuada administración, operación, control y seguridad, y en cada uno de ellos, se instalarán las herramientas necesarias para su administración y operación. 

 3.4.  SEGURIDAD EN COMUNICACIONES: 

Las direcciones internas, topologías, configuraciones e información relacionada con el diseño de los sistemas de comunicación, seguridad y cómputo de EL CONTRATANTE, deberán ser considerados y tratados como información confidencial. 

 Todo intercambio electrónico de información o interacción entre sistemas de información con entidades externas deberá estar soportado con un acuerdo o documento de formalización. 

 3.5. SELECCIÓN DE ENCARGADOS PARA LA TRANSMISIÓN DE DATOS PERSONALES

En los eventos en los que se realicen transmisiones de datos personales a favor de un tercero en calidad de Encargado, se seleccionará el proveedor teniendo en cuenta los siguientes lineamientos:

• Determinar cuál será el alcance del tratamiento que se permitirá realizar al Encargado.
• Evaluar la competencia y capacidad del Encargado para realizar el tratamiento que se le encomendará.
• Revisar la idoneidad del manual de políticas de tratamiento de datos personales propias del Encargado.
• Suscribir un contrato de transmisión de datos personales que cuente con los requisitos establecidos en el articulo 25 del Decreto 1377 de 2013.
• De manera discrecional, EL CONTRATANTE podrá realizar auditorías para medir el nivel de protección de los datos personales en la ejecución del contrato de transmisión.

 3.6 ACUERDOS DE CONFIDENCIALIDAD Y RESERVA DE LA INFORMACIÓN; 

En el desarrollo de las relaciones contractuales, EL CONTRATISTA deberá firmar los acuerdos de confidencialidad definidos por la organización. En dichos acuerdos se establecerán los compromisos de salvaguardar la información, velar por su correcto uso, impedir el uso no autorizado de dicha información y guardar reserva. Se estipulará a su vez, la información que es objeto de protección dentro del acuerdo y su temporalidad.

Los acuerdos se incluirán dentro de los contratos celebrados entre la organización y terceros, como parte integral del contrato o firmarse como un acuerdo independiente. La aceptación de las condiciones de confidencialidad es indispensable para conceder al tercero el acceso a la información protegida. 

3.7 AUDITORÍA Y/O DIAGNÓSTICO DE CUMPLIMIENTO LEGAL:

 EL CONTRATANTE cuenta con la facultad de realizar al menos una (1) auditoría o diagnóstico parcial al año, con el objetivo de evaluar el nivel de cumplimiento en materia de protección de datos por parte de el proveedor o contratista y en calidad de Encargado. El tercero garantizará el acceso razonable a todas las ubicaciones relevantes y proporcionará cooperación, previa notificación durante el horario normal de atención, para permitir que EL CONTRATANTE efectúe el proceso de auditoría. 

4. PROCEDIMIENTOS PARA EL REPORTE DE INCIDENTES:

1. PROCEDIMIENTOS A SEGUIR CUANDO SE ENCUENTRE EVIDENCIA DE ALTERACIÓN O MANIPULACIÓN DE EQUIPOS O INFORMACIÓN: 

En caso de que durante la prestación de un servicio por parte de EL CONTRATISTA, se evidencie: alteración o manipulación de equipos o información que es de propiedad de EL CONTRATISTA o de EL CONTRATANTE, EL CONTRATISTA deberá informar dicha situación a EL CONTRATANTE, a través del siguiente correo electrónico: ccdubailtda@gmail.com, aportando las pruebas que demuestren dicha eventualidad y las acciones tomadas para mitigar cualquier daño o perjuicio a EL CONTRATANTE.  

1. PROCEDIMIENTOS Y CONTROLES PARA LA ENTREGA DE LA INFORMACIÓN MANEJADA Y LA DESTRUCCIÓN DE LA MISMA POR PARTE DEL TERCERO UNA VEZ FINALIZADO EL SERVICIO:

 Los proveedores titulares  o propietarios de Recursos Informáticos que no sean propiedad de EL CONTRATANTE y que deban ser ubicados y administrados por ésta, deben garantizar la legalidad del recurso para su funcionamiento.  

 Cuando se requiera utilizar recursos informáticos u otros elementos de propiedad de EL CONTRATANTE para el funcionamiento de recursos que no sean propios de la organización y que deban ubicarse en sus instalaciones, los recursos serán administrados por la persona que designe EL CONTRATANTE. 

 Las personas designadas por  EL CONTRATISTA para la ejecución de un servicio que implique acceso a recursos informáticos, tendrán acceso a los Recursos que sean estrictamente necesarios para el cumplimiento de su función.

  Los equipos de EL CONTRATISTA que deban estar conectados a los sistemas o Red de EL CONTRATANTE deben cumplir con todas las normas de seguridad informática vigentes en EL CONTRATANTE. 

 EL CONTRATANTE se reserva el derecho de monitorear estos sistemas de terceros sin previo aviso para evaluar la seguridad de los mismos. EL CONTRATANTE se reserva el derecho de cancelar y terminar la conexión a sistemas de terceros que no cumplan con los requerimientos internos establecidos por EL CONTRATANTE. 

 Como parte de las actividades de cierre de un servicio o contrato, debe levantarse un acta en la cual conste que EL CONTRATISTA ha realizado una destrucción total de la información que se encuentra en físico y/o digital, ejecutando un borrado seguro de la información que ha sido entregada por EL CONTRATANTE. Esta acta deberá estar firmada por los representantes legales de cada parte. 

5. MODIFICACIÓN DE LAS POLÍTICAS 

PROYECTOS E INVERSIONES DUBAI S.A.S. se reserva el derecho de modificar o actualizar la presente Política de Seguridad de la información en cualquier momento, comunicando de forma oportuna a todos aquellos terceros o proveedores a quienes les sea aplicable.

6. VIGENCIA

La presente Política rige a partir del 27 de marzo de 2024.