Unidad de Educación Continua – I.U. Pascual Bravo
Unidad de Educación Continua – I.U. Pascual Bravo
Soy:
Aspirante
Estudiante
Egresado
Docente/Empleado
Niño
Facebook Twitter Instagram Youtube Linkedin Tiktok
Acceso SICAU
0
Ver carrito
No hay productos en el carrito

Política de privacidad y tratamiento de datos

  1. Inicio
  2. Política de privacidad y tratamiento de datos

Plataforma Educación Continua

Institución Universitaria Pascual Bravo 

 

ACUERDO DIRECTIVO 031
(16 de diciembre de 2021)

Por medio del cual se expide la Política de seguridad y privacidad de la información de la Institución Universitaria Pascual Bravo El H. Consejo Directivo de la Institución Universitaria Pascual Bravo, en ejercicio de sus atribuciones legales y estatutarias, y en especial las conferidas en el literal E del artículo 15 del Acuerdo Directivo 015 de 2017, Estatuto General, y,

CONSIDERANDO

Que, dada la importancia que tiene la información para las empresas y entidades que en el marco de su ejercicio recopilan datos, y a la luz de lo dispuesto en el artículo 15 de la Constitución Política, en la Ley Estatutaria 1581 de 2012 (“por la cual se dictan disposiciones generales para la protección de datos personales”) y en la Ley 1712 de 2014 (“por medio de la cual se crea la Ley de Transparencia y del Derecho de Acceso a la Información Pública Nacional…”), se hace necesario ejecutar acciones para implementar una Política de seguridad y privacidad de la información en el área administrativa y académica de la Institución Universitaria Pascual Bravo.

Que es necesario definir unos parámetros básicos para el uso correcto de los diferentes elementos de las tecnologías de la información, con el fin de conservar en buenas condiciones físicas y lógicas las distintas herramientas de trabajo, espacios y demás elementos para garantizar un ambiente de trabajo adecuado, al igual que el uso correcto de la información recopilada para el cumplimiento misional de la Institución.

Que una Política de seguridad y privacidad de la información beneficiaría a toda la comunidad de la Institución Universitaria Pascual Bravo, en la medida en que las políticas y estándares en materia informática son la base del buen funcionamiento, desempeño, seguridad y protección de los activos tecnológicos del Campus Universitario.
Que, en mérito de lo expuesto,

ACUERDA
CAPÍTULO I
TÍTULO I
DISPOSICIONES GENERALES

ARTÍCULO PRIMERO. OBJETO. Adoptar la Política de seguridad y privacidad de la información de la Institución Universitaria Pascual Bravo.
ARTÍCULO SEGUNDO. DEFINICIONES. Para los efectos de la presente política se adoptan las siguientes definiciones, de conformidad con lo establecido en la Ley 1581 de 2012.

2.1 Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.
2.2 Base de datos: Conjunto organizado de datos personales que sea objeto de Tratamiento.
2.3 Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables y que permite su identificación.
2.4 Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del Responsable del Tratamiento.
2.5 Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos.
2.6 Titular: Persona natural cuyos datos personales sean objeto de Tratamiento.
2.7 Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
2.8 Dato sensible: Son aquellos que afectan la intimidad del titular o cuyo uso puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.
2.9 Sistema de comunicaciones: el equipo activo de tecnologías de la información y los diferentes medios de comunicación en uso.

ARTÍCULO TERCERO. OBJETIVOS. Con la presente Política de seguridad y privacidad de la información se persiguen los siguientes objetivos.

3.1 General. Establecer la política para la Seguridad y Privacidad de la Información en la Institución Universitaria Pascual Bravo teniendo en cuenta el ámbito físico (hardware) como lógico (software), con el fin de fortalecer el uso y protección de la información y dar cumplimiento a Ley Estatutaria 1581 de 2012 y permitir el acceso oportuno a la información.
3.2 Específicos.
a. Sensibilizar a los funcionarios y contratistas sobre la importancia de hacer un uso adecuado de los bienes y servicios informáticos que presta la Institución.
b. Promover el uso y aprovechamiento de la información institucional.
c. Posibilitar la mejora continua en los procesos informáticos que lleve a cabo la Institución.
d. Generar confianza sobre el manejo de la información.

ARTÍCULO CUARTO. ÁMBITO DE APLICACIÓN. Las disposiciones y directrices aquí tratadas serán aplicadas a los usuarios y sus datos personales recopilados y registrados en las diferentes bases de datos y sistemas de información institucionales, además de los equipos, herramientas y personal involucrado para el ejercicio de la actividad misional de la Institución.

ARTÍCULO QUINTO. RESPONSABLE Y ENCARGADO DEL TRATAMIENTO. La Institución Universitaria Pascual Bravo, como responsable de la información recolectada, tendrá la facultad para designar a los encargados del tratamiento de la información necesarios, velando siempre por la correcta administración de la misma, teniendo en cuenta los permisos y límites de acceso según el módulo del sistema de información a operar. Para esto, se tendrá en cuenta el registro de roles y módulos asignados para cada proceso y sus respectivos operarios.

CAPÍTULO II
TÍTULO I
DEL ACCESO Y USO DE LAS TECNOLOGÍAS DE LA INFORMACIÓN

ARTÍCULO SEXTO. MEDIOS DE ACCESO. Son medios de acceso a la información digital los equipos de cómputo y dispositivos con conectividad a internet y red interna, siempre y cuando se encuentren en la plataforma y demás sistemas de información institucionales con su respectiva autenticación.

ARTÍCULO SÉPTIMO. PLATAFORMA Y SISTEMAS DE INFORMACIÓN INSTITUCIONALES. Son sistemas de información y plataformas en donde se registrará y administrará la información institucional oficiales aquellos relacionados en el formato de Sistemas de Información pertenecientes al Área de Gestión TIC vigente e inventario de licencias. Cualquier sistema que se encuentre por fuera de este formato no será válido o responsabilidad de la Institución.

ARTÍCULO OCTAVO. PERFILES DE USUARIO. Los diferentes perfiles de usuarios serán los siguientes:

8.1 Usuario sin autenticación: Es aquél que puede visitar los sistemas de
información, y visualizar solo lo que el sitio proyecte públicamente sin
necesidad de niveles de autenticación.
8.2 Usuario con autenticación: Es aquél que puede consultar la información
pública general, y además tiene la opción de autenticarse para acceder a
información proyectada a un público directo según la plataforma utilizada.
8.3 Usuario administrador: Es aquél que tiene permisos especiales asignados
para administrar y publicar información según la plataforma o sistema de
información designado.
8.4 Usuario súper administrador: Es aquél que tiene control total sobre los
cambios y adecuaciones sobre las diferentes plataformas y sistemas de
información institucionales.

ARTÍCULO NOVENO. AUTORIZACIÓN DE ACCESO. Para el acceso a la red de datos de la Institución Universitaria Pascual Bravo se deberá seguir el procedimiento previamente establecido por el Área de Gestión TIC.

ARTÍCULO DÉCIMO. ELIMINACIÓN DE LA INFORMACIÓN. El Área de Gestión TIC podrá eliminar toda la información que no guarde relación con los fines de algunos de los procesos institucionales.

TÍTULO II
DE LA RECOLECCIÓN, TRATAMIENTO Y ACCESO DE DATOS

ARTÍCULO DÉCIMO PRIMERO. RECOLECCIÓN DE DATOS. La institución hará la recolección de los datos a través de medios como:

11.1 Formularios
11.2 Cuestionarios
11.3 Encuestas
11.4 Formatos
11.5 Solicitudes
11.6 Peticiones, quejas, reclamos, sugerencias y felicitaciones (PQRSF)
11.7 Sistemas de información académicos
11.8 Sistemas de información financieros
11.9 Página web
11.10 Intranet Institucional
11.11 Cámaras de uso institucional (vigilancia por circuito cerrado de televisión – CCTV- y medios de comunicación internos)
11.12 Dispositivos biométricos
11.13 Grupos Focales
11.14 Entrevistas
11.15 Talleres
11.16 Canales de Atención establecidos en el Plan de Atención al Ciudadano

ARTÍCULO DÉCIMO SEGUNDO. CUSTODIA DE LOS DATOS. La custodia de los datos recolectados por cualquiera de los métodos mencionados en el artículo 11 será responsabilidad del Área de Gestión TIC, a menos que dichos datos no sean recolectados o remitidos a esta dependencia, en cuyo caso su custodia le corresponderá a la dependencia que los recolecte.

ARTÍCULO DÉCIMO TERCERO. REVISIÓN Y ACTUALIZACIÓN. Las bases de datos podrán ser revisadas y actualizadas en cualquier momento por parte de la Institución o de las entidades regulatorias, de conformidad con lo establecido en la Ley 1581 de 2012.

ARTÍCULO DÉCIMO CUARTO. OPORTUNIDAD Y DISPONIBILIDAD DE LOS DATOS. Los datos e información contenida en las bases de datos estarán disponible desde el mismo momento en el que queden almacenados en los servidores, y podrán ser consultados por medio de las plataformas teniendo en cuenta el nivel de permiso asignado para dicho usuario por parte de las áreas respectivas.

ARTÍCULO DÉCIMO QUINTO. TRATAMIENTO DE DATOS. Los datos e información contenida en las diferentes bases de datos, aplicaciones y servidores, será utilizada con observancia de los derechos de sus respectivos titulares, de conformidad con lo autorizado por éstos. Por su parte, la Institución podrá generar los reportes que considere necesarios para el cumplimiento de metas, y seguimiento de procesos de evaluación, autoevaluación, planes y proyectos. La divulgación y/o publicación de información, grabaciones o material que goce de características privadas, está prohibida, salvo en los casos en los que se cuente con autorización expresa por los dueños o titulares de dicha información.

TÍTULO III
DEL ALMACENAMIENTO DE LA INFORMACIÓN, BASES DE DATOS Y SEGURIDAD DE EQUIPOS CONTENEDORES

ARTÍCULO DÉCIMO SEXTO. ACCESO. Todos los sistemas de comunicación estarán debidamente protegidos con la infraestructura necesaria para que el usuario sin privilegios no tenga acceso físico directo.
Las visitas internas o externas podrán acceder a las áreas restringidas siempre y cuando se encuentren acompañadas por el líder del proceso o por un delegado del proceso encargado.

Las visitas a las instalaciones físicas de los centros de cómputo, aulas o salas de informática se harán en el horario establecido o autorizado previamente.
Para los casos de acceso remoto a los sistemas de información, repositorios, bases de datos y equipos, se deberá garantizar total reserva de la información allí contenida y utilizarla solo en función del cumplimiento de los objetivos institucionales.

ARTÍCULO DÉCIMO SÉPTIMO. MOVIMIENTO DE SERVIDORES. El movimiento, cambio o extracción de los servidores de la Institución sólo podrá hacerse por parte del líder del área o por las personas previamente autorizadas por él.

ARTÍCULO DÉCIMO OCTAVO. SEGURIDAD DE INGRESO A LOS CENTROS DE CÓMPUTO. Las puertas de acceso a los centros de cómputo deberán ser de acceso especial y deberán contar con la señalización acerca de que se trata de un área con restricción de acceso al personal no autorizado.

ARTÍCULO DÉCIMO NOVENO. PROTECCIÓN DE INFRAESTRUCTURA TECNOLÓGICA. Para la protección de la infraestructura tecnológica: 19.1 Los sistemas de tierra física, sistemas de protección e instalaciones eléctricas de los cuartos técnicos, deberán recibir mantenimiento acorde con el fin de determinar la efectividad del sistema.

19.2 Se deberá contar con un esquema que asegure la continuidad del servicio.
19.3 Se deberá tener fácil acceso a los procedimientos y documentación frente a contingencias.
19.4 Para los equipos que tengan daños en su infraestructura física, se realizará inspección y análisis del mismo, con el fin de verificar su estado y proyectar su reemplazo.
19.5 En el momento de presentar daños por caídas y/o hurtos donde se compromete el normal desempeño de las actividades, se procederá a realizar el informe técnico y reclamación a la aseguradora junto con el apoyo de proceso de Almacén.

ARTÍCULO VIGÉSIMO. SERVIDORES. Dada la importancia de operación de los diferentes servidores institucionales, se debe garantizar su correcto funcionamiento por medio de las siguientes acciones:

20.1 El Área de Gestión TIC tiene la responsabilidad de verificar la instalación, configuración e implementación de seguridad, en los servidores conectados a la Red
20.2 La instalación y/o configuración de todo servidor conectado a la Red será responsabilidad del Área de Gestión TIC.
20.3 Durante la configuración del servidor, el equipo técnico debe velar por la correcta disposición y distribución de los recursos del sistema y de la red, principalmente la restricción de directorios, permisos y programas a ser ejecutados por los usuarios según la necesidad puntual y el tipo de usuario.
20.4 Los servidores que proporcionen servicios a través de la Red e Internet deberán:
a. Funcionar 24 horas del día los 365 días del año.
b. Recibir mantenimiento preventivo de acuerdo con la periodicidad definida en los procedimientos y formatos establecidos para tal fin.
c. Recibir mantenimiento anual que incluya la revisión de su configuración.
d. Podrán realizarse ventanas de mantenimiento cuando sea necesario, previa comunicación a los procesos por suspensión del servicio programado.
20.5 Los servidores deberán ubicarse en un área física que cumpla las normas
estándar para un centro de telecomunicaciones:
a. Acceso restringido.
b. Temperatura adecuada para los equipos.
c. Protección contra descargas eléctricas.
d. Mobiliario adecuado que garantice la seguridad de los equipos.
e. Respaldo de energía por medio de UPS dedicada.
20.6 La información de los servidores deberá ser respaldada de acuerdo con los siguientes criterios, como mínimo:
a. Diariamente, si es información crítica.
b. Semanalmente, configuración del servidor y registro en bitácoras.
c. Según procedimiento vigente para la realización de Backup.
20.7 Los servicios institucionales hacia Internet sólo podrán proveerse a través de los servidores autorizados por el Área de Gestión TIC y por los medios físicos autorizados.
20.8 El Área de Gestión TIC es el encargado de suministrar medidas de seguridad adecuadas contra la intrusión o daños a la información almacenada en los sistemas, así como la instalación de cualquier herramienta, dispositivo o software que refuerce la seguridad.
20.9 El Área de Gestión TIC es el único autorizado para monitorear constantemente el tráfico de paquetes sobre la red, con el fin de detectar y solucionar anomalías, registrar usos indebidos o cualquier falla que provoque problemas en los servicios de la Red.
20.10 Cualquier dispositivo de comunicación (router, Switch, etc.) instalado que no se encuentre autorizado por el líder de Gestión Tic podrá ser removido por parte del equipo técnico del área y posteriormente entregado al Líder del proceso junto con una notificación de restricción y llamado de atención debido al riesgo de inestabilidad e inseguridad en la plataforma tecnológica.
20.11 Para los servidores externos, se deberá realizar el debido proceso de contratación con asesoría por parte de la Oficina de Tecnología e Informática, y se deberán incluir términos de soporte especializado, clarificar los tiempos de respuesta, establecer los métodos de backup y acceso a la información registrada, teniendo siempre presente que la propiedad de los datos e información pertenecen a la Institución Universitaria Pascual Bravo.

ARTÍCULO VIGÉSIMO PRIMERO. COPIAS DE SEGURIDAD Y RESPALDO. Se realizará copia de seguridad y respaldo de las diferentes bases de datos teniendo siempre en cuenta el procedimiento establecido por Gestión Tic aprobado por el equipo de calidad.

CAPÍTULO III
TÍTULO I
DE LA SEGURIDAD FÍSICA

ARTÍCULO VIGÉSIMO SEGUNDO. ACCESO A ÁREAS RESTRINGIDAS. Efectuar los controles de acceso en las áreas donde se almacena información física y electrónica, realizando una correcta administración de los permisos y autorizaciones.

ARTÍCULO VIGÉSIMO TERCERO. CONTROL DE ACCESO A TERCEROS. Sobre la privacidad y la confidencialidad del acceso de terceros.

23.1 Exigir a los proveedores de bienes y servicios los respectivos acuerdos de confidencialidad, de acuerdo con el tipo de información al cual tendrá acceso.
23.2 Garantizar la publicación de la información relacionada con los avisos de privacidad respecto al monitoreo de cámaras de seguridad, de acuerdo con lo establecido en la normatividad.
23.3 La Institución cuenta con un comunicado visible a los usuarios al ingreso de cada una de las porterías, mediante el cual se informa sobre la existencia de las políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales recopilados al interior de la Institución.
Dicho comunicado se encuentra relacionado en los procedimientos de Vicerrectoría Administrativa.

ARTÍCULO VIGÉSIMO CUARTO. PROCESO CAPTURA Y MANEJO DE INFORMACIÓN DE LAS CÁMARAS DE SEGURIDAD Y MONITOREO DEL CCTV: Una vez el usuario haya ingresado a la Institución, luego de hacer lectura de los avisos de privacidad y el tratamiento de datos que se encuentran ubicados en los accesos a la Institución, donde acepta que será grabado y monitoreado por las cámaras de seguridad, éstas capturarán las imágenes en sus diferentes formas que serán almacenadas en el software por el tiempo establecido por la
Institución.

Durante este periodo, las imágenes pueden ser consultadas por el personal encargado de la seguridad de la información y la Vicerrectoría administrativa en caso que sea necesario, porque se haya presentado alguna situación de amenaza o riesgo, se requieran realizar averiguaciones al respecto o para aclarar alguna situación. Las imágenes donde se identifican las personas no son compartidas a los usuarios que lo solicitan, excepto que sea requerido por parte de las autoridades competentes o en casos excepcionales, para lo cual se seguirán las medidas con sujeción a las normas de tratamiento de datos vigente, de tal forma que no sean entregadas a personal no autorizado.

Cumplido el término establecido por la Institución, el software automáticamente eliminará dichas imágenes y no serán almacenadas en otro dispositivo como respaldo, excepto que se trate de casos solicitados por las autoridades.

El personal encargado de la seguridad de la información con acceso a la información del software deberá tener contemplada dentro de las cláusulas contractuales la confidencialidad de la información y desde la supervisión se realizará seguimiento, de tal forma que se lleven a cabo los controles necesarios.

Adicionalmente, se contará con usuario y contraseña para el acceso a los equipos y al software que contenga la información, y se realizará un trabajo articulado con

Gestión TIC en los casos que sea requerido, teniendo en cuenta que se manejará información integrada desde el software al sistema SICAU.

ARTÍCULO VIGÉSIMO QUINTO. VIGENCIA. El presente acuerdo regirá a partir de la fecha de su expedición y deroga todas las disposiciones que le sean contrarias, en especial el “manual de políticas de tratamiento de la información personal”.

COMUNÍQUESE Y CÚMPLASE
Expedido en Medellín, a los 16 de diciembre de 2021

ADRIANA MARÍA LÓPEZ JAMBOOS – Presidente-                          YOLIMA CARDONA MORALES -Secretaria Ad-Hoc-

Ir al contenido