Política de Seguridad de la Información
1. Objetivo
Establecer lineamientos para proteger la confidencialidad, integridad, disponibilidad y trazabilidad de la información gestionada por la solución Tucán, cumpliendo obligaciones legales y contractuales, y adoptando buenas prácticas de seguridad en la nube (ISO/IEC 27001 y Cloud Well-Architected).
Nota: Esta política es marco corporativo y se complementa con procedimientos, estándares y guías técnicas.
2. Alcance
Aplica a todos los colaboradores de Sunbelt, contratistas, proveedores, aliados y clientes que accedan o procesen información en Tucán, y a todos los activos (personas, procesos, tecnología y datos) desplegados en la infraestructura Cloud que soporta el servicio.
3. Principios de Seguridad
Confidencialidad
Protección frente a accesos, usos o divulgaciones no autorizadas mediante controles técnicos y administrativos.
Integridad
Preservar la exactitud y completitud de la información y los sistemas ante cambios no autorizados o errores.
Disponibilidad
Garantizar la continuidad del servicio con arquitectura resiliente, alta disponibilidad y recuperación.
Trazabilidad
Registrar, monitorear y auditar actividades relevantes para investigación y cumplimiento.
4. Roles y Responsabilidades
| Rol | Responsabilidades clave |
|---|---|
| Sunbelt (Proveedor SaaS) | Gobernanza de seguridad; configuración segura de Cloud; implementación y mantenimiento de controles; gestión de incidentes; protección y segregación lógica de datos; cumplimiento de SLA y de la presente política. |
| Clientes de Tucán | Calidad, legalidad y veracidad de los datos que suministran; gestión de usuarios finales de su organización; uso conforme a contrato y a la política de uso aceptable. |
| Usuarios Autorizados | Uso responsable; resguardo de credenciales; reporte oportuno de incidentes o sospechas. |
| Proveedores/Terceros | Cumplimiento de cláusulas de confidencialidad y seguridad; controles equivalentes o superiores; notificación de incidentes que les afecten y puedan impactar el servicio. |
5. Controles de Seguridad
5.1 Arquitectura e Infraestructura Cloud
- Despliegue de servicios con alta disponibilidad y balanceo de carga.
- Seguridad de red privada, subredes privadas, grupos de seguridad y listas de control de acceso.
- Gestión de identidades y accesos y principio de mínimos privilegios.
- Monitoreo y alertamiento y registros centralizados.
- Parcheo y hardenización de SO/servicios.
5.2 Gestión de Accesos y Autenticación
- Autenticación MFA para administradores y roles críticos.
- Controles de sesión, bloqueo por intentos fallidos y rotación de credenciales.
- Alta/Baja/Modificación de usuarios con flujo formal y trazabilidad.
- Segregación de ambientes (desarrollo, pruebas, producción)..
5.3 Protección de Datos
- Cifrado en tránsito (TLS 1.2+) y en reposo (AES-256, KMS).
- Separación lógica de datos entre clientes (multi-tenant seguro).
- Retención y eliminación segura de datos conforme a contrato y normativa.
- Copias de seguridad automatizadas y pruebas periódicas de restauración.
5.4 Desarrollo Seguro (SDL/SSDLC)
- Revisión de código y análisis estático/dinámico de seguridad.
- Gestión de dependencias y vulnerabilidades (SCA) y patch management.
- Separación de secretos y variables de entorno.
- Pruebas de seguridad (incluye pruebas de penetración planificadas).
5.5 Gestión de Incidentes
- Proceso formal de detección, clasificación, contención, erradicación y recuperación.
- Ventanas y canales de notificación al cliente definidos por severidad y SLA.
- Registro y post-mortem con acciones correctivas y preventivas.
5.6 Gestión de Continuidad y Resiliencia
- Objetivos de continuidad: RPO y RTO definidos por nivel de servicio.
- Pruebas del plan de recuperación ante desastres al menos anual.
- Estrategias de escalamiento y auto-healing donde aplique.
5.7 Seguridad Operativa
- Inventario y clasificación de activos de información.
- Registro/auditoría de accesos y acciones administrativas.
- Gestión de cambios con evaluación de riesgos y ventanas controladas.
- Protección anti-malware/EDR en hosts administrados.
5.8 Privacidad y Protección de Datos Personales
- Cumplimiento de la Ley 1581 de 2012 y normas reglamentarias en Colombia. Política de Privacidad y Tratamiento de Datos Personales – Tucán
- Roles y responsabilidades: Sunbelt como encargado del tratamiento cuando aplique; clientes como responsables de los datos que ingresan a Tucán.
- Atención de derechos de los titulares (acceso, rectificación, supresión), canales y tiempos de respuesta.
5.9 Proveedores y Terceros
- Cláusulas de confidencialidad, seguridad y notificación de incidentes.
- Evaluaciones de seguridad para servicios críticos.
6. Plan de Continuidad del Negocio y DRP
Sunbelt mantiene y prueba un Plan de Recuperación ante Desastres (DRP) alineados al apetito de riesgo y a los SLA de clientes. Se documentan escenarios, dependencias, responsables, comunicaciones y métricas de recuperación.
7. Cumplimiento Normativo y Contractual
- Ley 1581 de 2012 y decretos reglamentarios sobre datos personales en Colombia.
- Buenas prácticas ISO/IEC 27001.
- Obligaciones pactadas en contratos, anexos de seguridad y SLA.
- Revisión de cumplimiento y auditorías internas/externas planificadas.
8. Concienciación y Capacitación
Todo el personal recibe inducción y formación anual en seguridad de la información, protección de datos personales, uso aceptable, gestión de incidentes y mejores prácticas en la nube.
9. Revisión, Aprobación y Mejora Continua
Esta política se revisa al menos una vez al año o ante cambios relevantes en Tucán, en la infraestructura Cloud o en la normativa aplicable. La Dirección de Seguridad de la Información coordina la mejora continua con base en resultados de auditorías, pruebas y métricas.
| Versión | Fecha | Descripción del cambio | Aprobó |
|---|---|---|---|
| 1.0 | 20/12/2020 | Publicación inicial | Dirección Ejecutiva |