Politicas de Seguridad

Código: GE-L16 Versión: 01 Fecha: 23-Oct-25

Vigencia: Desde la fecha de publicación y hasta su modificación oficial.

1. Introducción

Garanty Seguros Ltda. (“Garanty Seguros” o “la Compañía”), sociedad legalmente constituida en Colombia con NIT [●] y domicilio en Calle 46 No. 16 – 24, Torre Empresarial San Juan Plaza, Neiva, Huila, reconoce la importancia de la información como un activo crítico. Esta política establece los principios, responsabilidades y procedimientos para proteger la confidencialidad, integridad, disponibilidad y autenticidad de la información, cumpliendo con la legislación colombiana vigente: Ley 1581 de 2012, Decreto 1377 de 2013, Ley 1266 de 2008, Ley 1273 de 2009 y Ley 1618 de 2013.

Se aplica a todos los empleados, contratistas, asesores, proveedores y terceros que interactúen con los sistemas, datos o procesos de Garanty Seguros, incluyendo el sitio web, bases de datos y plataformas integradas como Agentemotor.

2. Objetivos

Los objetivos principales son:

  • Proteger la información personal y sensible de clientes, empleados y terceros frente a accesos no autorizados, pérdidas o usos indebidos.
  • Garantizar el cumplimiento de la normativa colombiana sobre protección de datos y ciberseguridad.
  • Minimizar riesgos mediante controles preventivos y correctivos.
  • Fomentar una cultura de seguridad dentro de la organización y entre socios comerciales.
  • Asegurar la continuidad del negocio ante eventos disruptivos mediante planes de recuperación.

3. Alcance

La política cubre:

  • Todos los activos de información: electrónicos, físicos (documentos, archivos) y verbales.
  • Sistemas de información, redes, dispositivos móviles, servidores y aplicaciones utilizadas por Garanty Seguros.
  • Procesos de recolección, almacenamiento, procesamiento, transmisión y eliminación de datos.
  • Interacciones con terceros, como aseguradoras, proveedores y plataformas externas (p.ej., Agentemotor).

Aplica a todas las oficinas, teletrabajo y accesos remotos autorizados desde cualquier ubicación.

4. Principios Rectores

  • Legalidad: Cumplimiento de leyes aplicables, incluyendo Ley 1581 de 2012 y Ley 1273 de 2009.
  • Confidencialidad: Acceso únicamente a personas autorizadas según su rol y necesidad.
  • Integridad: Información protegida contra alteraciones o corrupciones no autorizadas.
  • Disponibilidad: Sistemas y datos accesibles a usuarios autorizados, salvo interrupciones planificadas.
  • Proporcionalidad: Medidas de seguridad ajustadas al nivel de riesgo y valor de la información.
  • Transparencia: Titulares informados sobre prácticas de seguridad y sus derechos.

5. Gobernanza y Responsabilidades

5.1 Comité de Seguridad de la Información

Integrado por representantes de Tecnología, Jurídico y Cumplimiento Normativo, con funciones de:

  • Definir y actualizar la política de seguridad.
  • Aprobar planes de gestión de riesgos y respuesta a incidentes.
  • Supervisar cumplimiento y realizar auditorías anuales.

5.2 Responsabilidades del Personal

  • Empleados: Cumplir políticas, reportar incidentes y proteger credenciales de acceso.
  • Contratistas y Proveedores: Adherirse mediante contratos de confidencialidad y SLA.
  • Usuarios Externos: Respetar restricciones de acceso y uso de datos compartidos.

5.3 Oficial de Protección de Datos

Designado según artículo 16 de la Ley 1581 de 2012, supervisa el cumplimiento y atiende solicitudes de titulares de datos.

6. Gestión de Riesgos

6.1 Identificación de Riesgos

Evaluaciones semestrales identifican amenazas como:

  • Accesos no autorizados (hackeo, phishing).
  • Pérdida de datos por desastres naturales o fallos técnicos.
  • Errores humanos que causen fugas de información.
  • Ataques de malware o ransomware.

6.2 Mitigación de Riesgos

  • Autenticación multifactor (MFA) para accesos remotos.
  • Encriptación de datos en tránsito y reposo (AES-256).
  • Firewall y sistemas IDS/IPS.
  • Capacitación anual obligatoria en ciberseguridad para empleados.

6.3 Plan de Continuidad

Plan de recuperación ante desastres (DRP) con restauración de sistemas críticos en máximo 24 horas y copias de seguridad diarias en servidores remotos.

7. Controles Técnicos y Operativos

7.1 Acceso y Autenticación

  • Permisos basados en principio de menor privilegio.
  • Contraseñas con mínimo 12 caracteres, letras, números y símbolos.
  • Cambio obligatorio cada 90 días y prohibición de reutilización.

7.2 Gestión de Dispositivos

No se permite BYOD sin aprobación. Equipos corporativos con antivirus actualizado y cifrado de disco.

7.3 Monitoreo y Auditoría

Monitoreo en tiempo real con SIEM y revisiones mensuales de logs.

8. Respuesta a Incidentes

8.1 Clasificación

  • Bajo: Acceso no autorizado sin impacto en datos sensibles.
  • Mediano: Fuga de datos no sensibles o interrupción temporal.
  • Alto: Brecha de datos sensibles o daño significativo a sistemas.

8.2 Procedimiento

  1. Reportar al Comité de Seguridad dentro de 2 horas.
  2. Contención inicial para limitar daño.
  3. Análisis forense y determinación de causa.
  4. Notificación a la SIC dentro de 48 horas según artículo 17 Ley 1581 de 2012.
  5. Restauración de sistemas y comunicación a afectados.

8.3 Capacitación

Simulacros trimestrales para preparar al personal.

9. Cumplimiento Legal y Regulatorio

  • Cumplir exigencias de la Superintendencia Financiera de Colombia.
  • Implementar resoluciones de la SIC sobre protección de datos.
  • Seguir normas de ciberseguridad Ley 1273 de 2009 y notificar delitos informáticos a Fiscalía.

Auditorías externas anuales verifican cumplimiento.

10. Accesibilidad y Equidad

Conforme Ley 1618 de 2013, sistemas accesibles a personas con discapacidad (lectores de pantalla, contraste adecuado). Reportes a accesibilidad@garantyseguros.com.

11. Relaciones con Terceros

Proveedores y socios (p.ej., Agentemotor) deben firmar acuerdos de confidencialidad y cumplir esta política. Evaluación anual mediante auditorías.

12. Sanciones por Incumplimiento

Incumplimiento por empleados: medidas disciplinarias, incluyendo suspensión o terminación contractual. Para terceros: acciones legales según Código Penal (artículo 269A).

13. Revisión y Actualización

Revisión semestral o tras incidentes significativos. Cambios publicados en el Sitio y notificados a interesados por correo.

14. Contacto y Reportes

  • Departamento de Tecnología y Cumplimiento
  • Correo: tecnologia@garantyseguros.com
  • Teléfono: +57 8 627474
  • Dirección: Calle 46 No. 16 – 24, Torre Empresarial San Juan Plaza, Neiva, Huila, oficina 809
  • WhatsApp
Scroll to Top