Con el fin de velar por la seguridad de la información contenida en las Bases de Datos, CENTRO COMERCIAL MERCURIO P.H. ha implementado las siguientes medidas de seguridad:
5.1. TRANSMISIÓN DE DATOS PERSONALES CENTRO COMERCIAL MERCURIO P.H. establecerá contratos de transmisión de datos personales con los Encargados del tratamiento, en el cual se indicará el objetivo y finalidades del tratamiento, así como las actividades y obligaciones de cada una de las partes.
Mediante dicho contrato el Encargado se comprometerá a dar aplicación a las obligaciones de CENTRO COMERCIAL MERCURIO P.H., bajo la política de Tratamiento de la información fijada por este documento y a realizar el Tratamiento de datos de acuerdo con la finalidad que los Titulares hayan autorizado y con las leyes aplicables. Además de las obligaciones que impongan normas aplicables dentro del citado contrato, deberán incluirse las siguientes obligaciones en cabeza del respectivo encargado:
1. Dar Tratamiento, a nombre del Responsable, a los datos personales conforme a los principios que los tutelan.
2. Salvaguardar la seguridad de las bases de datos en los que se contengan datos personales.
3. Guardar confidencialidad respecto del tratamiento de los datos personales
5.2. ACUERDOS DE CONFIDENCIALIDAD CENTRO COMERCIAL MERCURIO P.H. establecerá acuerdos de confidencialidad con los empleados, contratistas y partes interesadas que por diferentes razones requieran conocer o intercambiar información personal clasificada y reservada. En estos acuerdos se especificarán las responsabilidades para el intercambio de la información para cada una de las partes y se deberán firmar antes de permitir el acceso o uso de dicha información. Los supervisores de los contratos y jefes inmediatos son los responsables de asegurarse que todos los activos propios de la organización sean devueltos, la información pertinente sea transferida y tenga la disposición final adecuada.
5.3. CONTROL DE ACCESO
5.3.1. FÍSICO
Las locaciones en las que se almacena información personal deben contar con las medidas de seguridad que propendan por la integridad, disponibilidad y confidencialidad de la información allí contenida. CENTRO COMERCIAL MERCURIO P.H. establecerá los niveles y permisos de acceso de acuerdo a las funciones del personal, el cual debe ser informado sobre sus responsabilidades en protección de datos personales y los controles y protocolos con los que debe cumplir para preservar las bases de datos físicas con las que cuente la organización.
5.3.2. AUTOMATIZADO
CENTRO COMERCIAL MERCURIO P.H. establecerá las condiciones, permisos y niveles de acceso a las Bases de datos que se encuentran automatizadas de acuerdo a los perfiles de cargo de cada uno de ellos y de las funciones que realizará. Así mismo, se debe encargar de modificar los permisos, inactivar o suspender el acceso, previa comunicación y autorización, a los usuarios que sean trasladados, promovidos, entren en periodo de vacaciones o licencias, o aquellos que sean retirados temporal o definitivamente de la compañía.
5.4. COPIAS DE RESPALDO
CENTRO COMERCIAL MERCURIO P.H. implementará los procedimientos y facilitará los recursos que sean requeridos para realizar, al menos una vez cada semana, copias de respaldo de todas las Bases de Datos que sean exactas y recuperables, las cuales se almacenarán mediante mecanismos y controles adecuados que garanticen la confidencialidad, integridad y disponibilidad de la información allí contenida. Así mismo, CENTRO COMERCIAL MERCURIO P.H. establecerá e implementará los procedimientos para la recuperación total o parcial de la información, los cuales deben ser probados y ajustados anualmente, velando siempre por que la restauración de la información sea completa y segura. El almacenamiento de las copias de respaldo se realizará en una ubicación diferente a donde se encuentran las bases de datos originales, esta locación debe ser segura y contar con el apropiado control de acceso.
5.5. AUDITORÍA
El Programa Integral de Gestión de Datos Personales y las bases de datos que contengan datos personales con las que cuente la organización serán objeto de, al menos, una auditoría interna o externa anual, en la cual se verificará el estado del Programa y el cumplimiento de las Políticas de Tratamiento de Datos Personales. Para esto se realizará un plan de auditoría en el cual se deben incluir revisiones de las instalaciones físicas, sistemas de información, asignación de permisos, manejo de autorizaciones y soporte de las mismas y evaluar las actualizaciones o modificaciones que se requieran. Toda auditoría debe concluir con un informe en el cual se debe describir el estado actual de la compañía en protección de datos personales, se deben detallar las labores realizadas, los datos y hallazgos de las mismas, las observaciones que surgieron, las recomendaciones propuestas y fechas para su implementación.
5.6. GESTIÓN DE INCIDENTES
CENTRO COMERCIAL MERCURIO P.H., comprometida con la mejora continua del Programa Integral de Gestión de Datos Personales, establecerá y ejecutará un procedimiento para identificar, analizar, valorar, tratar y aprender de los incidentes en protección de datos personales que se presenten en la organización. Todos los usuarios de activos de información de la compañía deben reportar los eventos o incidentes que se presenten, según el procedimiento descrito a continuación:
1. Identificación: Cuando un miembro de la organización identifique un evento que genere o pueda generar inconvenientes a la seguridad de la información contenida en las bases de datos debe comunicarlo inmediatamente al Oficial de Privacidad indicando:
• Fecha y hora de Ocurrencia del incidente
• Fecha y hora de identificación del incidente
• Descripción del incidente
• Área o Departamento involucrado
• Posibles personas involucradas
2. Análisis y valoración: Una vez llega el informe de incidente, el Oficial de Privacidad debe ingresarlo en una matriz de incidentes, posteriormente debe revisar, investigar y clasificar el caso para así evaluar el impacto en la organización o en los titulares de la Información.
3. Tratamiento: El oficial de privacidad debe establecer un plan de acción para mitigar el impacto del incidente y prevenir que ocurra nuevamente.
4. Retroalimentación: Evaluar los incidentes presentados semestralmente y establecer planes de acción para prevenir futuras recurrencias en incidentes y realizar constantes mejoras al Programa Integral de Gestión de Datos Personales.
5.7. COPIAS DE BASES DE DATOS
Las copias totales o parciales que se realicen a las bases de datos para efectuar actividades temporales o auxiliares deben cumplir con los mismos requerimientos de seguridad y contar con los mismos niveles de acceso establecidos para las bases de datos originales y deben ser borradas o destruidas una vez dejen de ser utilizadas.
5.8. MEDIDAS PARA EL TRANSPORTE DE INFORMACIÓN PERSONAL
Cuando se requiera el traslado físico de documentos o soportes, se deben implementar los controles pertinentes que velen por la disponibilidad, confidencialidad e integridad de la información allí contenida, impidiendo su acceso por parte de personal no autorizado, sustracción, manipulación o pérdida.
5.9. MEDIDAS PARA LA DESTRUCCIÓN DE LA INFORMACIÓN PERSONAL
En los casos en los que se requiera destruir o eliminar documentos o archivos en los cuales se cuente con información personal, se deben implementar las medidas necesarias para impedir que los datos allí contenidos sean recuperados o restaurados.
6. VIDEO VIGILANCIA CENTRO COMERCIAL MERCURIO P.H. realizará video vigilancia con el fin de mantener la seguridad de las personas que ingresan a sus instalaciones y supervisar el cumplimiento de las funciones y deberes de los empleados, mediante la grabación de imágenes captadas por las cámaras de video instaladas en lugares determinados para ello. Al momento de acceder a estas imágenes, se deberá respetar y velar por el cumplimiento de los derechos de las personas de acuerdo a lo estipulado por la Ley, por lo cual, los empleados realizarán la vigilancia bajo la mayor responsabilidad, confidencialidad, ética y legalidad. Las cámaras de video se encuentran ubicadas en Todas las instalaciones, las cuales conforman un sistema cerrado de televisión con grabaciones en tiempo real que guarda imágenes. La transmisión de estas imágenes a terceros se realizará de acuerdo en lo establecido en el numeral 12.6 del presente documento y en los casos en los cuales estos videos sean solicitados por medios de comunicación con el fin de identificar y difundir la imagen de personas que hayan incumplido con la Ley o de dar a conocer su modus operandi, se debe proteger la identidad de las personas no relacionadas con los hechos y que se encuentren en estas imágenes.
