contactenos@extrusiones.com.co

Políticas corporativas

POLÍTICA DE TRATAMIENTO DE LA INFORMACIÓN

La presente política se expide en cumplimiento de la Ley 1581 de 2012, Decreto 1377 de 2013 y normas que modifiquen o adicionen el régimen de protección de datos personales y busca garantizar que EXTRUSIONES S.A. en su condición de responsable de manejo de información personal, realice el Tratamiento de la misma en estricto cumplimiento de la normatividad aplicable, garantizando los derechos que a los Titulares de la información les
asiste.

1. INFORMACIÓN DEL RESPONSABLE DEL TRATAMIENTO DE LA INFORMACIÓN
PERSONAL.

La empresa responsable del tratamiento de los datos personales es:
• Razón social: EXTRUSIONES S.A.
• Domicilio: Itagui – Colombia
• Dirección: Calle 25No.41-166
•Email: infoasociados@extrusiones.com.co
•Teléfono: 322 23 07

2. TRATAMIENTO AL CUAL SERÁN SOMETIDOS LOS DATOS PERSONALES Y SU
FINALIDAD.

En ejercicio de su objeto social, EXTRUSIONES S.A. realiza el Tratamiento de datos personales de sus empleados, proveedores, clientes y usuarios de sus productos. Así mismo en cumplimiento de la legislación aplicable EXTRUSIONES puede requerir transmitir o transferir dichos datos a las plataformas indicadas y/o a los sistemas de seguridad implementados por este.
En desarrollo de los principios de finalidad y libertad, la recolección de datos personales por parte de EXTRUSIONES se limitará a aquellos datos personales que son pertinentes y adecuados para la finalidad para la cual son recolectados o requeridos conforme a la normatividad vigente. Salvo en los casos expresamente previstos en la Ley, no se podrán
recolectar datos personales sin autorización del Titular.
Los datos personales son recolectados, almacenados, organizados, usados, circulados, transmitidos, transferidos, actualizados, rectificados, suprimidos, eliminados y gestionados de acuerdo a la finalidad o finalidades que tenga cada tipo de Tratamiento, según lo indicado en el numeral 3 de esta Política.
2.1 Tratamientos de datos personales de niñas, niños y/o adolescentes.
El Tratamiento de datos personales de niños, niñas y/o adolescentes que sean de naturaleza pública cumplirá con los siguientes parámetros y requisitos:
a) Que responda y respete el interés superior de los niños, niñas y adolescentes.
b) Que se asegure el respeto de sus derechos fundamentales.
c) Valoración de la opinión del menor cuando este cuente con la madurez, autonomía y capacidad para entender el asunto.
Cumplidos los anteriores requisitos, el representante legal del niño, niña o adolescente podrá otorgar la autorización para el Tratamiento, previo ejercicio del derecho del menor de su derecho de ser escuchado, opinión que deberá valorar teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto.
2.2 Tratamiento de datos sensibles:
EXTRUSIONES S.A. observará estrictamente las limitaciones legales al Tratamiento de datos sensibles, por lo cual se asegurará que:
a) El Titular haya dado su autorización explícita a dicho tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización.
b) El Tratamiento sea necesario para salvaguardar el interés vital del Titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización.
c) El Tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad. En estos eventos, los datos no se podrán suministrar a terceros sin la autorización del Titular.
d) El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
e) El Tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares.
2.3 Video vigilancia EXTRUSIONES S.A. utiliza diversos medios de video vigilancia instalados en diferentes
lugares de sus instalaciones u oficinas.

La información recolectada se utilizará para fines de seguridad de las personas, los bienes e instalaciones. Esta información puede ser empleada como prueba en cualquier tipo de proceso ante cualquier tipo de autoridad y organización.

3. FINALIDADES DEL TRATAMIENTO.

Las finalidades del Tratamiento de Datos personales realizada por EXTRUSIONES S.A. son
las siguientes:
• Prestación de los servicios ofrecidos por EXTRUSIONES S.A.
• Ejecución de los contratos suscritos con EXTRUSIONES S.A.
• Servicio al cliente y mercadeo.
• Envío de información relacionada con novedades, promociones y temas de interés para los clientes de EXTRUSIONES S.A.
• Envío de información relacionada con la relación contractual.
• Registro de información estadística de clientes de EXTRUSIONES S.A.
• Registro de información de proveedores y contratistas.
• Registro de información de los empleados de contratistas que prestan servicios en las empresas de los clientes y/o proveedores EXTRUSIONES S.A.
• Estadísticas contractuales y de servicios ofrecidos o prestados.
• Comunicación, consolidación, organización, actualización, control, acreditación, aseguramiento, estadística, reporte, mantenimiento, interacción, y gestión de las actuaciones, informaciones y actividades en las cuales se relacionan o vinculan a los proveedores, contratistas y sus empleados con EXTRUSIONES S.A.
• Ejecución del contrato de trabajo correspondiente.
• Dar cumplimiento a las obligaciones que se deriven de la relación comercial, tales como, realizar todos los trámites necesarios, ante las autoridades, tales como, realizar los trámites ante la Dirección de Impuestos y Aduanas Nacionales–DIAN, o cualquier otra actividad derivada de la legislación aplicable.
• Para notificar a familiares, a la línea de atención 123 y cualquier servicio de atención prioritaria en caso de emergencias durante su estancia en las instalaciones de EXTRUSIONES S.A.
• Comunicación en general, registro, capacitaciones, autorizaciones y para la gestión de las actividades o actuaciones en las cuales se relacionan los empleados y sus familiares con EXTRUSIONES S.A.
• Comunicación, registro, archivo, organización tramitación y gestión de las actuaciones, estrategias, y actividades en las que se vinculan los accionistas de EXTRUSIONES S.A.
• Acceder, consultar, comparar y evaluar toda la información que sobre los Titulares se encuentre almacenada en las bases de datos de cualquier central de riesgo crediticio, financiero, de antecedentes judiciales o de seguridad legítimamente constituida, de naturaleza estatal o privada, nacional o extranjera.
• Investigar, verificar y validar la información suministrada por los Titulares, con cualquier información de la que EXTRUSIONES S.A. legítimamente disponga.
En caso de que EXTRUSIONES S.A. no se encuentre en capacidad de realizar el tratamiento por sus propios medios, podrá transferir los datos recopilados para que sean tratados por un tercero, previa notificación a los Titulares de los datos recopilados, el cual será el encargado del tratamiento y deberá garantizar condiciones idóneas de confidencialidad y seguridad de la información transferida para el tratamiento.

4. DERECHOS QUE LE ASISTEN COMO TITULAR DE LOS DATOS.

De conformidad con lo establecido en el artículo 8 de la Ley 1581 de 2012 y el decreto 1377 de 2013, el Titular de los datos personales tiene los siguientes derechos:
a) Conocer, actualizar y rectificar sus datos personales frente a EXTRUSIONES S.A., en su calidad de Responsable del Tratamiento. Este derecho podrá ejercerlo frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no hay asido autorizado.
b) Solicitar prueba de la autorización otorgada a EXTRUSIONES S.A., en su calidad de Responsable del Tratamiento, salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo establecido en el artículo 10 de la Ley 1581 de 2012 (o en las normas que la reglamenten, adicionen, complementen, modifiquen o deroguen), o cuando se haya presentado la continuidad del tratamiento según lo previsto en el numeral 4° del
artículo 10 del Decreto 1377 de 2013.
c) Ser informado por EXTRUSIONES S.A., previa solicitud, respecto del uso que le ha dado a sus datos personales;
d) Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la Ley 1581 de 2012, una vez haya agotado el trámite de consulta o reclamo ante EXTRUSIONES S.A.
e) Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias a la ley y la Constitución.
f) Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento.

5. ÁREA RESPONSABLE DE LA ATENCIÓN DE PETICIONES, CONSULTAS Y RECLAMOS.

El Área comercial de EXTRUSIONES S.A. será responsable de la atención de peticiones, consultas, reclamos, quejas o para el ejercicio de los derechos del Titular de la información personal.

6. PROCEDIMIENTO PARA EJERCER LOS DERECHOS DEL TITULAR DE LOS DATOS

6.1 Procedimiento para acceso y de consulta. El Titular de los datos, o sus causahabientes, podrán consultar la información que repose en las bases de datos en posesión de EXTRUSIONES S.A., para lo cual deberán formular la
correspondiente petición, por escrito, y radicarla ante el Área encargada de EXTRUSIONES de lunes a viernes en horario 7:00 a.m. a 5:00 p.m., en la Calle 25 No.41-166 de la ciudad de Itagui.
Para evitar que terceros no autorizados accedan a la información personal del Titular de los datos, será necesario previamente establecer la identificación del Titular. Cuando la solicitud sea formulada por persona distinta del Titular y no se acredite que la misma actúa en representación de aquél, se tendrá por no presentada.
La consulta será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.
6.2 Procedimiento para solicitar actualización, corrección, supresión, revocatoria de la autorización o para presentar reclamos El Titular, o sus causahabientes, que consideren que la información contenida en las base de datos de EXTRUSIONES debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en esta ley, podrán presentar un reclamo ante EXTRUSIONES el cual será tramitado bajo las siguientes reglas, de conformidad con el artículo 15 de la ley 1581 de 2012:
a) El reclamo se formulará mediante solicitud radicada radicarla ante el Área Comercial de EXTRUSIONES S.A. de lunes a viernes en horario 7:00 a.m. a 5:00 p.m. , en la Calle 25 No. 41-166 de la ciudad de Itagui.
b) Para evitar que terceros no autorizados accedan a la información personal del Titular de los datos, será necesario previamente establecer la identificación del Titular. Cuando la solicitud sea formulada por persona distinta del Titular y no se acredite que la misma actúa en representación de aquél, se tendrá por no presentada.
c) La solicitud debe contener la siguiente información:
(i) La identificación del Titular.
(ii) Los datos de contacto (dirección física y/o electrónica y teléfonos de contacto).
(iii) Los documentos que acrediten la identidad del Titular, o la representación de su representante.
(iv) La descripción clara y precisa de los datos personales respecto de los cuales el Titular busca ejercer alguno de los derechos.
(v) La descripción de los hechos que dan lugar al reclamo.
(vi) Los documentos que se quiera hacer valer.
(vii) Firma, número de identificación y huella.
(viii) Radicación en original.
d) Si el reclamo resulta incompleto, EXTRUSIONES S.A. requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.
e) Si el Área que recibe el reclamo no sea competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado.
f) Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.
g) El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
6.3 Supresión de Datos El Titular tiene el derecho, en todo momento, a solicitar a EXTRUSIONES S.A. la supresión
(eliminación) de sus datos personales cuando:
a) Considere que los mismos no están siendo tratados conforme a los principios, deberes y obligaciones previstas en la Ley 1581 de 2012.
b) Hayan dejado de ser necesarios o pertinentes para la finalidad para la cual fueron recolectados.
c) Se haya superado el periodo necesario para el cumplimiento de los fines para los que fueron recolectados.
d) Esta supresión implica la eliminación total o parcial de la información personal de acuerdo con lo solicitado por el Titular en los registros, archivos, bases de datos o tratamientos realizados por EXTRUSIONES S.A.
e) Es importante tener en cuenta que el derecho de cancelación no es absoluto y el responsable puede negar el ejercicio del mismo cuando:
(i) La solicitud de supresión de la información no procederá cuando el Titular tenga un deber legal o contractual de permanecer en la base de datos.
(ii) La eliminación de datos obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas.
(iii) Los datos sean necesarios para proteger los intereses jurídicamente tutelados del Titular, para realizar una acción en función del interés público, o para cumplir con una obligación legalmente adquirida por el Titular.
6.4 Revocatoria de la Autorización.
El Titular de los datos personales puede revocar el consentimiento al Tratamiento de sus datos personales en cualquier momento, siempre y cuando no lo impida una disposición legal

7. SEGURIDAD DE LA INFORMACIÓN.

En desarrollo del principio de seguridad, EXTRUSIONES S.A. ha adoptado medidas técnicas, administrativas y humanas razonables para proteger la información de los Titulares e impedir adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. El acceso a los datos personales está restringido a sus Titulares y EXTRUSIONES S.A. no permitirá el acceso a esta información por parte de terceros en condiciones diferentes a las anunciadas, a
excepción de un pedido expreso del Titular de los datos o personas legitimadas de conformidad con la normatividad nacional. No obstante lo anterior, EXTRUSIONES S.A. no será responsable por cualquier acción tendiente a infringir las medidas de seguridad establecidas para la protección de los Datos Personales.

8. VIGENCIA DE LA POLÍTICA.

La Política rige a partir del 19 de julio de 2016.
Por regla general el término de las autorizaciones sobre el uso de los datos personales se entiende por el término de la relación comercial o de la vinculación al servicio y durante el ejercicio del objeto social de la compañía.

POLÍTICA CORPORATIVA DE SEGURIDAD DE LA INFORMACIÓN.

         1. PROPÓSITO.

Establecer los lineamientos de seguridad de la información de EXTRUSIONES para las actividades relacionadas con su actividad comercial y gestionar las normas Corporativas a través de la Alta dirección para salvaguardar la Confidencialidad, Disponibilidad e Integridad de la información.

        2. ALCANCE

La alta dirección aprueba esta política y la divulga en Extrusiones, con alcance a todas las unidades de negocio y partes interesadas para su debida aplicación y cumplimiento. Además, se compromete a asignar los recursos necesarios para su implementación y mejora continua.

        3. METODOLOGÍA (MODELO METODOLÓGICO DE LA GESTIÓN DE LOS RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN)

En EXTRUSIONES se establece una Estructura de la Gestión de Riesgos de Seguridad y de la información, para lo cual la se ha adoptado las buenas prácticas de la norma ISO 27005 Sistema de Gestión de los riesgos de seguridad de la información. Esta norma contiene las siguientes etapas “Proceso de gestión de riesgos” así:

Establecer el contexto del riesgo: Comprende toda la información acerca de la Empresa que es pertinente, mediante la evaluación de las condiciones del entorno (interno/externo) que podrían generar eventos que impacten de forma positiva o negativa el cumplimiento de los objetivos de los procesos.

Identificación de riesgos: El proceso de la identificación del riesgo debe ser permanente e interactivo basado en el resultado del análisis del Contexto y debe partir de la claridad de los objetivos estratégicos de la Empresa para la obtención de resultados, estableciendo los agentes generadores, las causas y los efectos de su ocurrencia.

Valoración de riesgos
Evaluación de los riesgos: Para realizar la Evaluación del Riesgo se debe tener en cuenta la posición del riesgo en la Matriz, según su grado de criticidad.

Planes de tratamiento: El tratamiento de los riesgos son las acciones encaminadas a gestionarlos con el fin de mitigarlos y controlarlos de la manera más efectiva para la Empresa.

Aceptación de los riesgos: Los líderes de procesos aceptan los niveles del riesgo y sus controles aplicables.

3.1  DECLARACIÓN DE LA POLÍTICA

La alta dirección de EXTRUSIONES considera la información como activo estratégico para las operaciones del negocio, por lo tanto, se compromete a apoyar las actividades necesarias para protegerla con medidas de seguridad, aumentando la confianza de las operaciones para los clientes, socios, directivos, empleados, el gobierno y las demás partes interesadas. Este compromiso incluye:

  • Proteger la integridad de la información en sus procesos del negocio.
  • Establecer mecanismos de disponibilidad de la información y servicios de tecnología de la

información.

  • Generar atributos de confidencialidad de la información en actividades, procesos y sedes del

negocio.

  • Generar capacidad de cumplimiento de los requisitos legales en materia de derechos de propiedad

intelectual, privacidad y protección de la información de datos personales como lo requiere la legislación aplicable a la compañía.

La alta dirección demuestra este compromiso con el apoyo y suministro de los recursos necesarios para el logro de los objetivos de seguridad de la información, con la aprobación y difusión de las políticas de seguridad de la información.

Las políticas para el uso de la información y de los servicios de procesamiento se describen en el documento Manual de Políticas de Seguridad de la Información, y son aplicables a los empleados, contratistas y visitantes a las instalaciones de EXTRUSIONES, así como las partes interesadas con accesos a través de las redes disponibles.

NOTA: Las políticas y lineamientos contenidos en este documento se basan en los principios internacionalmente aceptados para seguridad de la información. Los cuales están incluidos en la norma internacional ISO 27001:2013 Sistema de gestión de seguridad de la información e ISO 27002 Código de práctica.

  3.2 ALCANCEDETIC.

La Política Corporativa de Seguridad de la información incluye los activos de información descritos:

  • Infraestructura (Redes, comunicaciones, enlaces, data center, nube).
  • Sistemas de información:
  • Información (Transaccional, en movimiento, en reposo).
  • Servicios tercerizados (proveedores de servicios de T.I.).
  • Personas (empleados, partes interesadas, terceras partes).

          3.3 CUMPLIMIENTO

Esta política hace parte del gobierno corporativo y se determina de estricto cumplimiento del alcance y la estructura Organizacional, al igual que sus roles y responsabilidades.

      3.4 ROLES Y RESPONSABILIDADES:

Ver documento de Roles y responsabilidades de la seguridad de la información.

     3.5 MARCO NORMATIVO Y LEGAL

El marco normativo que contempla estas políticas se enmarca en las buenas prácticas de las siguientes normas internacionales:

Norma ISO 27001:2013: especifica los requisitos para establecer, mantener y mejorar un sistema de gestión de seguridad de la información dentro del contexto de la Compañía.

NORMA ISO 27005: especifica la metodología para la gestión de los riesgos de seguridad de la información.

COBIT 5: Objetivos de seguridad de la información y la tecnología relacionada, la cual provee un marco de trabajo integral que ayuda a las empresas a alcanzar sus objetivos para el gobierno y la gestión de las T.I Corporativas, además de crear valor a las T.

 3.6 MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

Este manual se relaciona con otras que direccionan las actividades propias de EXTRUSIONES y son las aplicables a sus procesos y las características de estos, las políticas conexas descritas en este manual son las siguientes:

  • Control de acceso (norma ISO27001 numeral 9)

3.6.2  Clasificación (y manejo) de la información (norma ISO27001 numeral 8.2)

3.6.3  Seguridad física y del entorno (norma ISO27001 numeral 11)

3.6.4  Copias de respaldo (norma ISO27001 numeral 12.3)

3.6.5  Transferencia de información (norma ISO27001 numeral 13.2) *

3.6.6  Protección contra códigos maliciosos (norma ISO27001 numeral 12.2) *

3.6.7  Gestión de vulnerabilidades técnicas (norma ISO27001 numeral 12.6.1) *

3.6.8  Controles criptográficos (norma ISO27001 numeral 10) *

3.6.9  Seguridad de las redes y comunicaciones (norma ISO27001 numeral 13) *

3.6.10  Privacidad y protección de información de datos personales (norma ISO27001 numeral 18.1.4)

3.6.11  Conexión remota (norma ISO27001 numeral A 6.2.2)

3.6.12  Relaciones con los proveedores (norma ISO27001 numeral 15)

3.6.13  Mantenimiento y obsolescencia tecnológica (norma ISO27001 numeral A 11.2.4)

Políticas orientadas a los usuarios finales:

3.6.14  Uso aceptable de los activos (norma ISO27001 numeral 8.1.3)

3.6.15  Política de escritorio y pantalla limpia (norma ISO27001 numeral 11.2.9)

3.6.16  Dispositivos móviles (norma ISO27001 numeral 6.2) *

3.6.17  Restricciones sobre instalaciones y uso del software (norma ISO27001 numeral 12.6.2)

3.6.18  Teletrabajo (norma ISO27001 numeral A.6.2.2)

Estas políticas se comunican a los empleados y a las partes externas interesadas, mediante campaña de toma de conciencia, educación y formación en la seguridad de la información, según las buenas prácticas de ISO 27001 numeral 7.2.2.

Los numerales señalados con * contienen directrices enmarcados en la seguridad de la información.