politica-de-seguridad-de-la-informacion-para-preasociados-y-

1 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA PREASOCIADOS Y ASOCIADOS

2 COOPERATIVA NACIONAL DE DROGUISTAS DETALLISTAS COOPIDROGAS 2025 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA PROVEEDORES

3 1. POLÍTICA DEL SISTEMA DE ADMINISTRACIÓN DEL RIESGOS DE SEGURIDAD DE LA INFORMACIÓN – SARSI/SGSI En el marco de la implementación y fortalecimiento del Sistema de Administración del Riesgo de Seguridad de la Información – SARSI, la Cooperativa Nacional de Droguistas Detallistas – COOPIDROGAS, define la Seguridad de la Información como la preservación de la Confidencialidad, la Integridad y la Disponibilidad de la información. En coherencia con esta definición, COOPIDROGAS adopta la presente Política del Sistema de Administración del Riesgo de Seguridad de la Información – SARSI, reconocida como su Sistema de Gestión de Seguridad de la Información (SGSI). Esta política establece los principios y lineamientos generales que orientan la protección, gestión y uso adecuado de los activos de información en todos los niveles de la organización, promoviendo una cultura institucional de seguridad, responsabilidad y mejora continua. La Cooperativa garantiza el cumplimiento de la legislación vigente y de las buenas prácticas en materia de Seguridad de la Información, Seguridad Informática y Ciberseguridad, mediante la adopción de medidas técnicas, humanas y administrativas destinadas a proteger los registros y activos de información frente a su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento, asegurando permanentemente su confidencialidad, integridad y disponibilidad. En desarrollo de estas políticas (General y Especificas), se establecen las siguientes directrices generales que orientan las actividades de los colaboradores, contratistas y terceras partes vinculadas a la gestión y protección de la información. Estas directrices son de obligatorio cumplimiento, han sido aprobadas por la Alta Dirección o quien haga sus veces, se publican mediante los medios institucionales definidos por COOPIDROGAS, se comunican a través de los canales establecidos y deben ser conocidas y aplicadas, según aplique, por todos los colaboradores, asociados, preasociados, proveedores, contratistas, terceros y demás partes interesadas pertinentes. Esta política será revisada al menos una vez al año por el Departamento de Riesgos y Cumplimiento, o cuando se presenten cambios significativos. 1.1. Política General • Todos los colaboradores, asociados, preasociados, proveedores, contratistas, terceros y demás partes interesadas pertinentes, según aplique, deben conocer, comprender y cumplir las disposiciones establecidas en la “POLÍTICA DEL SISTEMA DE ADMINISTRACIÓN DEL RIESGOS DE SEGURIDAD DE LA INFORMACIÓN – SARSI/SGSI” (Política General/Políticas Específicas) y sus documentos asociados. • Es obligatorio el cumplimiento de los procedimientos, formatos, instructivos, controles y, en general, de toda la documentación y lineamientos que integran el Sistema de Gestión de Seguridad de la Información (SGSI) de COOPIDROGAS, así como de las normas internas relacionadas con la gestión, tratamiento y protección de la información. • Todo el personal —incluyendo trabajadores, contratistas y terceros— con acceso a la información o a los recursos tecnológicos de COOPIDROGAS, debe informar oportunamente sobre los riesgos en la seguridad de la información, Seguridad Informática y Ciberseguridad a los que tenga conocimiento, con ocasión del desarrollo de sus actividades. • Todos los trabajadores, contratistas y terceras partes deben proteger los activos de información y la información misma frente al acceso, uso, alteración o destrucción no autorizada, garantizando su confidencialidad, integridad y disponibilidad mediante la aplicación de los controles establecidos en el Sistema de Administración del Riesgo de Seguridad de la Información – SARSI. • Participar activamente en los programas y actividades de capacitación, sensibilización, inducción y reinducción en Seguridad de la Información, promovidos por la Departamento de Riesgos y Cumplimiento y relacionadas con el Sistema de Administración del Riesgos de Seguridad de la Información – SARSI.

4 • Los recursos tecnológicos, incluidos las redes, sistemas, equipos, servicios de comunicación y cualquier otro medio provisto por COOPIDROGAS, deben utilizarse exclusivamente para el desarrollo de las funciones laborales y fines institucionales. Se prohíbe su uso personal, indebido, no autorizado o con fines distintos a los establecidos por la Cooperativa. • Todos los eventos e incidentes de seguridad de la información deben ser reportados de forma inmediata a la Mesa de Ayuda (correo electrónico: mesadeayuda@coopidrogas.com.co o teléfono (1) 4375150 Ext. 1315) y notificados al área de Riesgos y Cumplimiento o a la Jefatura de Seguridad de la Información e Informática, mediante los correos respectivos a.galeano@coopidrogas.com.co y j.leiva@coopidrogas. com.co. • Todo cambio, actualización o implementación significativa que pueda afectar los recursos tecnológicos o el intercambio de información, ya sea de manera interna o externa, y que pueda comprometer su seguridad, deberá gestionarse conforme al Procedimiento de Control de Cambios establecido por la Cooperativa. • Se prohíbe el acceso o navegación en sitios web con contenidos no relacionados con las labores institucionales, tales como pornografía, apuestas, drogas, juegos, webproxys, hacking o cualquier otro de naturaleza inapropiada o riesgosa para la seguridad de la información. • Queda prohibida la instalación, modificación o eliminación de software (gratuito, propio o licenciado) en los equipos o infraestructura tecnológica de la Cooperativa, por personal que no esté autorizado o delegado para realizar esta actividad. • El incumplimiento de las obligaciones, controles y medidas de seguridad establecidas por la Cooperativa será considerado una falta disciplinaria o contractual, sujeta a las sanciones definidas en la normativa vigente y en los reglamentos internos. 1.2. RELACIONES CON LOS ASOCIADOS 1.2.1. Seguridad de la Información en las Relaciones con los Asociados Con ocasión a su vinculación, los asociados de la Cooperativa Nacional de Droguistas Detallistas – COOPIDROGAS, deben velar por la preservación de la confidencialidad, integridad y disponibilidad de la información Para esto debe seguir los siguientes lineamientos: • Se recomienda que el acceso a los sistemas de información y/o transacciones electrónicas se realice desde equipos o dispositivos seguros, los cuales deben contar como mínimo con un sistema operativo y un antivirus debidamente licenciado y actualizado, esto con la finalidad de prevenir cualquier incidente de seguridad que pudiese llegar a presentarse y comprometer la seguridad de la información. • Las contraseñas proporcionadas a los usuarios para el acceso a los sistemas de información o cuentas de correo electrónicas son personales e intransferibles, por lo que se prohíbe su divulgación o comunicación a personas no autorizadas. Cuando el usuario accede por primera vez con la contraseña asignada es necesario que la cambie. Cuando sea necesario restaurar o recuperar la contraseña, el usuario debe comunicarse con el área de Centro de Atención Tecnológico al Asociado – CATA a través de la línea local 601-518-8888 marcando la opción 2 y a nivel nacional 01-8000-911-199 marcando la opción 2 o al correo electrónico cata@coopidrogas.com.co • Las contraseñas utilizadas para acceder a los sistemas de información a los que tengan acceso con ocasión a su vinculación, tal como el Sistema de Integración y Promoción – SIP, debe ser protegidas siguiendo las buenas prácticas y recomendaciones dadas en la presente política. • Los mensajes y la información contenida en los buzones de correo serán administrados entre las partes y cada asociado, como responsable de su buzón, debe mantener solamente los mensajes relacionados con el desarrollo de sus actividades.

5 Todo correo sospechoso y/o de dudosa procedencia debe ser reportado a través del Centro de Atención Tecnológico al Asociado – CATA: Mediante la línea local 601-518-8888 marcando la opción 2 y nivel nacional 01-8000-911-199 marcando la opción 2 o al correo electrónico cata@coopidrogas.com.co Las cuentas de correo electrónico asignadas a los asociados estarán bajo su responsabilidad, por ende, deben propender por mantener buenos hábitos en su uso y seguir las siguientes recomendaciones: → Cambiar las contraseñas de su correo electrónico con regularidad. → No compartir las contraseñas. → Asignar claves robustas y con una longitud mínima de 10 caracteres, utilizando letras mayúsculas, minúsculas, números y símbolos. → No almacenar las contraseñas en los navegadores web. → No abrir correos electrónicos de remitentes desconocidos. → No dar clic directamente en los enlaces enviados en el cuerpo de un correo electrónico, digite directamente sobre su navegador la dirección a la que desee acceder. → No responda mensaje de correo basura (Spam) y/o mensajes de dudosa procedencia o Phishing, de lo contrario confirmará que la cuenta está activa y podrá ser foco de futuros ataques. Debe marcarse este tipo de mensajes como correo no deseado (Spam) o como phishing y reportarse inmediatamente a través de los canales dispuestos para tal fin. → No reenvié mensajes en caso de tratarse de cadenas de mensajes. → Cuando se requiera enviar mensajes a múltiples destinatarios, debe utilizarse la opción de copia oculta (CCO), en lugar de la copia normal CC. La copia oculta impide que los destinatarios vean a quién más ha sido enviado el mensaje. De esta forma evitaremos que personas no autorizadas puedan obtener las cuentas de correo para enviar mensajes de Spam. → Al recibir mensajes con archivos adjuntos, estos deben analizarse cuidadosamente antes de abrirlos mediante el uso del antivirus instalado en los equipos, esto con la finalidad de detectar y eliminar cualquier programa malicioso que pudiese llegar a través del correo electrónico. → Evite en todo momento el uso de redes públicas para realizar transacciones electrónicas y/o usar su cuenta de correo, ya que el tráfico de datos puede ser interceptado por cualquier usuario de esta red. Como alternativa, es preferible utilizar redes de telefonía móvil como las de 3G, 4G o 5G, de acuerdo con las capacidades del operador disponible. → La Cooperativa velará por la implementación de medidas de protección o controles de seguridad sobre los buzones de correo electrónico, esto con la finalidad de reducir cualquier ataque informático que pudiese llegar a comprometer la seguridad de la información. → Mientras exista el vínculo como asociado, COOPIDROGAS preservará la información contenida en los buzones de correo y sistemas de información mediante copias de respaldo. → El asociado conoce y acepta la normativa relativa al uso del correo corporativo, procurando por su uso apropiado y las demás políticas establecidas por la Cooperativa.

6 → Los asociados podrán notificar cualquier incidente de seguridad de la información de los que tenga conocimiento, a través de los canales de la línea de atención al cliente quienes se encargarán de su gestión y solución. Algunos ejemplos de incidencias son: la caída de los sistemas de información, acceso a módulos que permitan visualizar datos personales a usuarios no autorizadas, la pérdida de datos o la destrucción total o parcial de soportes, el conocimiento por terceras personas de contraseñas, entre otros. 1.3. RÉGIMEN SANCIONATORIO DEL MANUAL SARSI Cualquier incumplimiento de las políticas y/o procedimientos de la Administración de Riesgos será sancionado de acuerdo con el Reglamento Interno de Trabajo y demás normas administrativas bajo las cuales estén obligados los trabajadores de COOPIDROGAS, sin perjuicio de las sanciones penales, fiscales y administrativas correspondientes. 1.4. REVISIÓN Y ACTUALIZACIÓN El presente documento será revisado por la alta gerencia (Comité de Riesgos y Consejo de Administración) y actualizado por lo menos una vez cada doce meses por el Departamento de Riesgos y Cumplimiento, siempre que se produzcan cambios significativos, con la finalidad de asegurar su conveniencia, adecuación y eficacia continua. Así mismo, debe adaptarse en todo momento a la normativa legal en materia de Seguridad de la Información, Seguridad Informática y Ciberseguridad. Los lineamientos contenidos en este documento deberán ser divulgados a todos los trabajadores, contratistas y partes interesadas, para que sean conocidos, aceptados y cumplidos. El incumplimiento de estas se considerará un incidente de seguridad, que según sea el caso podrá dar lugar a un proceso disciplinario y se convertirá en una causa válida de terminación del contrato, sin perjuicio de la iniciación de otro tipo de acciones a las que haya lugar. La presente política rige a partir de su promulgación, para el mes de noviembre del 2025, según aprobación del Consejo de Administración. Cordialmente, DIRECCIÓN DE RIESGOS Y CUMPLIMIENTO COOPIDROGAS

7

RkJQdWJsaXNoZXIy MTE2ODQ5Nw==