politica-de-seguridad-de-la-informacion-para-proveedores

1 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA PROVEEDORES

2 COOPERATIVA NACIONAL DE DROGUISTAS DETALLISTAS COOPIDROGAS 2025 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA PROVEEDORES

3 1. POLÍTICA DEL SISTEMA DE ADMINISTRACIÓN DEL RIESGOS DE SEGURIDAD DE LA INFORMACIÓN – SARSI/SGSI En el marco de la implementación y fortalecimiento del Sistema de Administración del Riesgo de Seguridad de la Información – SARSI, la Cooperativa Nacional de Droguistas Detallistas – COOPIDROGAS, define la Seguridad de la Información como la preservación de la Confidencialidad, la Integridad y la Disponibilidad de la información. En coherencia con esta definición, COOPIDROGAS adopta la presente Política del Sistema de Administración del Riesgo de Seguridad de la Información – SARSI, reconocida como su Sistema de Gestión de Seguridad de la Información (SGSI). Esta política establece los principios y lineamientos generales que orientan la protección, gestión y uso adecuado de los activos de información en todos los niveles de la organización, promoviendo una cultura institucional de seguridad, responsabilidad y mejora continua. La Cooperativa garantiza el cumplimiento de la legislación vigente y de las buenas prácticas en materia de Seguridad de la Información, Seguridad Informática y Ciberseguridad, mediante la adopción de medidas técnicas, humanas y administrativas destinadas a proteger los registros y activos de información frente a su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento, asegurando permanentemente su confidencialidad, integridad y disponibilidad. En desarrollo de estas políticas (General y Especificas), se establecen las siguientes directrices generales que orientan las actividades de los colaboradores, contratistas y terceras partes vinculadas a la gestión y protección de la información. Estas directrices son de obligatorio cumplimiento, han sido aprobadas por la Alta Dirección o quien haga sus veces, se publican mediante los medios institucionales definidos por COOPIDROGAS, se comunican a través de los canales establecidos y deben ser conocidas y aplicadas, según aplique, por todos los colaboradores, asociados, preasociados, proveedores, contratistas, terceros y demás partes interesadas pertinentes. Esta política será revisada al menos una vez al año por el Departamento de Riesgos y Cumplimiento, o cuando se presenten cambios significativos. 1.1. Política General • Todos los colaboradores, asociados, preasociados, proveedores, contratistas, terceros y demás partes interesadas pertinentes, según aplique, deben conocer, comprender y cumplir las disposiciones establecidas en la “POLÍTICA DEL SISTEMA DE ADMINISTRACIÓN DEL RIESGOS DE SEGURIDAD DE LA INFORMACIÓN – SARSI/SGSI” (Política General/Políticas Específicas) y sus documentos asociados. • Es obligatorio el cumplimiento de los procedimientos, formatos, instructivos, controles y, en general, de toda la documentación y lineamientos que integran el Sistema de Gestión de Seguridad de la Información (SGSI) de COOPIDROGAS, así como de las normas internas relacionadas con la gestión, tratamiento y protección de la información. • Todo el personal —incluyendo trabajadores, contratistas y terceros— con acceso a la información o a los recursos tecnológicos de COOPIDROGAS, debe informar oportunamente sobre los riesgos en la seguridad de la información, Seguridad Informática y Ciberseguridad a los que tenga conocimiento, con ocasión del desarrollo de sus actividades. • Todos los trabajadores, contratistas y terceras partes deben proteger los activos de información y la información misma frente al acceso, uso, alteración o destrucción no autorizada, garantizando su confidencialidad, integridad y disponibilidad mediante la aplicación de los controles establecidos en el Sistema de Administración del Riesgo de Seguridad de la Información – SARSI. • Participar activamente en los programas y actividades de capacitación, sensibilización, inducción y reinducción en Seguridad de la Información, promovidos por la Departamento de Riesgos y Cumplimiento y relacionadas con el Sistema de Administración del Riesgos de Seguridad de la Información – SARSI. • Los recursos tecnológicos, incluidos las redes, sistemas, equipos, servicios de comunicación y cualquier otro medio provisto por COOPIDROGAS, deben utilizarse exclusivamente para el desarrollo de las funciones laborales y fines institucionales. Se prohíbe su uso personal, indebido, no autorizado o con fines distintos a los establecidos por la Cooperativa.

4 • Todos los eventos e incidentes de seguridad de la información deben ser reportados de forma inmediata a la Mesa de Ayuda (correo electrónico: mesadeayuda@coopidrogas.com.co o teléfono (1) 4375150 Ext. 1315) y notificados al área de Riesgos y Cumplimiento o a la Jefatura de Seguridad de la Información e Informática, mediante los correos respectivos a.galeano@coopidrogas.com.co y j.leiva@coopidrogas. com.co. • Todo cambio, actualización o implementación significativa que pueda afectar los recursos tecnológicos o el intercambio de información, ya sea de manera interna o externa, y que pueda comprometer su seguridad, deberá gestionarse conforme al Procedimiento de Control de Cambios establecido por la Cooperativa. • Se prohíbe el acceso o navegación en sitios web con contenidos no relacionados con las labores institucionales, tales como pornografía, apuestas, drogas, juegos, webproxys, hacking o cualquier otro de naturaleza inapropiada o riesgosa para la seguridad de la información. • Queda prohibida la instalación, modificación o eliminación de software (gratuito, propio o licenciado) en los equipos o infraestructura tecnológica de la Cooperativa, por personal que no esté autorizado o delegado para realizar esta actividad. • El incumplimiento de las obligaciones, controles y medidas de seguridad establecidas por la Cooperativa será considerado una falta disciplinaria o contractual, sujeta a las sanciones definidas en la normativa vigente y en los reglamentos internos. 1.2. RELACIONES CON LOS PROVEEDORES 1.2.1. Seguridad de la Información en las Relaciones con los Proveedores • La Cooperativa establecerá los requisitos de seguridad de la información para mitigar los riesgos asociados con el acceso de proveedores a los activos de información a través de los contratos establecidos y firmados previamente. • Los proveedores tecnológicos que requieran conectarse de manera remota a los activos de información de la Cooperativa, en pro de desarrollar sus funciones, deben realizarlo a través de canales seguros mediante la utilización de una VPN asignada por la Cooperativa. El Departamento de Servicios de Infraestructura realizará el acompañamiento y monitoreo de los proveedores tecnológicos que estén bajo su autonomía contractual, de igual manera cada una de las área que realicen contrataciones con proveedores deberán velar por la seguridad y control de los activos de información a los cuales tengan acceso los proveedores con ocasión al desarrollo de su contrato y asignando los mínimos privilegios requeridos para el desarrollo de las actividades que ha sido contratados. Una vez terminada la relación contractual, deben retirarse inmediatamente los accesos siguiendo el procedimiento “TI-ST-04 GESTIÓN DE USUARIOS”. • Los proveedores tecnológicos que brinden soporte a la infraestructura tecnológica de COOPIDROGAS, antes de aplicar cualquier cambio en la infraestructura, deben estar plenamente autorizados y siempre que aplique, seguir el procedimiento de “TI-01 CONTROL DE CAMBIOS” definido por la Cooperativa, esto con la finalidad de garantizar la continuidad de las operaciones y mantener un control apropiado sobre los cambios en las plataformas y servicios. • Los proveedores deben notificar cualquier amenaza, vulnerabilidad, riesgo, evento o incidente de seguridad de la información de los que tenga conocimiento, con ocasión del desarrollo de sus actividades, informando inmediatamente al supervisor del contrato y quien reportará las novedades al Departamento de Riesgos y Cumplimiento, para que estos tomen las acciones pertinentes siguiendo el procedimiento de “GG-RC-16 Gestión de Incidentes de Seguridad de la Información”. • Los proveedores tecnológicos deben contar con Planes de Continuidad del Negocio y Planes de Recuperación de Desastres – DRP, que permitan garantizar la continuidad de los servicios y el restablecimiento de las operaciones en el menor tiempo posible.

5 • COOPIDROGAS podrá auditar, cuando así lo considere necesario, los procesos y controles de los proveedores relacionados con el acuerdo contractual que se encuentre vigente, esto con la finalidad de comprobar que son proveedores confiables y cuentan con los niveles de calidad y seguridad apropiados para brindar un buen servicio. • • Toda herramienta tecnológica y software desarrollada por personal interno de COOPIDROGAS y/o contratado a través de un proveedor o tercero, guardará los derechos de autor y la propiedad intelectual del código fuente a nombre de COOPIDROGAS, cediendo los derechos como empresa contratante del servicio. Los equipos de cómputo de propiedad de contratistas, proveedores y terceros que requieran conectarse a la red de la Cooperativa, dada la relación contractual, y que tengan información de COOPIDROGAS o requieran acceder a esta, deben seguir los siguientes lineamientos: → Estar previamente autorizados por el Departamento de Servicios de Infraestructura y/o el Departamento de Riesgos y Cumplimiento. → Contar con un sistema operativo y antivirus debidamente licenciado y actualizado. → Acceder a la red localmente, a través del Control de Acceso a la red - NAC. En caso de requerir un acceso remoto, este será realizado a través de la VPN. → Siempre que sea pertinente, los proveedores estarán en un segmento de red diferente a la red utilizada por los trabajadores. → Firmar acuerdos de confidencialidad y protección de datos personales. De igual manera, no deben: • Acceder a los recursos compartidos de la Cooperativa, tales como impresoras, servidores de archivos y/o recursos compartidos en la red, si estos no son estrictamente necesario para el cumplimiento de sus actividades. 1.2.2. Gestión de la Prestación de Servicios de Proveedores Teniendo en cuenta que la relación con proveedores y terceros es fundamental para la operación de la Cooperativa y como tal, considerará la participación de los proveedores y terceros que tengan acceso, administración o control de la información de COOPIDROGAS, se establecen una serie de lineamientos que norman las relaciones contractuales y dan cumplimiento a la seguridad de la información en las siguientes etapas: 1) Previa a la contratación, 2) Durante la relación contractual, y 3) Al finalizar el contrato. Así como de inspección y control de la prestación del servicio: • Todos los contratos deben contemplar cláusulas de confidencialidad y protección de datos personales. Para aquellos proveedores con los cuales se intercambie información y/o bases de datos que contengan información semiprivada, privada y/o sensible en el marco de la ley 1581 de 2012, se deben establecer acuerdos de confidencialidad y contratos de transmisión de datos. • Se deben plasmar claramente las condiciones del contrato o acuerdos de prestación de servicios. Cuando existan cambios en los servicios que prestan las terceras partes, estos deben ser documentados e incluidos en los acuerdos de servicios o contratos establecidos. • COOPIDROGAS a través del Departamento de Riesgos y Cumplimiento, con apoyo del interventor del contrato y/o el área de Auditoría Interna, podrán realizar auditorías a los proveedores, dependiendo del servicio, con la finalidad de evaluar la seguridad de la información, la continuidad del negocio y calidad del servicio prestado. Para el desarrollo de esta actividad podrían utilizarse entre otras herramientas, el formato “F-GG-RC-33 Evaluación Gestión de Riesgos – Proveedores”. Para el desarrollo de esta actividad, COOPIDROGAS podrá hacer uso de la contratación de un tercero para que realice estas auditorias en su nombre.

6 • Las áreas que contemplen la contratación de un proveedor tecnológico o recurso humano para el apoyo de actividades deben presupuestar y/o asignar la adquisición de un equipo de cómputo para el desarrollo del objeto contractual. • Las entidades externas con las que se tengan transferencia de información deberán tener acuerdos de confidencialidad y no divulgación documentados. • Para el intercambio de datos con proveedores y terceros se deberán identificar los riesgos y controles necesarios para la transmisión o entrega de estos, considerando y mitigando los riesgos existentes y preservando la integridad, confidencialidad y disponibilidad de la información de COOPIDROGAS, así como garantizando la protección de los datos personales de acuerdo con lo establecido en la ley 1581 de 2012 y las políticas de protección de datos definidas por COOPIDROGAS. • COOPIDROGAS define y aplica procesos para gestionar los riesgos de seguridad de la información asociados a la cadena de suministro de productos y servicios de TIC, con el fin de garantizar que los proveedores mantengan un nivel de seguridad acordado y coherente con los requisitos del SGSI. Estos procesos permitirán evaluar, monitorear y controlar los riesgos derivados de la relación con los proveedores, asegurando la protección de la información y de los activos involucrados durante todo el ciclo de suministro. • COOPIDROGAS podrá monitorear, revisar, evaluar y gestionar de manera regular los cambios en las prácticas de seguridad de la información de los proveedores, así como en la prestación de los servicios contratados, con el fin de asegurar que se mantenga el nivel de seguridad acordado y que los servicios continúen cumpliendo los requisitos establecidos en los acuerdos y contratos vigentes. Este monitoreo permitirá identificar desviaciones, riesgos emergentes o incumplimientos, y facilitar la adopción de las acciones correctivas necesarias para proteger la información y los activos de la Cooperativa. • Finalizada la relación contractual, el proveedor o tercero se compromete a guardar la debida reserva de la información a la que haya tenido acceso durante el desarrollo del contrato. • Los proveedores y terceros conocen y aceptan la presente política, la cual hace parte integral del acuerdo contractual firmado con COOPIDROGAS. 1.3. RÉGIMEN SANCIONATORIO DEL MANUAL SARSI Cualquier incumplimiento de las políticas y/o procedimientos de la Administración de Riesgos será sancionado de acuerdo con el Reglamento Interno de Trabajo y demás normas administrativas bajo las cuales estén obligados los trabajadores de COOPIDROGAS, sin perjuicio de las sanciones penales, fiscales y administrativas correspondientes. 1.4. REVISIÓN Y ACTUALIZACIÓN El presente documento será revisado por la alta gerencia (Comité de Riesgos y Consejo de Administración) y actualizado por lo menos una vez cada doce meses por el Departamento de Riesgos y Cumplimiento, siempre que se produzcan cambios significativos, con la finalidad de asegurar su conveniencia, adecuación y eficacia continua. Así mismo, debe adaptarse en todo momento a la normativa legal en materia de Seguridad de la Información, Seguridad Informática y Ciberseguridad. Los lineamientos contenidos en este documento deberán ser divulgados a todos los trabajadores, contratistas y partes interesadas, para que sean conocidos, aceptados y cumplidos. El incumplimiento de estas se considerará un incidente de seguridad, que según sea el caso podrá dar lugar a un proceso disciplinario y se convertirá en una causa válida de terminación del contrato, sin perjuicio de la iniciación de otro tipo de acciones a las que haya lugar. La presente política rige a partir de su promulgación, para el mes de noviembre del 2025, según aprobación del Consejo de Administración. Cordialmente, DIRECCIÓN DE RIESGOS Y CUMPLIMIENTO COOPIDROGAS

7

RkJQdWJsaXNoZXIy MTE2ODQ5Nw==