politica-de-seguridad-de-la-informacion-para-proveedores

6 • Las áreas que contemplen la contratación de un proveedor tecnológico o recurso humano para el apoyo de actividades deben presupuestar y/o asignar la adquisición de un equipo de cómputo para el desarrollo del objeto contractual. • Las entidades externas con las que se tengan transferencia de información deberán tener acuerdos de confidencialidad y no divulgación documentados. • Para el intercambio de datos con proveedores y terceros se deberán identificar los riesgos y controles necesarios para la transmisión o entrega de estos, considerando y mitigando los riesgos existentes y preservando la integridad, confidencialidad y disponibilidad de la información de COOPIDROGAS, así como garantizando la protección de los datos personales de acuerdo con lo establecido en la ley 1581 de 2012 y las políticas de protección de datos definidas por COOPIDROGAS. • COOPIDROGAS define y aplica procesos para gestionar los riesgos de seguridad de la información asociados a la cadena de suministro de productos y servicios de TIC, con el fin de garantizar que los proveedores mantengan un nivel de seguridad acordado y coherente con los requisitos del SGSI. Estos procesos permitirán evaluar, monitorear y controlar los riesgos derivados de la relación con los proveedores, asegurando la protección de la información y de los activos involucrados durante todo el ciclo de suministro. • COOPIDROGAS podrá monitorear, revisar, evaluar y gestionar de manera regular los cambios en las prácticas de seguridad de la información de los proveedores, así como en la prestación de los servicios contratados, con el fin de asegurar que se mantenga el nivel de seguridad acordado y que los servicios continúen cumpliendo los requisitos establecidos en los acuerdos y contratos vigentes. Este monitoreo permitirá identificar desviaciones, riesgos emergentes o incumplimientos, y facilitar la adopción de las acciones correctivas necesarias para proteger la información y los activos de la Cooperativa. • Finalizada la relación contractual, el proveedor o tercero se compromete a guardar la debida reserva de la información a la que haya tenido acceso durante el desarrollo del contrato. • Los proveedores y terceros conocen y aceptan la presente política, la cual hace parte integral del acuerdo contractual firmado con COOPIDROGAS. 1.3. RÉGIMEN SANCIONATORIO DEL MANUAL SARSI Cualquier incumplimiento de las políticas y/o procedimientos de la Administración de Riesgos será sancionado de acuerdo con el Reglamento Interno de Trabajo y demás normas administrativas bajo las cuales estén obligados los trabajadores de COOPIDROGAS, sin perjuicio de las sanciones penales, fiscales y administrativas correspondientes. 1.4. REVISIÓN Y ACTUALIZACIÓN El presente documento será revisado por la alta gerencia (Comité de Riesgos y Consejo de Administración) y actualizado por lo menos una vez cada doce meses por el Departamento de Riesgos y Cumplimiento, siempre que se produzcan cambios significativos, con la finalidad de asegurar su conveniencia, adecuación y eficacia continua. Así mismo, debe adaptarse en todo momento a la normativa legal en materia de Seguridad de la Información, Seguridad Informática y Ciberseguridad. Los lineamientos contenidos en este documento deberán ser divulgados a todos los trabajadores, contratistas y partes interesadas, para que sean conocidos, aceptados y cumplidos. El incumplimiento de estas se considerará un incidente de seguridad, que según sea el caso podrá dar lugar a un proceso disciplinario y se convertirá en una causa válida de terminación del contrato, sin perjuicio de la iniciación de otro tipo de acciones a las que haya lugar. La presente política rige a partir de su promulgación, para el mes de noviembre del 2025, según aprobación del Consejo de Administración. Cordialmente, DIRECCIÓN DE RIESGOS Y CUMPLIMIENTO COOPIDROGAS

RkJQdWJsaXNoZXIy MTE2ODQ5Nw==