POLÍTICA DE CONFIDENCIALIDAD Y SEGURIDAD DE LA INFORMACIÓN

Es política de ARBUSTA S.A.S. (en adelante, la “Compañía”) y, en conjunto con sus compañías matrices directas o indirectas, filiales, sucesores o cesionarios (el “Grupo Corporativo”), preservar la información como uno de sus activos más valiosos. Con dicho propósito, la presente política establece lineamientos claros y prácticos para garantizar su confidencialidad, integridad y disponibilidad, así como para prevenir cualquier acceso, uso o divulgación no autorizada.

1. OBJETIVO

Garantizar que la información de la Compañía, de sus clientes, proveedores, trabajadores, aliados y terceros sea tratada de manera responsable, confidencial y segura, evitando usos indebidos o no autorizados, y asegurando en todo momento el cumplimiento de la normatividad vigente y de los estándares aplicables en materia de seguridad de la información y protección de datos.

2. ALCANCE

El cumplimiento de la presente política es de carácter obligatorio para todos los trabajadores vinculados mediante contrato de trabajo, así como para los contratistas y prestadores de servicios que, en ejercicio de sus funciones, tengan acceso a la información de la Compañía.

La política incluye toda la información generada, tratada o custodiada en la Compañía, sin importar su formato (físico, digital, audiovisual o verbal) ni la modalidad de trabajo en la que se maneje (presencial, remoto o teletrabajo), y deberá observarse siempre en cumplimiento de la normatividad vigente y de los estándares aplicables en materia de seguridad de la información y protección de datos.

3. PRINCIPIOS RECTORES

i. Legalidad y cumplimiento normativo: toda gestión de la información se realizará en estricto apego a la Constitución, la Ley 1581 de 2012 (protección de datos personales), la Ley 1273 de 2009 (delitos informáticos), así como a las demás normas nacionales e internacionales aplicables en materia de seguridad de la información y protección de datos.

ii. Confidencialidad: la información será divulgada únicamente a personas autorizadas bajo el criterio de necesidad de saber, garantizando su reserva y evitando accesos, usos o revelaciones no autorizadas.

iii.  Integridad: la información debe mantenerse completa, exacta y confiable, protegida frente a modificaciones indebidas, pérdidas o alteraciones que afecten su calidad o veracidad.

iv. Disponibilidad: la información debe encontrarse accesible de manera oportuna y continua para quienes cuenten con la debida autorización, asegurando la continuidad de las operaciones y procesos de la Compañía.

v. Responsabilidad: cada trabajador y contratista es responsable de la adecuada gestión y protección de la información a la que accede, y debe adoptar las medidas necesarias para su cuidado, respondiendo por los actos u omisiones que comprometan su seguridad.

4. ROLES Y RESPONSABILIDADES

• Alta Dirección: aprueba esta política, asigna los recursos necesarios para su implementación y promueve una cultura organizacional de seguridad de la información, garantizando que los lineamientos sean conocidos, comprendidos y aplicados en toda la Compañía.
  
  

• Dueños de información o de proceso: son responsables de clasificar la información, autorizar los accesos en función de la necesidad de cada rol y gestionar los riesgos asociados a la información bajo su custodia. Deben velar porque la información mantenga su confidencialidad, integridad y disponibilidad en todo momento.
  
  

• Equipo de Seguridad de Tecnología: administra los controles técnicos y organizativos, mantiene los repositorios autorizados, da soporte en la gestión de incidentes y lidera las acciones de prevención, detección y respuesta ante riesgos de seguridad.
  
  

• Todos los trabajadores y contratistas: tienen la obligación de cumplir esta política, proteger los activos de información que les sean asignados, utilizar los recursos tecnológicos de manera responsable y reportar de inmediato cualquier incidente, anomalía o vulnerabilidad que pueda afectar la seguridad de la información.
  
  

Toda la información está resguardada en las plataformas y sistemas autorizados por la Compañía, que ofrecen medidas de seguridad integrales para garantizar su confidencialidad, integridad y disponibilidad.

6. SISTEMA DE SEGURIDAD DE LA INFORMACIÓN

La Compañía dispone de un sistema de seguridad de la información orientado a garantizar la protección de sus activos frente a accesos, usos o modificaciones no autorizadas. Dicho sistema se sustenta en la implementación de controles técnicos y organizativos que, de manera general, incluyen:

• Gestión de accesos: el otorgamiento de permisos se realiza bajo criterios de necesidad de saber y mínimo privilegio. Los accesos deben ser solicitados, autorizados y registrados formalmente, y son revocados cuando dejan de ser necesarios.
  
  
• Administración centralizada: existe un control de cuentas que permite habilitar, modificar o eliminar usuarios, así como asignar permisos de lectura, edición o descarga, según las funciones de cada rol.
  
  

• Autenticación reforzada: el sistema prevé el uso de credenciales seguras y autenticación en dos pasos (MFA) u otros mecanismos equivalentes, con el fin de reforzar la protección del acceso.
  
  

• Monitoreo y auditoría: se encuentran habilitados registros de actividad que permiten supervisar accesos, movimientos, cargas y descargas de archivos, a fin de detectar y responder oportunamente a posibles incidentes.
  
  
• Revisión periódica: los permisos y configuraciones de seguridad son objeto de revisiones regulares, con el fin de asegurar que correspondan a las funciones y necesidades vigentes de cada usuario.
  
  

7. CONFIDENCIALIDAD DE LA INFORMACIÓN

7.1. Definición y alcance

La información a la que tengan acceso los trabajadores y contratistas, ya sea de carácter escrito, oral, digital, audiovisual o transmitida por cualquier otro medio, constituye propiedad exclusiva de la Compañía y se considera Información Confidencial. En consecuencia, dicha información deberá ser preservada como secreto empresarial y no podrá ser utilizada para fines distintos a los autorizados por la Compañía.

Se entiende por Información Confidencial, entre otros: documentos, contratos, comunicaciones, datos técnicos, económicos, financieros, contables, comerciales, procedimientos, métodos, procesos, fórmulas, know-how, operaciones, productos, proyectos, estudios, reportes, informes, análisis o cualquier otro material al que se tenga acceso en el marco de la relación laboral o contractual.

7.2. No constituye Información Confidencial

a. La que se encontraba legítimamente en poder del trabajador o contratista antes de iniciar la relación, y cuya procedencia pueda ser probada.

b. La que sea o llegue a ser de conocimiento público sin mediar incumplimiento de obligaciones de confidencialidad.

c. La que la Compañía determine expresamente como no confidencial mediante comunicación escrita.

7.3. Obligaciones específicas de los trabajadores y contratistas

(i) Usar la Información Confidencial únicamente para el desarrollo de sus funciones en la Compañía.

(ii) Abstenerse de copiar, reproducir, distribuir o transmitir la Información Confidencial por cualquier medio, salvo autorización previa y por escrito de la Compañía.

(iii) Notificar de inmediato a la Compañía cualquier requerimiento de autoridad que implique la divulgación de Información Confidencial, para que la Compañía determine el curso de acción.

(iv) Adoptar todas las medidas necesarias para garantizar que terceros a quienes se les autorice acceso legítimo a la información conozcan y se obliguen a respetar estas disposiciones.

(v) Devolver a la Compañía toda la Información Confidencial al finalizar la relación laboral o contractual, sin conservar copias físicas o digitales, parciales o totales.

Las obligaciones de confidencialidad permanecerán vigentes durante la relación laboral o contractual y por un periodo de diez (10) años después de su terminación, salvo que la Compañía autorice lo contrario por escrito.

Cualquier incumplimiento del deber de confidencialidad dará lugar a sanciones disciplinarias en el caso de los trabajadores, terminación de contrato y, cuando corresponda, acciones legales para la reparación de daños y perjuicios.

8. INCIDENTES DE SEGURIDAD Y REPORTE OBLIGATORIO

Se considera incidente de seguridad de la información cualquier evento que afecte o pueda afectar la confidencialidad, integridad o disponibilidad de la información de la Compañía, de sus clientes, proveedores, trabajadores, aliados o terceros.

Constituyen incidentes, entre otros:

• Pérdida, robo o extravío de dispositivos o soportes que contengan información de la Compañía.
• Acceso no autorizado a sistemas, aplicaciones, bases de datos o documentos.
• Correos electrónicos fraudulentos (phishing) o con archivos sospechosos.
• Divulgación, copia, modificación o destrucción no autorizada de información.
• Envío de información a destinatarios equivocados o por canales no autorizados.
• Instalación o detección de software malicioso en equipos o sistemas de la Compañía.

Todos los trabajadores y contratistas tienen la obligación de reportar de inmediato cualquier incidente, anomalía o sospecha, incluso si no están seguros de su impacto. El reporte deberá realizarse a través de los canales oficiales definidos por la Compañía: ARBUSTA S.A.S.

El reporte oportuno es un deber esencial de todos los usuarios y constituye la primera medida de protección para minimizar riesgos y garantizar una adecuada gestión de incidentes. La omisión en el reporte podrá considerarse como un incumplimiento grave de esta política.

9. USO ADECUADO DE LOS ACTIVOS DE INFORMACIÓN Y TECNOLÓGICOS

Los activos de información y tecnológicos de la Compañía (incluyendo equipos, redes, sistemas, aplicaciones, software, cuentas corporativas y cualquier otro recurso asignado) deberán ser utilizados única y exclusivamente para el desarrollo de las funciones laborales o contractuales autorizadas.

Quedan establecidas las siguientes directrices:

• Uso exclusivo corporativo: se prohíbe emplear los activos de la Compañía para fines personales, ilícitos, comerciales, no autorizados o ajenos a la prestación de servicios.
  
  

• Software autorizado: únicamente podrá instalarse, acceder o utilizar programas, aplicaciones o herramientas previamente autorizadas por la Compañía, quedando prohibido el uso de software pirata, no licenciado o de procedencia desconocida.
  
  
• Cuentas y credenciales: cada usuario es responsable de las credenciales que le sean asignadas y no podrá compartirlas con terceros ni utilizar las de otro usuario.
  
  
• Correo y mensajería corporativa: deben emplearse únicamente para fines laborales, evitando contenidos ofensivos, inapropiados, fraudulentos o que puedan comprometer la imagen de la Compañía.
  
  
• Dispositivos y documentos: se deben aplicar las medidas de “mesa limpia” y “pantalla limpia”, garantizando que la información confidencial no quede expuesta física o visualmente.
  
  
• Internet y redes: está prohibido acceder a sitios o plataformas que comprometan la seguridad, reputación o cumplimiento normativo de la Compañía.
  
  
• Protección de activos: cada trabajador y contratista es responsable del cuidado, almacenamiento seguro y devolución de los equipos, dispositivos y documentos que le hayan sido asignados.
  
  

El incumplimiento de estas directrices será considerado una infracción grave de esta política y podrá dar lugar a medidas disciplinarias en el caso de los trabajadores, terminación de contrato y/o acciones legales, según corresponda.

10. MEDIDAS DISCIPLINARIAS Y SANCIONES

El incumplimiento de la presente política, en cualquiera de sus disposiciones, tendrá las siguientes consecuencias:

• Para trabajadores: podrá dar lugar a la aplicación de medidas disciplinarias conforme al Reglamento Interno de Trabajo (RIT) de la Compañía, incluyendo llamados de atención, suspensiones y, en casos graves o reiterados, la terminación del contrato de trabajo por justa causa, sin perjuicio de las acciones legales que correspondan.
  
  
• Para contratistas y prestadores de servicios: podrá dar lugar a la terminación del contrato de prestación de servicios, así como a la exigencia de indemnizaciones y acciones legales según lo pactado contractualmente y lo establecido por la ley.
  
  

En todos los casos, el incumplimiento podrá derivar en acciones judiciales de carácter civil, laboral o penal, cuando se vean afectados los intereses de la Compañía o de terceros relacionados.

11. REVISIÓN Y ACTUALIZACIÓN DE LA POLÍTICA

La presente política será revisada con una periodicidad mínima anual y podrá ser actualizada en cualquier momento cuando se presenten circunstancias que lo ameriten, tales como:

• Cambios regulatorios o normativos aplicables en materia de seguridad y confidencialidad de la información.
  
  
• Implementación de nuevas tecnologías, procesos o sistemas de gestión de la información.
  
  
• Identificación de incidentes relevantes que evidencien la necesidad de ajustar controles o medidas de seguridad.
  
  
• Recomendaciones derivadas de auditorías internas o externas.
  
  

La Compañía comunicará oportunamente las modificaciones a todos los trabajadores y contratistas, quienes deberán acatar la versión vigente de la política desde su publicación.

12. VIGENCIA

La presente política entra en vigor a partir de la fecha de su aprobación por la Alta Dirección y será de obligatorio cumplimiento para todos los trabajadores y contratistas de la Compañía desde el momento de su publicación en los medios internos oficiales.