INVERSIONES MEDICAS BARU S.A.S, es una entidad que tiene por objeto la promoción, gestión, coordinación y control de los servicios de salud y la prestación de los mismos directa ó indirectamente, para la atención de los usuarios del Plan Obligatorio de Salud y de los planes complementario, comprometida con la seguridad de la información personal de sus pacientes, clientes, proveedores, y público en general asegura la confidencialidad y debido manejo de la información que obtenga, registre, use, transmita y actualice mediante autorización previa, expresa y voluntaria del titular de la información. Lo anterior se desarrolla en estricto cumplimiento del Derecho Constitucional del Habeas Data, la Ley Estatutaria 1581 de 2012 y su decreto reglamentario 1377 de 2013.

Por su parte la Historia Clínica, se encuentra regulada por la Ley 23 de 1981 y por la Resolución 1995 de 1999, mediante la cual se establecen normas para el manejo, diligenciamiento, administración, conservación, custodia y confidencialidad de las historias clínicas, conforme a los parámetros del Ministerio de Salud y del Archivo General de la Nación.

INVERSIONES MEDICAS BARU S.A.S está comprometida para actuar con responsabilidad y proteger la privacidad custodiando la información en bases de datos y archivos físicos.

INVERSIONES MEDICAS BARU S.A.S, sociedad legalmente constituida, identificada con Nit. N°900.600.550 – 9, con domicilio principal en la ciudad de Cartagena (Bolívar), cuya Sede Administrativa se ubica en la Calle 31 N.º 60A – 14 Barrio Los Ángeles, en calidad de responsable del tratamiento de los datos personales y datos personales sensibles de sus usuarios, clientes, proveedores, pacientes y colaboradores, ha decidido adoptar las presentes Políticas y Procedimientos para la Protección de datos Personales, con el fin de garantizar que el tratamiento de dichos datos personales se ajuste a las disposiciones legales vigentes, y de regular la atención de consultas y reclamos.

Esta Política aplica a la información personal que obtenga INVERSIONES MEDICAS BARU S.A.S. en el desarrollo de actividades de prestación de servicios de salud, y en las actividades laborales y comerciales.

• Constitución Política, artículo 15.
• Decreto 1074 de 2015
• Ley 1581 de 2012
• Decreto Reglamentario parcial No 1377 de 2013

INVERSIONES MÉDICAS BARÚ S.A.S, recauda la información y los datos personales de sus clientes, proveedores,usuarios y empleados y podrá incluir la siguiente información:

• Nombres y apellidos.
• Número de identificación.
• Teléfonos fijos o celulares de contacto (personal y/o laboral).
• Dirección.
• Correo electrónico.

Se entiende por:

• Autorización: Consentimiento previo, expreso e informado del titular para llevar a cabo el tratamiento de datos personales.
• Base de datos: Conjunto organizado de datos personales que sea objeto de tratamiento.
• Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
• Aviso de privacidad: Comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el Tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales.
• Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
• Datos Sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.

• Encargado del tratamiento: persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del responsable del tratamiento.
• Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos.
• Titular: persona natural cuyos datos personales sean objeto de tratamiento) Tratamiento: cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
• Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.
• Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.

El Aviso de Privacidad, contiene la siguiente información:

• La identidad, domicilio y datos de contacto del Responsable del Tratamiento.
• El tipo de tratamiento al cual serán sometidos los datos y la finalidad del mismo.
• Los mecanismos generales dispuestos por el Responsable para que el Titular conozca la política de tratamiento de la información y los cambios sustanciales que se produzcan en ella. . En todos los casos, debe informar al titular cómo acceder o consultar la política de tratamiento de información.

Para efectos de esta Política se entenderán como titulares de datos personales, personas jurídicas o naturales, entre ellas los pacientes y usuarios del servicio de salud, los proveedores, clientes, benefactores, profesionales de la salud y empleados en general.

INVERSIONES MEDICAS BARU S.A.S requiere la autorización previa informada y expresa del titular, la cual será obtenida por medios escritos bien sea físicos o electrónicos, de tal manera que pueda ser objeto de consulta posterior.

Al solicitar la información al Titular se debe informar de manera clara la finalidad para la cual se recaudan los datos personales, el tratamiento al cual pueden ser sometidos éstos, sus derechos y los medios a través de los cuales puede ejercerlos y la facultad de autorizar o no el tratamiento en caso de datos sensibles.

No se requiere autorización del Titular de los datos personales cuando se trate de:

1. Responder a una orden judicial o cuando los solicita una entidad pública o administrativa en ejercicio de sus funciones legales;
2. Datos personales de naturaleza pública;
3. Casos de urgencia médica o sanitaria;
4. Información autorizada por la ley para fines históricos, estadísticos o científicos;
5. Datos relacionados con el registro civil de las personas.

La autorización para el tratamiento de los datos personales de menores de edad debe realizarse bajo la facultad de los padres de familia o representantes legales del menor.

El Titular tendrá derecho a conocer, rectificar y actualizar sus datos personales, solicitar prueba de la autorización salvo casos excepcionales por ley, ser informado sobre el uso que se le da a sus datos personales, presentar consultas e interponer quejas, solicitar revocatoria a INVERSIONES MEDICAS BARU S.A.S en caso de incumplimiento a lo dispuesto en la normatividad, y a acceder de manera gratuita a los datos personales que hayan sido objeto de tratamiento.

El Titular debe garantizar la veracidad de la información que proporciona INVERSIONES MEDICAS BARU S.A.S y actualizar su información de manera oportuna. En caso de falsedad en la información suministrada INVERSIONES MEDICAS BARU S.A.S se exime de cualquier responsabilidad.

En esta Política se identifica como Responsable de los datos personales a:

• INVERSIONES MEDICAS BARU S.A.S
• NIT. 900.600.550 – 9
• REPRESENTANTE LEGAL: JOSÉ FRANCISCO MEJÍA REATIGA
• DIRECCIÓN: Calle 31 N.º 60A – 14 Barrio Los Ángeles (Cartagena)
• EMAIL: direccionadministrativa@clinicabaru.com

El Responsable se compromete a proceder bajo los lineamientos normativos para garantizar en la medida de lo que le corresponde el ejercicio de los derechos de los Titulares de los datos personales, obtenidos en el desarrollo de sus funciones.

Para facilitar el contacto con los Titulares, registramos y conservamos datos personales o cualquier información vinculada a través de transmisión voluntaria del paciente o usuario, en los procesos de atención asistencial, en los procesos administrativos propios de la actividad económica de la sociedad.

La mencionada información personal recopilada puede incluir, pero no limitarse a datos clínicos del paciente, tales como:

Dirección, teléfono, correo electrónico, lugar y fecha de nacimiento, familiares, responsables, Número de Identificación Personal (Cédula, NIT. Pasaporte.) Género, Entidad responsable o aseguradora de los servicios de salud. – Empresa donde labora.

Los datos e información personal de las personas físicas que llegaren a tener la condición de accionista de INVERSIONES MÉDICAS BARÚ S.A.S, se considerará información reservada, pues la misma está registrada en los libros de comercio y tiene el carácter de reserva por disposición legal.

En consecuencia, el acceso a tal información personal se realizará conforme las normas contenidas en el Código de Comercio que regulan la materia.

TRATAMIENTO DE DATOS PERSONALES DE PROVEEDORES Y CLIENTES. INVERSIONES MÉDICAS BARÚ S.A.S solo obtendrá de sus proveedores y clientes los datos que sean necesarios, pertinentes y no excesivos para la finalidad de selección, evaluación y ejecución del contrato a que haya lugar. Cuando se le exija a INVERSIONES MÉDICAS BARÚ S.A.S por naturaleza jurídica la divulgación de datos del proveedor , ésta se efectuará con las previsiones que den cumplimiento a lo dispuesto en esta norma y que prevengan a terceros sobre la finalidad de la información que se divulga.

INVERSIONES MÉDICAS BARÚ S.A.S recolectará de sus proveedores y clientes los datos personales de los usuarios titulares de la información, que sean necesarios, pertinentes y no excesivos, que por motivos de seguridad deba analizar y evaluar, atendiendo las características de los servicios que se contraten con el proveedor y el cliente. Los datos personales de los colaboradores y usuarios de los proveedores y clientes recolectados por INVERSIONES MÉDICAS BARÚ S.A.S tendrá fines administrativos, operativos financieros y comerciales; por tanto, una vez verificado lo anterior, INVERSIONES MÉDICAS BARÚ S.A.S podrá devolver tal información al proveedor y al cliente, salvo cuando fuere necesario preservar estos datos.

TRATAMIENTO DE DATOS PERSONALES EN PROCESOS DE CONTRATACIÓN. Los terceros que en procesos de contratación, alianzas y acuerdos con INVERSIONES MÉDICAS BARÚ S.A.S, accedan, usen, traten y/o almacenen datos personales de INVERSIONES MÉDICAS BARÚ S.A.S y/o de terceros relacionados con dichos procesos contractuales, adoptarán en lo pertinente lo dispuesto en la norma, así como las medidas de seguridad que le indique INVERSIONES MÉDICAS BARÚ S.A.S según el tipo de dato de carácter personal tratado.

TRATAMIENTO DE DATOS PERSONALES DE LA COMUNIDAD EN GENERAL. La recolección de datos de personas naturales que INVERSIONES MÉDICAS BARÚ S.A.S trate en desarrollo de acciones relacionadas con la comunidad, bien sea consecuencia de responsabilidad social empresarial o de cualquiera otra actividad, se sujetará a lo dispuesto en esta norma.

Para el efecto, previamente INVERSIONES MÉDICAS BARÚ S.A.S informará y obtendrá la autorización de los titulares de los datos en los documentos e instrumentos que utilice para el efecto y relacionados con estas actividades.

En cada uno de los casos antes descritos, las áreas de la organización que desarrollen los procesos de negocios en los que se involucren datos de carácter personal, deberán considerar en sus estrategias de acción la formulación de reglas y procedimientos que permitan cumplir y hacer efectiva la norma aquí adoptada, además de prevenir posibles sanciones legales.

Nuestra política de tratamiento de información aquí expresada define, entre otros los principios que cumpliremos al recolectar, almacenar y usar los datos personales que se traduce en garantizar la confidencialidad de los mismos conforme lo señalado en la ley y actuar con responsabilidad al momento de recopilar la información personal de pacientes, usuarios, proveedores, empleados y proteger su privacidad.

INVERSIONES MEDICAS BARU S.A.S utiliza la información de sus pacientes para asegurar la prestación de servicios de salud, facturar y cobrar ante las Entidades Responsables del Pago y fines administrativos y con el consentimiento del titular de la información.

INVERSIONES MEDICAS BARU S.A.S no comparte esta información con ninguna persona ajena o no autorizada de acuerdo con la legislación y la jurisprudencia vigente; no obstante, podrá compartirse o suministrarse información con las autoridades judiciales o administrativas que en ejercicio de sus atribuciones legales lo soliciten o con autoridades sanitarias y en general para utilizarla en políticas de salud pública. Estos pueden ser utilizados para:

• Realizar actividades relacionadas con la prestación de servicios de salud en desarrollo de las actividades y objeto social de la Clínica.
• Enviar notificaciones de cambios o mejoras en la prestación de servicios y publicidad sobre los mismos, de acuerdo con la legislación aplicable, así como enviar información de revistas o temas del sector salud que consideremos puedan ser de su interés.

INVERSIONES MEDICAS BARU S.A.S, de conformidad con el artículo 15 de la Constitución Política de Colombia, la Ley Estatutaria 1581 de 2012 y el Decreto 1377 de 2013, en nuestra base datos poseemos información personal, recopilada por la relación ligada al servicio que ofrecemos, que se encuentra a su disposición y a la de las personas únicamente autorizadas; información que puede consultar en cualquier momento y hacer las solicitudes sobre su contenido, actualización o rectificación sobre la información allí contenida y el derecho de recibir respuesta oportuna.

En razón a lo anterior informamos nuestro compromiso de continuar tratando sus datos personales de manera leal, lícita, segura, confiable, responsable, prudente y reservada, conforme la normatividad vigente, que hacen que nuestra política en el tratamiento de la información sea reglada, reservada.

INVERSIONES MEDICAS BARU S.A.S cumple con lo establecido en el artículo 26 de la Ley Estatutaria 1581 de 2012 y se abstiene de transferir datos personales de los Titulares a otros países que no cuenten con iguales o superiores estándares de protección. Sin embargo procederán las siguientes excepciones:

Esta prohibición no regirá cuando se trate de:

• Información respecto de la cual el Titular haya otorgado su autorización expresa e inequívoca para la transferencia;
• Intercambio de datos de carácter médico, cuando así lo exija el Tratamiento del Titular por razones de salud o higiene pública;
• Transferencias bancarias o bursátiles, conforme a la legislación que les resulte aplicable;
• Transferencias acordadas en el marco de tratados internacionales en los cuales la República de Colombia sea parte, con fundamento en el principio de reciprocidad;
• Transferencias necesarias para la ejecución de un contrato entre el Titular y el Responsable del Tratamiento, o para la ejecución de medidas precontractuales siempre y cuando se cuente con la autorización del Titular.

Si el usuario o paciente considera que INVERSIONES MEDICAS BARU S.A.S no debe utilizar o compartir su información personal con las finalidades aquí recogidas, o no quiere recibir materiales informativos relativos a INVERSIONES MEDICAS BARU S.A.S, debe expresar esto al correo electrónico atencionalusuario@clinicabaru.com manifestando su negativa, o manifestarlo por teléfono fijo al número 6455100 de la ciudad de Cartagena (Bol).

INVERSIONES MÉDICAS BARÚ S.A.S. implementó las siguientes medidas alternativas, según lo dispuesto por el artículo 10 del Decreto reglamentario 1377 de 2013:

• Desde la entrada en vigencia de la presente Política, INVERSIONES MÉDICAS BARÚ S.A.S, al momento de la recolección de Datos Personales, para la recolección solicita una autorización a los Titulares, informando sobre las finalidades especificas del Tratamiento para los cuales se obtiene dicho consentimiento.
• La autorización de los Titulares, podrá manifestarse por: (i) escrito, (ii) de forma oral o (iii) mediante conductas inequívocas que permitan concluir de forma razonable que fue otorgada la autorización.
• INVERSIONES MÉDICAS BARÚ S.A.S conservará la prueba de dichas autorizaciones de forma adecuada, respetando los principios de confidencialidad y privacidad de la información.

CONSULTAS: Las consultas realizadas por el Titular o sus causahabientes serán atendidas por INVERSIONES MEDICAS BARU S.A.S en un término de (10) días hábiles a partir del recibo de la solicitud prorrogable por un término máximo de (5) días hábiles más.

Lo anterior, en concordancia con lo estipulado en el artículo 14 de la Ley 1581 de 2012 y en el decreto1377 de 2013, y demás normas que los modifiquen o adicionen.

RECLAMOS: El Titular o sus causahabientes que consideren que la información contenida en la base de datos de la INVERSIONES MEDICAS BARU S.A.S debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la ley o en esta política, podrán presentar un reclamo ante el Departamento de manejo de base de datos, el cual será tramitado bajo las siguientes reglas:

El reclamo se formulará mediante solicitud dirigida a INVERSIONES MEDICAS BARU S.A.S, por correo electrónico a atencionalusuario@clinicabaru.com con la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y acompañando los documentos que se quieran hacer valer.

El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo, el cual se podrá prorrogar por un término máximo de ocho (8) días hábiles.

Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días hábiles siguientes a la recepción del reclamo para que subsane las fallas. Si transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.

Antes de acudir a la entidad encargada de vigilar el cumplimiento de las normas sobre protección de datos personales, el Titular debe tramitar inicialmente su reclamo con INVERSIONES MEDICAS BARU S.A.S a través de los medios y canales dispuestos para tal fin.

Lo anterior, teniendo en cuenta la información señalada en el artículo 15 de la Ley 1581 de 2012 y en el decreto1377 de 2013, y demás normas que los modifiquen o adicionen.

INVERSIONES MÉDICAS BARÚ S.A.S tiene la obligación de rectificar y actualizar a solicitud del titular, la información de éste que resulte ser incompleta o inexacta, de conformidad con el procedimiento y los términos arriba señaladas. Al respecto se tiene en cuenta lo siguiente:

En las solicitudes de rectificación y actualización de datos personales el titular debe indicar las correcciones a realizar y aportar la documentación que avale su petición.

INVERSIONES MÉDICAS BARÚ S.A.S, tiene plena libertad de habilitar mecanismos que le faciliten el ejercicio de este derecho, siempre y cuando éstos beneficien al titular.

La Sociedad podrá establecer formularios, sistemas y otros métodos simplificados, mismos que deben ser informados en el aviso de privacidad y que se pondrán a disposición de los interesados.

El titular tiene el derecho, en todo momento, a solicitar a INVERSIONES MÉDICAS BARÚ S.A.S la supresión (eliminación) de sus datos personales cuando:

• Considere que los mismos no están siendo tratados conforme a los principios, deberes y obligaciones previstas en la normatividad vigente.
• Hayan dejado de ser necesarios o pertinentes para la finalidad para la cual fueron recolectados.
• Se haya superado el periodo necesario para el cumplimiento de los fines para los que fueron recolectados.

Esta supresión implica la eliminación total o parcial de la información personal de acuerdo con lo solicitado por el titular en los registros, archivos, bases de datos o tratamientos realizados por INVERSIONES MÉDICAS BARÚ S.A.S Es importante tener en cuenta que el derecho de cancelación no es absoluto y el responsable y encargado puede negar el ejercicio del mismo cuando:

• El titular tenga un deber legal o contractual de permanecer en la base de datos.
• La eliminación de datos obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas.
• Los datos sean necesarios para proteger los intereses jurídicamente tutelados del titular; para realizar una acción en función del interés público, o para cumplir con una obligación legalmente adquirida por el titular.

Los titulares de los datos personales pueden revocar el consentimiento al tratamiento de sus datos personales en cualquier momento, siempre y cuando no lo impida una disposición legal o contractual. Para ello, INVERSIONES MÉDICAS BARÚ S.A.S, establece mecanismos sencillos y gratuitos que permiten al titular revocar su consentimiento, al menos por el mismo medio autorizado.

Para INVERSIONES MEDICAS BARU S.A.S la Confidencialidad es un principio ético fundamental inmerso en el desempeño de sus Procesos Institucionales. De esta manera es responsable de garantizar la protección de la información frente a un mal uso o acceso injustificado y asegurar su adecuado manejo solo por parte de personas autorizadas. Es por esta razón que hay establecida una Política de Confidencialidad al interior de la organización que busca encaminar sus acciones bajo este principio, a través de los mecanismos definidos para cada tipo de información al interior de la institución, entre ellos la protección y buen uso de los Datos Personales registrados de sus usuarios y pacientes, empleados entre otros.

Adicionalmente, INVERSIONES MEDICAS BARU S.A.S promueve herramientas de capacitación y entrenamiento para cumplir con esta política.

INVERSIONES MÉDICAS BARÚ S.A.S debe garantizar la confidencialidad, la integralidad y la protección de la información, brindando de esta manera seguridad ante los posibles riesgos de las tecnologías (equipos de cómputo, sistemas de información, redes (Voz y Datos)), procurando el mejoramiento continuo de los procesos y concientizando al personal sobre la importancia de la información y al uso laboral y adecuado de las herramientas de trabajo.

El objetivo de la seguridad informática va encaminado a garantizar la seguridad de la información y la protección de los datos,  evitando la perdida y/o modificación de estos,  por tal motivo, en INVERSIONES MÉDICAS BARÚ S.A.S. se han establecido procedimientos, estrategias y herramientas que aseguran la confidencialidad, la integridad, la disponibilidad y la autenticidad de los datos.

Las estrategias, procedimientos y herramientas son las siguientes:

• Antivirus: Tanto los servidores, como las estaciones de trabajo tienen instalado un antivirus debidamente licenciado, el cual se encuentra programado para que revise todo el equipo y se actualice de forma periódica.
• Cortafuegos: Los servidores tienen configurado “firewall”, el cual garantiza la seguridad de las comunicaciones vía internet bloqueando el acceso no autorizado y al mismo tiempo restringiendo las salidas.
• Software: Todos los software instalados en los equipos provienen de una fuente conocida y segura, además de encontrarse licenciados en debida forma. Cada equipo tiene configurado dos usuarios: un administrador y otro usuario estándar con permisos restringidos, según el perfil del usuario, para evitar la instalación de aplicaciones o archivos gratuitos que puedan contener virus, spyware o archivos de sistema incompatibles con el equipo.

• Correo electrónico: Todos los usuarios están informados en caso de existir algún correo sospechoso y antes de abrirlo, éstos deben informar al personal de sistema.
• Prudencia con los archivos: Todos los usuarios se encuentran capacitados para revisar con el antivirus los dispositivos periféricos que vayan a utilizar. Los equipos están configurados de tal manera que le permitan ver a los usuarios las extensiones de los archivos, para así evitar abrir archivos sospechosos. Cuando la información es valiosa, se le asignan a los archivos permisos, derechos de acceso o claves.
• Administrador y usuario estándar: Cada equipo tiene configurado un usuario Administrador  y un usuario estándar con permisos limitados. Ambos usuarios con contraseñas, la contraseña del administrador es conocida exclusivamente por la persona encargada del área de sistemas, este usuario posee todos los permisos propios del administrador y el usuario estándar  con permisos restringidos, según su perfil y  las tareas diarias. Si necesita los privilegios de administrador para realizar alguna tarea como instalar  o  desinstalar  aplicaciones,  el   sistema  pedirá  la  contraseña  del administrador.
• Contraseñas seguras: Se les socializa a los usuarios utilizar contraseñas alfanuméricas, cambiarlas periódicamente y  diferentes  para cada acceso;  además se le responsabiliza de las actividades realizadas por su usuario en cada aplicación.
• Copias de Seguridad: En los servidores, están programadas  las copias de seguridad completas diarias  y almacenadas en discos duros externos. Las bases de datos tienen una réplica en un equipo virtual del servidor la cual permite tener contingencia y continuidad. En  las estaciones de trabajo el personal de sistemas realiza periódicamente copias de seguridad  de la información  más valiosa o en algunos casos el mismo usuario realiza su copia.

• Bases de Datos: Solo el personal autorizado por el área de sistemas, puede acceder a esta información, a los cuales se les entrega un usuario con su respectiva contraseña alfanumérica con caracteres especiales y se les delimitaron responsabilidades para consultar, y/o modificar. No deben eliminar ninguna información a menos que la información esté dañada o ponga en peligro el funcionamiento del sistema. El acceso a los sistemas de información cuenta con niveles de seguridad y privilegios otorgados por el administrador. Periódicamente se realizan rutinas de auditoria a la integridad de los datos y a los programas, para así garantizar la confiabilidad de estos.

Tenemos un área de sistemas que funciona como centro de telecomunicaciones, en esa área hay un cuarto aislado debidamente acondicionado para los servidores y demás equipos tecnológicos, libre de polvo y de humedad, aire acondicionado temperatura 16 grados, instalaciones eléctricas adecuadas y protegidas, respaldo de energía; sistema de prevención y detección de incendios y sistemas de cámaras de seguridad.

El acceso a este es totalmente restringido y controlado por el personal de sistemas.

Las personas que necesiten acceder deben tener previa autorización del gerente de TI y debe estar acompañada por algún responsable del área de sistemas

En caso de un cambio o actualización tanto de software como de hardware, el acceso de la persona encargada debe ser autorizada por el gerente de TI.

El personal de sistemas son los únicos encargados de las instalaciones, configuraciones, actualizaciones y demás tareas que se realicen a los servidores, con previa autorización del gerente de TI.

Es responsabilidad del personal de sistemas realizar mantenimientos preventivos periódicamente, durante este mantenimiento se socializa a los usuarios de las restricciones de directorios, permisos o ejecución de programas.

Cada uno de los servidores tiene configurados tareas de backup completo diario, los cuales se almacenan en discos duros externos.

Todos los servidores tienen instalados configurados firewall el cual garantiza la seguridad de las comunicaciones vía internet bloqueando el acceso no autorizado y al mismo tiempo restringiendo las salidas.

Todos los servidores tienen antivirus instalado y configurado para que la base de datos se actualice diariamente y automáticamente.

INVERSIONES MÉDICAS BARÚ S.A.S dota a su personal de cada una de las herramientas necesarias para desempeñar su labor de manera eficiente y efectiva.

Los equipos son instalados exclusivamente por el personal de sistemas, en lugares debidamente acondicionados, el cual debe cumplir con los requerimientos de seguridad, instalaciones eléctricas y condiciones ambientales adecuadas (libres de polvo y humedad).

Las instalaciones eléctricas y de comunicaciones, son responsabilidad del personal del área de mantenimiento, los cuales deben tener en cuenta los circuitos de protección y las especificaciones de cableado.

Una vez instalado el equipo, se hace entrega al usuario con copia de la hoja de vida del equipo, el cual es el directamente responsable del uso adecuado y del cuidado externo de este.

Los daños físicos o lógicos de algún equipo deben ser reportados al área de sistemas, para que sean resueltos de manera oportuna.

Está totalmente prohibido comer, colocar bebidas, alimentos, o desengrapar documentos cerca de los equipos de cómputo.

El usuario es responsable de apagar todos los equipos de sistemas que tiene a su cuidado, computador, impresora, regulador.

El área de sistemas lleva un control sistematizado (hoja de vida) de los equipos de cómputo y de su licenciamiento, la cual debe ser actualizada cada vez que se le realice un cambio al equipo.

El área de sistemas lleva un cronograma del mantenimiento preventivo y correctivo de los equipos, el cual se realiza con previo acuerdo con el usuario.

El área de sistemas es la única encargada de realizar instalaciones, actualizaciones y/o modificaciones a los equipos.

Algún traslado de equipos debe estar supervisado por el personal de sistemas.

En caso de retiro o traslado del usuario, este debe entregar oficialmente los equipos de cómputo al área de sistemas, y automáticamente se gestiona un paz y salvo al usuario.

Toda adquisición de tecnología informática la efectúa directamente el área de compras.
El departamento de sistemas establece prioridades y asesora la selección de los equipos tecnológicos.

Todo proyecto de adquisición de bienes de tecnología, debe sujetarse al análisis y a la autorización del área de sistemas.

En la adquisición de Equipo de cómputo deber incluir Software vigente, y antivirus con sus respectivas licencias.

El área de sistemas tiene un inventario sistematizado con la información de las hojas de vida de los equipo actualizado periódicamente.

Las Bases de Datos son respaldadas diariamente en forma automática y completa.

Los Backup de las bases de datos son almacenados en discos duros externos alojados en el área de tecnología con sus debidos estándares de calidad para almacenamiento de medios

Las Bases de Datos tienen una réplica en otro equipo que permite la contingencia y continuidad.

El personal de sistemas monitoreo periódicamente la ejecución automática de los Backups de las Bases de Datos.

Los usuarios realizan periódicamente backup de su información más importante, almacenados en otras particiones del disco duro, CDs o “La Nube” (Google Drive), realizando sincronización continua de la información.

Es responsabilidad del área de compra, adquirir todas las aplicaciones de Software con su respectiva licencia, certificación, vigencia y/o su factura.

Si se encuentra con algún software sin su licencia, el personal de sistema deberá desinstalar inmediatamente.

Es responsabilidad del área de sistema configurar e instalar los dispositivos de red.

Es responsabilidad de sistemas configurar los equipos a la red (lógica y físicamente), y una vez ingresado a esta, se le entregará al usuario cuantas de acceso a las aplicaciones o a los equipos dependiendo sus funciones, las cuales son de uso personal e intransferible.

El Área de sistema no se responsabiliza de los datos que circulen por la red, cada usuario es responsable de la información de su equipo.

Ninguna persona puede actualizar o eliminar información de algún equipo que no sea de su responsabilidad.

Es responsabilidad del área de sistemas realizar periódicamente monitoreos de funcionalidad de la red.

Solo el personal de sistemas tiene permiso de acceder remotamente los servidores y/o a las aplicaciones, con previo permiso del gerente de TI.

El área de sistemas es la encargada de administrar o modificar la infraestructura de la red.

Es responsabilidad del área de sistemas, aplicar los estándares de cableado estructurado en la adquisición de nuevas instalaciones físicas.

Se pueden conectar remotamente el personal de sistemas o aquellos usuarios que la gerencia autorice.

El personal de sistemas se encargara de realiza la configuración necesaria y asignar claves a los usuarios autorizados para acceder remotamente.

Sistemas se encarga de controlar y registrar en un archivo todos los usuarios que se conecten remotamente.

Sistemas se encarga de la administración y de proveer las claves al personal que autorice la gerencia.

Las redes inalámbricas se deben utilizar exclusivamente para actividades laborales Sistemas se encarga de controlar y registrar en un archivo detallado todos los equipos a los que se les configuró el acceso a wi-fi que se conecten remotamente.

Es responsabilidad del usuario hacer buen uso de la red inalámbrica.

Está prohibido eliminar información del sistema, a menos que la información esté dañada o ponga en peligro el buen funcionamiento del sistema.

Para tener integridad, seguridad y recuperación casi que inmediata en caso de presentarse alguna falla, tenemos un único manejador de base de datos.

Se tienen niveles de seguridad de acceso a las bases de datos controlados por el administrador de base de datos.

El administrador de base de datos es el único responsable de consultar o modificar la información.

El administrador de bases de datos, realiza periódicamente auditoria a la integridad de los datos y de los programas de cómputo, para así garantizar su confiabilidad.

En los servidores están configurados los backups de las bases de datos, completos diarios almacenados en discos duros externos, localizados en el área restringida de tecnología en condiciones adecuadas y necesarias para garantizar su conservación.

Todos los sistemas de información tienen manuales de usuarios debidamente actualizados con la descripción detallada de la utilización de los mismos.

El personal de sistemas es el responsable de la administración e instalación de las cuentas de correo electrónico.

El personal de sistemas entregará a los usuarios las cuentas de usuario de correos electrónicos y realizara la respectiva capacitación para el uso de las mismas y paralelamente se realiza un acta de entrega y de capacitación.

La clave de la cuenta debe ser única e intransferible y cada persona se responsabiliza de esta, además deberá contener caracteres alfanuméricos y especiales.

El uso correo electrónico debe ser exclusivo para procesos de información relacionados con el Grupo.

En todos los dispositivos tecnológicos de INVERSIONES MÉDICAS BARÚ S.A.S está instalado software licenciado y acorde a la propiedad intelectual.

El área de sistemas es la encargada de asesorar, instalar, configurar y supervisar software informático.

En caso de que el software sea libre, se respeta la propiedad intelectual y derechos de autor.

Se prohíbe instalación de software que coloquen en riesgo los recursos de la institución.

Por protección, todos los equipos tienen instalados su antivirus debidamente licenciado.

Dentro del mantenimiento de computadores, se incluye una auditoria del sistema, para comprobar que las aplicaciones instaladas sean las adecuadas.

Tanto el área de sistemas como compras tienen un registro automatizado y físico de todas las aplicaciones adquiridas por la institución.

Todos los programas desarrollados con recursos del grupo, se mantienen como propiedad del Grupo, se respeta la propiedad intelectual y deben ser utilizados exclusivamente para asuntos relacionados con las actividades del grupo.

Es estrictamente obligatorio que todos los usuarios que utilicen información importante, mantengan un respaldo en cds, dvd, o en google drive, sincronizado periódicamente. Los cuales se realizan supervisados por el personal de sistemas.

Sistemas se encarga de instalar, configurar y administrar software de seguridad y control tales como firewall o proxy, restringiendo permisos de sitios permitidos y/o negados para la navegación.

La gerencia autoriza quienes deben tener internet.

Sistemas realiza periódicamente auditorias de control en los equipos para confirmar el uso adecuado de internet.

Todos los equipos deben tener instalados antivirus y configurado para que la base de datos se actualice diaria y automáticamente.

Cada vez que se realice mantenimiento preventivo, se deberá realizar análisis de antivirus o si se sospecha de algún virus alojado en el sistema.

El usuario se responsabiliza de analizar las unidades extraíbles que vaya a utilizar en su equipo.

Sistemas se encarga de asesorar a los usuarios del adecuado uso de las contraseñas, se les advierte de la confidencialidad de las mismas y que son únicas e intransferibles y cada uno es responsable de las actividades realizadas con sus usuarios.

El usuario es responsable de definir la contraseña, se le sugiere que sean mínimo 8 caracteres, alfanumérica, con caracteres especiales y no debe relacionarse con nombres o fechas significativas .

Los permisos de los usuarios son restringidos dependiendo el perfil y a las funciones que desempeña.

El usuario debe cambiar contraseña periódicamente

Los ingenieros tienen autorización para ingresar remotamente a cualquier equipo, para dar solución a cualquier problema que se haya presentado con el equipo.

Sistemas realiza y/o supervisa periódicamente las copias de seguridad de los equipos

Sistemas actualiza información necesaria para el adecuado funcionamiento del sistema de los equipos.

Registran todos los equipos y las actualizaciones de estos en el inventario y las hojas de vida de los equipos.

Dentro de los mantenimientos preventivos deben hacer auditoria de las aplicaciones instaladas y deben eliminar información o desinstalar aplicaciones que coloquen el riesgo el funcionamiento y la seguridad del equipo, previo aviso a la persona encargada del equipo.

Reportar anomalías de violaciones de seguridad al gerente de TI, para realizar correctivos necesarios.

Sistemas debe velar por el buen funcionamiento y desempeño de los equipos tecnológicos.

El usuario se responsabiliza de todos los medios extraíbles que utilice y tiene que realizar un análisis con en antivirus para detectar algún virus o software malicioso.

Los usuarios deben solicitar apoyo al área de sistemas si se presenta algún problema físico o lógico de los equipos tecnológicos que está utilizando o si tiene alguna duda.

El personal adscrito a la entidad no pueden descargar o instalar programas de internet, ni debe copiar programas informáticos ilegalmente para venderlo o regalarlo.

La violación a alguna de las políticas antes mencionadas genera sanciones.

INVERSIONES MEDICAS BARU S.A.S asegura la protección de los datos personales de los Titulares adoptando las medidas técnicas, humanas y administrativas necesarias. De igual manera evitará la adulteración, pérdida o uso no autorizado.

INVERSIONES MEDICAS BARU S.A.S se reserva el derecho de modificar esta Política en cualquier momento y notificará a los Titulares sobre cualquier cambio. La presente política entra en vigencia a partir del primero (1ro) de Julio del 2013.