MARCO NORMATIVO Y CUMPLIMIENTO

Como parte del Diseño y Desarrollo del sistema de gestión de seguridad de la información de GCS Consulting, se identifica la normatividad vigente aplicable al cumplimiento de los objetivos de la compañía respecto a la seguridad de la información requeridos por entidades de control, clientes o acuerdos contractuales, minimizando las consecuencias del incumplimiento total o parcial de dicha normatividad.

Cabe resaltar que la normatividad y estándares identificados para su cumplimiento por parte de GCS Consulting, corresponden a una propuesta realizada por el equipo a cargo de la investigación, el alcance y términos de los acuerdos contractuales y normatividad vigente u cualquier otra aplicable actualmente o en el futuro, deben ser revisados por parte de un profesional del derecho y aprobados por la alta dirección, con el objetivo de dar cumplimiento a la normatividad aplicable.

A partir de estos resultados se retroalimentara y concientizara a la alta gerencia de la compañía, respecto a la necesidad de dar cumplimiento a la normatividad aplicable a sus actividades, como parte del diseño del sistema de gestión de seguridad de la información de acuerdo al estándar ISO 27001:20131 _{y el objetivo} de control 18 Cumplimiento22_{, de tal forma que se evite a la compañía posibles} sanciones o procesos legales.

2.2.1. Constitución Política de Colombia y Código Penal Colombiano. GCS

Consulting al igual que cualquier persona natural o jurídica debe cumplir y hacer cumplir lo dispuesto en la Constitución Política de Colombia23 _{y en el Código Penal} Colombiano24_{, en los artículos definidos actualmente o que puedan ser agregados} o modificados a futuro y que sean aplicables a la ejecución de las actividades de la compañía.

22 _{INTERNATIONAL ORGANIZATION FOR STANDARDIZATION, Anexo A, ISO 27001:2013,}

Information Security Management, p. 24

23 _{COLOMBIA. Presidencia de la república. Constitución Política de Colombia, [en línea],}

[Consultado en Febrero de 2015], Disponible en: http://wsp.presidencia.gov.co/Normativa/Documents/Constitucion-Politica-Colombia.pdf

24 _{COLOMBIA. Archivo general Código Penal Colombiano, [en línea], [Consultado en Febrero de}

2015], Disponible en: http://www.archivogeneral.gov.co/sites/all/themes/nevia/ PDF/ Transparencia/ Codigo_Penal.pdf

34

Particularmente de la constitución política de Colombia, se pueden relacionar los siguientes artículos al desarrollo de las actividades de la compañía:

 Artículo 15. Como parte de los derechos fundamentales, todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas, reglamentado mediante la ley 158125 _{…Véase el numeral 2.2.3 de este documento…, describe la} protección de los datos de las personas, clientes, funcionarios, proveedores y en general la necesidad de proteger estos datos.

 Artículo 61. El Estado protegerá la propiedad intelectual por el tiempo y mediante las formalidades que establezca la ley, respecto al desarrollo de software, así como metodologías propias para llevar a cabo esta actividad, sin embargo debe tenerse en cuenta los acuerdos contractuales, en los cuales se define la propiedad del software o sus archivos fuente.

La propiedad intelectual es definida como: “toda creación del intelecto humano”, esta es tomada de la Superintendencia de Industria y Comercio26_{, la cual la divide} en dos áreas, los derechos de autor y la propiedad industrial, en la cual se enfocara la aplicación de la norma debido a que corresponde al uso exclusivo de las creaciones, permitiendo una diferenciación respecto a sus competidores y su posicionamiento en el mercado que fortalecen el cumplimiento de los objetivos del negocio.

Respecto al Código Penal Colombiano o ley 599 de 200027_{, se tendrán en cuenta} los siguientes artículos:

 Artículo 199, Sabotaje, El que con el fin de suspender o paralizar el trabajo destruya, inutilice, haga desaparecer o de cualquier otro modo dañe herramientas, bases de datos, soportes lógicos, instalaciones, equipos o materias primas, lo que hace relación a la integridad y/o disponibilidad de información, infraestructura informática o comunicaciones para el desarrollo de las actividades de la compañía y/o de los servicios contratados por el cliente.

25 _{SECRETARIA SENADO DE LA REPÚBLICA. Ley Estatutaria 1581 de 2012, [en línea],}

[Consultado en Febrero de 2015], Disponible en: http://www. secretaria senado.gov.co/ senado/basedoc/ley_1581_2012.html

26 _{SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO. Propiedad Intelectual, [en línea],}

[Consultado en Febrero de 2015], Disponible en: http://www.sic.gov.co/drupal/que-es-la-propiedad- intelectual

27 _{SECRETARIA SENADO DE LA REPÚBLICA. .Código Penal Colombiano: Ley 599 de 2000: [en}

línea], [Consultado en Febrero de 2015], Disponible en: http://www.secretariasenado.gov.co/ senado/ basedoc/ley_0599 _2000_pr001.html.

35

 Artículo 258. Utilización indebida de información privilegiada, El que como empleado o directivo o miembro de una junta u órgano de administración de cualquier entidad privada, con el fin de obtener provecho para sí o para un tercero, haga uso indebido de información que haya conocido por razón o con ocasión de su cargo o función y que no sea objeto de conocimiento público, lo que hace relación a la confidencialidad de información confiada por clientes o propia de la organización.

 Artículo 271. Violación a los derechos patrimoniales de autor y derechos conexos, mediante este se reglamenta lo descrito en el artículo 61 de la constitución política de Colombia respecto a la reproducción, ejecución, exhibición, comercialización, disposición, utilización o fijación de material de una obra protegida por derechos de autor.

 Artículo 272. Violación a los mecanismos de protección de derecho de autor y derechos conexos, y otras defraudaciones, hace referencia a la superación, evasión, supresión, inutilización, alteración, fabricación o comercialización de un sistema para la evasión de los mecanismos de seguridad con los cuales se protejan los derechos de autor de una obra.

2.2.2. Superintendencia Financiera. GCS Consulting no se encuentra vigilado

por la Superintendencia Financiera de Colombia11 _{u otra entidad que requiera la} implementación de estándares de seguridad de la información, sin embargo al hacer parte de los terceros contratados para el desarrollo de software (aplicativos u objetos de software), que tienen como objetivo el procesamiento de información confidencial propia del negocio o de los clientes de entidades financieras vigiladas por este organismo de control, las cuales tienen la responsabilidad de hacer cumplir los requisitos de seguridad definidos y verificar que la organización contratada efectivamente este cumpliendo con exigencias pactadas.

En particular esta circular hace referencia al cumplimiento de requisitos para proteger los principios de la seguridad de la información, acuerdos de nivel de servicios, propiedad de la información, intercambio de información segura, continuidad del negocio, los cuales se encuentran definidos como parte del contrato definido entre las partes, los requisitos de seguridad de la información son definidos por la circular externa 042 de 2012, capítulo décimo segundo: Requerimientos Mínimos de Seguridad y Calidad para la Realización de Operaciones, numeral 3.2 Tercerización – Outsourcing13_.

36

2.2.3. Protección de Datos Personales. Respecto al cumplimiento de la Ley

1581 de 201228 _{y decreto 1377 de 2013}29_{, GCS Consulting mantiene información} de sus funcionarios, socios de negocios, clientes y proveedores, la cual ha sido recolectada y es mantenida como parte de las relaciones contractuales y comerciales con estos, propias de la actividad de la organización.

Los propietarios de la información aceptan su uso por parte de GCS Consulting para el desarrollo de sus actividades, en caso de requerirse, dicha información podrá ser consultada, actualizada, corregida y/o eliminada por el propietario de esta, esta información no podrá ser divulgada, copiada, vendida o distribuida de forma alguna sin autorización escrita de sus titulares, la cual se considera como confidencial y será protegida por el establecimiento de la política de seguridad de la información como parte de la implementación del SGSI.

2.2.4. Datos de Titular de Tarjeta. En la industria de tarjetas de pago (débito y

crédito) se ha definido el estándar PCI-DSS Estándar de Seguridad de la Industria de Tarjeta de Pago12 _{para aquellas compañías que procesan, almacenan o} transmiten la información de los titulares de tarjeta, en este caso GCS Consulting no debe dar cumplimiento a estos requisitos de seguridad, debido a que su objeto de negocio se encuentra enfocado al desarrollo de software, sin embargo las entidades financieras que contratan los servicios de la compañía deben hacerlo, por lo que se puede requerir dar cumplimiento al requisito 6. Desarrolle y mantenga sistemas y aplicaciones seguras, descrito en este estándar, en el cual se definen las necesidades de seguridad de la información respecto al ciclo de vida de desarrollo del software, la actualización y la implementación de parches de seguridad.

De la misma manera se ha definido el estándar PA-DSS Normas de Seguridad de Datos para las Aplicaciones de Pago30_{, en la cual se definen requisitos de} seguridad para la transmisión y/o almacenamiento de datos de titular de tarjeta, de tal forma que no se almacenen datos considerados como sensibles, estos requerimientos solo son aplicables a software que es vendido o autorizado mediante licenciamiento para ser usadas, en el caso de que este software sea usado internamente por el cliente no deberá cumplir estos requerimientos, por lo que se debe definir el alcance y aplicabilidad de los requisitos de seguridad de la información que debe cumplir el software.

28 _{COLOMBIA. Secretaría del Senado. Op. Cit. p. 25}

29 _{ALCALDÍA DE BOGOTÁ. Decreto 1377 de 2013, [en línea], [Consultado en Febrero de 2015],}

Disponible en: http://www.alcaldiabogota.gov.co/ sisjur/normas/Norma1.jsp?i=53646

30 _{PA-DSS v 1.2, Norma de seguridad de datos para las aplicaciones de pago (PA-DSS), PCI}

Security Standards Council, [en línea], [Consultado en Febrero de 2015], Disponible en: https://es.pcisecuritystandards.org/minisite/en/pa-dss.ph

37

2.2.5. Comercio Electrónico. A través de la ley 527 de 199931 _{se determina el} intercambio de mensajes de datos a través de medios de comunicación con carácter comercial contractual o no, dando un valor legal a estos mensajes de datos a todo tipo de información en esta forma, siempre que mantenga los principios de Integridad, Confidencialidad y/o Integridad de la información.

De igual forma se definen criterios para la conservación de los mensajes de datos y documentos, accesibilidad para posterior consulta, desde su transmisión hasta su recepción intercambio a través de medios electrónicos y su almacenamiento, por lo que CGS Consulting deberá dar cumplimiento a esta normatividad para garantizar que los mensajes de datos puedan determinar que la información se almacena, procesa y almacena de forma adecuada.

Mediante el cumplimiento de esta ley en caso de requerirse, los mensajes de datos podrán ser usados en un proceso jurídico y/o forense, permitiendo que estos puedan ser usados como un elemento probatorio.

2.2.6. Otros Requerimientos. GCS Consulting puede requerir dar cumplimiento

a otros estándares, normas o buenas prácticas de seguridad de la información y/o de desarrollo seguro de software, de acuerdo a la industria en la que se encuentre el cliente, a los entes de controles específicos para esta industria y a los acuerdos contractuales establecidos con el cliente.